Am 2005-04-22 und 2005-04-23 findet der
Brandenburger Linux Infotag statt. Neben einem vielfältigen
Vortragsprogramm gibt es da auch wieder eine
Keysigningparty. Falls daran gern teilnehmen möchtest, sende deinen Schlüssel (oder den Fingerprint) bis zum
2005-04-15 an
jens@kubieziel.de (also an mich) und drucke dir nach dem Ende der Einreichungsfrist die
Liste der Teilnehmer aus. Diese bringst du dann zusammen mit einem Stift und deinem Ausweis mit. Alles weitere werde ich dann direkt vor Ort erklären.
Zur Vereinfachung des Signierens habe ich auch einen
Schlüsselring hochgeladen.
Weiterhin läuft morgen (2005-02-25) die Einreichungsfrist der Keys für das
Keysigning zu den
Chemnitzer Linuxtagen. Wer also noch nicht angemeldet ist, sollte sich beeilen.
Wenn man sich im
Usenet bewegt, findet man neben hilfreichen Diskussionen natürlich auch einiges
Lustiges. So wurde die Gruppe
de.alt.netdigest geschaffen, um dort “aktuellen und klassischen Humor aus allen Netzen” (laut der
Charta) zu sammeln. Vielen Leuten fiel in der letzten Zeit auf, dass die Beiträge nicht mehr wirklich humorvoll oder lustig sind. Auch schien der Moderator Beiträge einiger Leute generell nicht mit aufzunehmen.
Also ist es Zeit für was Neues und Besseres.
Adi hat das lobenswerterweise umgesetzt und
ADAN, das alternative dan geschaffen. Dies ist ein PHP-Skript, das die E-Mails der Einreicher entgegennimmt und in eine DB schreibt. Ein “Komittee” überprüft und bewertet die Einreichungen. Die Resultate werden vorerst in die Newsgroup
thur.test gepostet und auf einer
Webseite veröffentlicht. Ich fand diese Ergebnisse bislang wesentlich besser als beim original.
Derzeit läuft das noch in einer Testphase. Wenn also jemand etwas beitragen möchte, kann er den Anweisungen auf
adan.html folgen und eine E-Mail an adan[*]bb.thur.de schreiben.
Andreas Krennmair entschloß sich Anfang Januar, den bisherigen Stand des Mailprogrammes
mutt abzuspalten und auf eigene Faust weiterzuentwickeln (forken). Seitdem ist einiges passiert.
Kurze Zeit nach der Ankündigung wurde man natürlich auch auf der mutt-Mailingliste auf die neue “Konkurrenz” aufmerksam. Nach einer längeren Diskussion ist dort die Entwicklung wieder richtig in Schwung gekommen. Derzeit steht die dritte neue und verbesserte Version von mutt vor der Tür. Im Gegensatz zu früheren Zeiten scheinen die Entwickler wirklich wieder offen für neue Features zu sein. Ich kann nur hoffen, dass es so bleibt.
Andreas kommt mit
mutt-ng gut voran. Momentan wurden in das
Subversion 74 Änderungen eingepflegt. Ich checke in regelmäßigen Abständen eine Version aus und teste diese. Bislang konnte ich nur kleine Probleme feststellen. Diese wurden nach einer Diskussion auf der
Mailingliste behoben.
Um den Nutzern weitere Informationen über die Entwicklung von mutt-ng zu geben, hat Andreas ein
Weblog eingerichtet. Dort sollen in Zukunft die wesentlichen Änderungen berichtet werden.
Wenn jemand nun nicht unbedingt selbst configure- und make-Läufe machen möchte und Debian nutzt, dem kann auch geholfen werden.
Norbert Tretkowski bietet seit heute
inoffizielle Debianpakete für mutt-ng an.
Ich kann nur raten mutt-ng mal auszuprobieren. Man muss einfach seine alte
.muttrc
in
.muttngrc
umbenennen. Danach startet man mutt-ng und fertig. Also dann ran an die Tastatur und testen! Bitte meldet alle Fehler, die ihr findet.
