Qbi's Weblog

Surfen bedeutet für die meisten, einen Link anzuklicken oder die Adresse einzugeben und die Ergebnisse im Browser anzuschauen. Doch dabei entgeht dem Nutzer vieles. Im konkreten Falle nämlich die HTTP-Header. Andrew Wooster hat die Header von 2,7 Millionen Seiten ausgewertet und steiss dabei auf sehr interessante Ergebnisse. Es fanden sich Telefonnummern (Phone: (888) 817-8323), subliminale Botschaften (X-Subliminal: You want to buy as many games as you can afford) und anderen Nettigkeiten. Die Seite ist unbedingt sehenswert!

Netcraft schreibt in einem Artikel, dass verschiedene US-Banken ihre Loginformulare auf nicht-SSL-basierten Seiten anbieten. Zu den Instituten gehören Bank of America, Wells Fargo, Wachovia und Chase sowie auch American Express. Aufgrund der höheren Serverlast führen SSL-Seiten zu längeren Wartezeiten. Dies scheint den Kunden der Institute zuviel zu sein. So hat man die Praxis geändert. Gerade in Zeiten von Phishing und diversen Angriffen solch eine Praxis einzuführen, halte ich für äusserst gefährlich. Und das das dann noch von den großen Banken gemacht wird, ist noch schlimmer. Ich bin gespannt, wie lange es dauern wird, bis man hier mit einem MitM-Angriff loszieht.

Der Schockwellenreiter hat in den letzten Tagen immer mal über WLAN-Netze in div. Städten berichtet. Wenn alles gut geht, könnte es auch in Jena bald soweit sein. Diverse Viertel in Jena müssen seit langer Zeit mit ohne-DSL leben, da die verbauten Kabel Glasfaser sind. Nachdem wir mit dem Verein Thüringen-Netz schon einige Versuche in der Richtung unternommen hatten, versucht sich nun der Naos Jena e.V. mit dem Projekt. Mittlerweile steht eine kleine Leitung und diverse APs. Also habe ich wieder mal Hoffnung geschöpft, auch zu Hause schnelles Internet zu haben.

Gestern abend hatte ich noch eine nette Unterhaltung mit einem passionierten Jäger. Normalerweise nutzt man zur Jagd ein Gewehr (so ist zumindest meine Vorstellung). Doch er gehört zu den wenigen Leuten, die Tiere mit Pfeil und Bogen erlegen. Als ich davon hörte, glaubte ich, dass dies recht brutal zugeht. Denn in meiner naiven Vorstellung sah ich jemanden, der mit einer geschnitzten Weidenroute und darum gespannter Schnur loszieht. Solche Pfeile bleiben dann natürlich zwangsläufig im Körper stecken und verursachen Schmerzen. Seine “Werkzeuge” waren jedoch komplett anders. Die Pfeilsitze sah aus, als ob dies zwei gekreuzte Rasierklingen sind. Die sind dann auch entsprechend scharf. Auch ist der Bogen eher im Bereich High-Tech anzusiedeln. Alles in allem erreicht der Jäger damit recht hohe Geschwindigkeiten und der Pfeil bleibt keineswegs im Tier stecken. Vielmehr ist es wohl so, dass es bei der Jagd meist einen Durchschuss gibt. Im Gegensatz zu Schussverletzungen spüren die Tiere wohl oft kaum etwas vom Treffer. Sie bleiben wohl vielmehr stehen, schauen ein wenig erschreckt und machen erstmal weiter. Wenn der Schuss gut sitzt, führt das dazu, dass das Tier langsam verblutet und nach einer Weile einfach umfällt. Falls nicht, hat es eine Verletzung, die nach einigen Tagen wieder abheilt. Für mich klang das so, als ob das Jagen mit Pfeil und Bogen wesentlich tierfreundlicher ist, als das Jagen mit Gewehr. Denn nach einem Schuss rennt das Tier meist noch weg, schüttet Stresshormone aus und, falls der Treffer nicht richtig sitzt, hat es noch dauernde Verletzungen, an denen es am Ende qualvoll stirbt.

Als ich mich im Januar entschloss, mir ein Blog zuzulegen, habe ich mich für Wordpress entschieden. Obwohl die Software in PHP geschrieben wurde und damit schon fast automatisch eine Sicherheitslücke ist, dachte ich, dass ich damit gut leben kann und die Software erfüllte meine Anforderungen. Doch zuletzt gab es hier zahlreiche sicherheitskritische Lücken. Diese wurden z.T. eher langsam behoben. Stefan Esser schreibt heute, dass die WP-Entwickler auch noch stillschweigend den Tarball geupdated haben. Aus meiner Sicht ist das komplett verantwortungslos, da man so die Leute, die sich ein (altes) Update zogen, komplett im Regen stehen lässt. Es wird also Zeit, mir hier eine bessere Software zuzulegen. Wenn ich zurück bin, nehme ich das in Anlauf. Bis dahin bin ich auch offen für eure Vorschläge.

