Qbi's Weblog

Am 2005-04-22 und 2005-04-23 findet der Brandenburger Linux Infotag statt. Neben einem vielfältigen Vortragsprogramm gibt es da auch wieder eine Keysigningparty. Falls daran gern teilnehmen möchtest, sende deinen Schlüssel (oder den Fingerprint) bis zum 2005-04-15 an jens@kubieziel.de (also an mich) und drucke dir nach dem Ende der Einreichungsfrist die Liste der Teilnehmer aus. Diese bringst du dann zusammen mit einem Stift und deinem Ausweis mit. Alles weitere werde ich dann direkt vor Ort erklären. Zur Vereinfachung des Signierens habe ich auch einen Schlüsselring hochgeladen. Weiterhin läuft morgen (2005-02-25) die Einreichungsfrist der Keys für das Keysigning zu den Chemnitzer Linuxtagen. Wer also noch nicht angemeldet ist, sollte sich beeilen.

Andreas Krennmair entschloß sich Anfang Januar, den bisherigen Stand des Mailprogrammes mutt abzuspalten und auf eigene Faust weiterzuentwickeln (forken). Seitdem ist einiges passiert. Kurze Zeit nach der Ankündigung wurde man natürlich auch auf der mutt-Mailingliste auf die neue “Konkurrenz” aufmerksam. Nach einer längeren Diskussion ist dort die Entwicklung wieder richtig in Schwung gekommen. Derzeit steht die dritte neue und verbesserte Version von mutt vor der Tür. Im Gegensatz zu früheren Zeiten scheinen die Entwickler wirklich wieder offen für neue Features zu sein. Ich kann nur hoffen, dass es so bleibt. Andreas kommt mit mutt-ng gut voran. Momentan wurden in das Subversion 74 Änderungen eingepflegt. Ich checke in regelmäßigen Abständen eine Version aus und teste diese. Bislang konnte ich nur kleine Probleme feststellen. Diese wurden nach einer Diskussion auf der Mailingliste behoben. Um den Nutzern weitere Informationen über die Entwicklung von mutt-ng zu geben, hat Andreas ein Weblog eingerichtet. Dort sollen in Zukunft die wesentlichen Änderungen berichtet werden. Wenn jemand nun nicht unbedingt selbst configure- und make-Läufe machen möchte und Debian nutzt, dem kann auch geholfen werden. Norbert Tretkowski bietet seit heute inoffizielle Debianpakete für mutt-ng an. Ich kann nur raten mutt-ng mal auszuprobieren. Man muss einfach seine alte .muttrc in .muttngrc umbenennen. Danach startet man mutt-ng und fertig. Also dann ran an die Tastatur und testen! Bitte meldet alle Fehler, die ihr findet.

In den letzten Tagen tauchten einige Veröffentlichungen bei Bugtraq bzw. Full-Disclosure zum Mozilla Firefox auf. Diese betrafen zum Teil auch andere Browser:

Probleme bei internationalisierten Domainnamen

Seit Anfang 2004 können URLs auch Sonderzeichen enthalten. Neben den deutschen Umlauten ist es auch möglich, griechische, arabische oder russische Buchstaben zu verwenden. Die Studenten Evgeniy Gabrilovich and Alex Gontmakher zeigten in ihrer Veröffentlichung “The homograph attack” bereits im Mai 2002, dass man mit kyrillischen Buchstaben URLs fälschen kann. Damals diente die URL von Microsoft zur Demonstration. In dieser Woche kam nun die Shmoo Group mit einem Advisory (siehe Demo auf http://www.shmoo.com/idn/, das auf Paypal abzielt.

Als Workaround für diese Schwachstelle kann man im Firefox in der Adressleiste about:config eingeben und dann nach network.enableIDN suchen. Ein Doppelklick darauf deaktiviert die Funktion. Allerdings muss dies bei jedem neuen Öffnen wieder gemacht werden. Die Entwickler von Mozilla arbeiten daran, eine ordentliche Lösung zu schaffen. Wie auch schon Kai Raven in “Firefox - IDN - 0 Info - 0 Transparenz” bemerkt, gibt es keinerlei Hinweise der Entwickler über die bestehende Schwachstelle. Gerade ein Projekt wie Mozilla muss Transparenz gegenüber seinen Nutzern bieten, sonst ist das anfängliche Vertrauen in den Browser schnell wieder verspielt.

Firetabbing, -dragging und -flashing

Michael Krax veröffentlichte gleich drei Schwachstellen. Bei der ersten geht es um das Anfassen und Verschieben von Objekten (Drag & Drop). Wenn man ein speziell präpariertes Bild auf den Desktop bewegt, wird auf einmal eine Batchdatei daraus. Diese kann dann vom Nutzer durch einen Doppelklick ausgeführt werden.
Die weiteren Lücken betreffen den JavaScriptManager und die Veränderung von Werten in der Konfiguration. Ich hoffe, diese werden ebenfalls in den nächsten Tagen gefixt.

Ich hatte meinen Mitstudenten schon seit längerer Zeit mal angekündigt, dass ich Ihnen eine Einführung in das Textsatzsystem LaTeX geben wollte. Gestern nun fand ich die Zeit, das Vorhaben auch umzusetzen. Ich versuchte den Kurs stark an meinem Tutorial zu orientieren. Denn im Gegensatz zum Text bekomme ich hier direkt Feedback und sehe, ob das Ganze verständlich ist. Nach einigen einführenden Worten mussten die Teilnehmer einen ersten kleinen Text setzen, der dann im Laufe des Kurses im weiter strukturiert und damit auch komplizierter wurde. Anfänglich hatte ich doch Bedenken, ob LaTeX für den gemeinen Word- oder Openoffice-Nutzer nicht zu kompliziert ist. (Ich fand damals die Einstiegshürde für mich ziemlich hoch.) Doch die Leute kamen sehr schnell mit LaTeX zurecht und schon sehr schnell kamen Fragen auf, die ich eigentlich für zu komplex für einen Einsteigerkurs hielt. Als wir dann letztlich zum Thema “mathematischer Satz” kamen, war schiere Begeisterung zu spüren. Nachdem ich einige grundlegende Sachen erklärt hatte, konnten es die Teilnehmer kaum erwarten, wieder zum Rechner zurück zu kommen und selbst ein paar Formeln einzugeben. Viele waren deutlich begeistert und haben einen ersten Eindruck bekommen. Gleichzeitig wurde ich schon gefragt, ob ich sowas nicht nochmal für die fehlenden Leute machen könnte bzw. auch den Kurs weiter fortsetzen könnte. Ich denke, im nächsten Semester werde ich wieder einen derartiges Tutorial anbieten. Wenn der Schluss zulässig ist, scheint somit auch mein Tutorial im Netz den Leuten weiterzuhelfen. Ich müsste nur genügend Zeit finden, um das noch weiter auszubauen ...

In einer Pressemitteilung gab das BSI heute bekannt, dass die Benutzerführung von KMail deutlich verbessert wurde. Diese Verbesserungen passierten im Rahmen des Projektes Ägypten2. Wenn ich wieder etwas Zeit habe, werde ich mir KMail mal anschauen und den Bericht zu den GPG-Frontends hinzufügen.