Wer seine Usetnetbeiträge mit dem
Mozilla Thunderbird liest, hat es sicher schon gemerkt. Wenn Newsgroups einen langen Namen, wie z.B. de.comm.infosystems.www.authoring.misc, haben, werden diese in der Anzeige einfach abgekürzt (d.c.i.w.authoring.misc). Das Ganze kann allerdings auch unbeabsichtigte Folgen haben. Stellt euch vor, ihr wollt die Newsgroup ba.jobs.offered lesen.
Quelle:
comp.risks
Heute gab es auf
meinen Seiten Updates. Das Layout der Seiten wurde komplett überarbeitet. Das Design stammt zum großen Teil aus einer Diskussion mit
Uwe Köhn. Besten Dank Uwe für die Vorschläge.
Sollte euch das Design nicht gefallen, bitte ich um einen Kommentar oder eine E-Mail.
Weiterhin gab es von Wordpress vor kurzem eine neue stabile Version. Daher sieht auch das Blog jetzt ein wenig anders aus. Ich muss mich erst noch in die neuen Features einlesen und werde wahrscheinlich auch hier vom Standarddesign wegkommen. Doch das muss noch ein paar Tage warten.
William Burr, der Manager der Security Technology Group des
NIST, berichtete, dass man plant, die Unterstützung für SHA-1 bis 2010 auslaufen zu lassen. Als Ersatz solle SHA256 bzw. SHA512 zum Einsatz kommen.
Bei einem internen Meeting hatten sich nach seinen Worten einige Kritiker gemeldet. Zuvor hatten bereits andere Kryptographen Bedenken angemeldet. Auch von der Benutzung von MD5 (siehe auch
MD5 To Be Considered Harmful Someday) wird abgeraten.
Quelle:
FCW.com
In den letzten Tagen tauchten einige Veröffentlichungen bei Bugtraq bzw. Full-Disclosure zum Mozilla Firefox auf. Diese betrafen zum Teil auch andere Browser:
- Probleme bei internationalisierten Domainnamen
Seit Anfang 2004 können URLs auch Sonderzeichen enthalten. Neben den deutschen Umlauten ist es auch möglich, griechische, arabische oder russische Buchstaben zu verwenden. Die Studenten Evgeniy Gabrilovich and Alex Gontmakher zeigten in ihrer Veröffentlichung “The homograph attack” bereits im Mai 2002, dass man mit kyrillischen Buchstaben URLs fälschen kann. Damals diente die URL von Microsoft zur Demonstration. In dieser Woche kam nun die Shmoo Group mit einem Advisory (siehe Demo auf http://www.shmoo.com/idn/, das auf Paypal abzielt.
Als Workaround für diese Schwachstelle kann man im Firefox in der Adressleiste about:config eingeben und dann nach network.enableIDN
suchen. Ein Doppelklick darauf deaktiviert die Funktion. Allerdings muss dies bei jedem neuen Öffnen wieder gemacht werden. Die Entwickler von Mozilla arbeiten daran, eine ordentliche Lösung zu schaffen. Wie auch schon Kai Raven in “Firefox - IDN - 0 Info - 0 Transparenz” bemerkt, gibt es keinerlei Hinweise der Entwickler über die bestehende Schwachstelle. Gerade ein Projekt wie Mozilla muss Transparenz gegenüber seinen Nutzern bieten, sonst ist das anfängliche Vertrauen in den Browser schnell wieder verspielt.
- Firetabbing, -dragging und -flashing
- Michael Krax veröffentlichte gleich drei Schwachstellen. Bei der ersten geht es um das Anfassen und Verschieben von Objekten (Drag & Drop). Wenn man ein speziell präpariertes Bild auf den Desktop bewegt, wird auf einmal eine Batchdatei daraus. Diese kann dann vom Nutzer durch einen Doppelklick ausgeführt werden.
Die weiteren Lücken betreffen den JavaScriptManager und die Veränderung von Werten in der Konfiguration. Ich hoffe, diese werden ebenfalls in den nächsten Tagen gefixt.