Es ist nun fast ein halbes Jahr her, da schrieb ich in einem Beitrag hier über die aktuellen Schwächen von SHA-1. Heute berichtet Bruce Schneier, dass SHA-1 weiter in Bedrängnis kommt. Der Angriff wurde weiter verbessert und kann nun mit einer Komplexität von 2⁶³ vollzogen werden (verglichen mit 2⁸⁰ bei Brute Force). Zu diesen Ergebnissen existieren derzeit noch keine Veröffentlichungen und die Entdecker der Attacke erhielten kein Visum, um an der Crypto 2005 teilzunehmen. So konnte nur Adi Shamir dies auf dem Kongress vortragen. Allerdings wird erwartet, dass der Angriff demnächst noch weiter verbessert wird. Somit ist auch SHA-1 als faktisch nicht mehr benutzbar anzusehen. Tja, und welchen Hashalgorithmus greifen wir morgen an?

Meine Frau ist mittlerweile international viel auf den Beinen und arbeitet diese Woche mal in Dänemark. So habe auch ich mich kurzfristig entschieden, mitzukommen und verbringe diese Woche auf Tåsinge bzw. in Svendborg (Svendborg bei Wikipedia). Während Heidi die Zahl der in Dänemark tätigen Kieferorthopäden kurzfristig um 5% erhöht, ziehe ich es vor, mich als Tourist zu verkleiden. So ziehe ich mich ann sonnige Plätze zurück und lerne ein wenig für meine nächste Klausur bzw. schmökere in meinem neuesten O’Reilly-Buch “Linux Server-Sicherheit”. Alle, die auf Antworten ihrer E-Mails warten, muss ich noch etwas vertrösten. Erst in der nächsten Woche werde ich wieder sinnvoll auf E-Mails antworten können. (Internetcafes sind nicht unbedingt der Ort, in dem man verschlüsselte E-Mails lesen bzw. irgendwelche SSH-Sitzungen aufmachen will.) Svenborg ist an sich ein kleiner Ort mit etwas über 40.000 Einwohnern. Allerdings ist er nach Roskilde der zehngrösste Ort des Landes. Hier gibt es ein nettes Stadtzentrum mit den typischen roten Backsteinhäusern und natürlich viele Boote. Wir finden auch die Tatsache, dass in den Kinos Originalfilme mit Untertiteln kommen, sehr ansprechend. So haben wir gestern gleich die Gelegenheit genutzt und schauten uns The hitchhikers guide to the galaxy an. Es ist in der Tat wirklich besser solche Filme im Original zu sehen, da zum einen diverse Gags besser rüber kommen und andererseits habe ich den Film auch wesentlich besser verstanden als die deutsche Version. Eine weitere Tatsache, die mir bei den Leuten hier sofort gefällt, dass jeder, den ich bislang traf, auch englisch kann. Das erleichtert die Kommunikation enorm. In Svendborg sind derzeit Festspiele, bei denen allerdings zumeist lokale Musik gespielt wird. Heute abend gibt es ein wenig Jazz vom Pierre Dørge + New Jungle Orchestr auf die Ohren und das werden wir uns mal anhören. Am Wochenende werden wir noch einen Abstecher nach Kopenhagen und evtl. Malmö machen und am Sonntag geht es dann wieder ab nach Jena.

Derzeit muss ich einen Zugang aus einem Internetcafe nutzen. Hier gibt es nur den Internet Explodierer als Browser. Dabei fiel mir auf, dass das Menu auf der rechten Seite auftaucht und wieder verschwindet, wenn ich mit der Maus drüberfahre. Falls jemand auch mit dem IE auf das Blog zugreift, bitte ich mal um einen kurzen Bericht, wie das bei ihm aussieht. Danke

Die zsh bringt einen äusserst mächtigen Mechanismus zum sog. Globbing, d.h. zur Ermittlung von Dateinamen, mit. Wie das funktioniert, will ich nun an einigen Beispielen demonstrieren:

Du hast in einem Projekt folgende Dateien angelegt:

kubijens@ppc210:~/TeXing/ > ls
file10.tex  file13.tex  file3.tex  file6.tex  file9.tex
file11.tex  file1.tex   file4.tex  file7.tex  Makefile
file12.tex  file2.tex   file5.tex  file8.tex  master.tex

Um vom Globbing der zsh zu profitieren, solltest du dies zuerst einschalten. Gib dazu die Zeile setopt extendedglob entweder direkt in die .zshrc oder in die Kommandozeile ein. Nun steht dir das erweiterte Globbing voll zur Verfügung.

Stell dir vor, du hast die obigen LaTeX-Dateien kompiliert. Dadurch sind dann eine Menge an .aux-, .log und .dvi-Dateien entstanden. Wenn du jetzt wissen willst, was außer den eigentichen LaTeX-Dateien denn sonst da ist, hilft das “^”. Dies neigert das ihm folgende Muster:

kubijens@ppc210:~/TeXing/ > ls ^*.tex
file10.aux  file12.aux  file1.aux  file3.aux  file5.aux  file7.aux  file9.aux
file10.dvi  file12.dvi  file1.dvi  file3.dvi  file5.dvi  file7.dvi  file9.dvi
file10.log  file12.log  file1.log  file3.log  file5.log  file7.log  file9.log
file11.aux  file13.aux  file2.aux  file4.aux  file6.aux  file8.aux  Makefile
file11.dvi  file13.dvi  file2.dvi  file4.dvi  file6.dvi  file8.dvi
file11.log  file13.log  file2.log  file4.log  file6.log  file8.log
kubijens@ppc210:~/TeXing/ > ls ^*.*  
Makefile

Eventuell kann es auch interessant sein, bestimmte Bereiche anzuzeigen:

kubijens@ppc210:~/TeXing/ > ls file<1-7>.tex 
file1.tex  file2.tex  file3.tex  file4.tex  file5.tex  file6.tex  file7.tex
kubijens@ppc210:~/TeXing/ > ls file<7->.tex
file10.tex  file11.tex  file12.tex  file13.tex  file7.tex  file8.tex  file9.tex

Richtig interessant wird es dann mit “**/”. Dieser veranlasst eine rekursive Suche. Dazu habe ich in der obigen Struktur drei Verzeichnisse mit jeweils weiteren Dateien angelegt:

kubijens@ppc210:~/TeXing/ > ls **/                                           
HTML/:
file10.html  file13.html  file3.html  file6.html  file9.html
file11.html  file1.html   file4.html  file7.html  file.html
file12.html  file2.html   file5.html  file8.html

PDF/:
file10.pdf  file12.pdf  file1.pdf  file3.pdf  file5.pdf  file7.pdf  file9.pdf
file11.pdf  file13.pdf  file2.pdf  file4.pdf  file6.pdf  file8.pdf  file.pdf

PS/:
file10.ps  file12.ps  file1.ps  file3.ps  file5.ps  file7.ps  file9.ps
file11.ps  file13.ps  file2.ps  file4.ps  file6.ps  file8.ps  file.ps
kubijens@ppc210:~/TeXing/ > ls **/file1*.*
file10.aux  file11.tex  file13.log        HTML/file11.html  PDF/file13.pdf
file10.dvi  file12.aux  file13.tex        HTML/file12.html  PDF/file1.pdf
file10.log  file12.dvi  file1.aux         HTML/file13.html  PS/file10.ps
file10.tex  file12.log  file1.dvi         HTML/file1.html   PS/file11.ps
file11.aux  file12.tex  file1.log         PDF/file10.pdf    PS/file12.ps
file11.dvi  file13.aux  file1.tex         PDF/file11.pdf    PS/file13.ps
file11.log  file13.dvi  HTML/file10.html  PDF/file12.pdf    PS/file1.ps

Ich denke, dass System ist einfach zu verstehen. Hinter dem Suchmuster kann man nun noch eine Art Vermerk machen und so die Treffer etwas einschränken. Ein Beispiel wäre, sich nur die Verzeichnisse anzeigen zu lassen. Hierzu musst du ls auch die Option -d mitgeben (-F für das Anhängen einen “/” an den Verzeichnisnamen kann u.U. auch sinnvoll sein):

kubijens@ppc210:~/TeXing/ > ls -d *(/)
HTML  PDF  PS Leer
kubijens@ppc210:~/TeXing/ > ls -dF *(/)
HTML/  PDF/  PS/ Leer/

Nur Verzeichnisse mit Inhalt anzeigen:

kubijens@ppc210:~/TeXing/ > ls -d *(F)
HTML  PDF  PS

Ausführbare Dateien (*) oder Einträge mit einem x-Bit (x) anzeigen:

kubijens@ppc210:~/TeXing/ > ls -d *(*)
file12.aux  file12.dvi  file12.log  file12.tex
kubijens@ppc210:~/TeXing/ > ls -d *(x)
file12.aux  file12.dvi  file12.log  file12.tex  HTML  Leer  PDF  PS

Es gibt hier noch zahlreiche weitere Parameter. Alle sind in der Manpage zshexpn im Abschnitt “Filename Generation” aufgeführt. Ich kann euch nur empfehlen, mal ein wenig damit herumzuspielen. Ihr werdet sehr schnell sehen, was für ein mächtiges Werkzeug ihr damit an der Hand habt.

Bei unserem gestrigen LUG-Stammtisch diskutierten wir, wie schnell es wohl gehen mag, bis Spammer eine E-Mailadresse aufschnappen und diese zum Spammen missbrauchen. Jörg Sommer stellte sich als Testperson bereit. Also liebe Spammer, schaut mal ganz genau auf die Adresse qbislog@alea.gnuu.de und macht euch an die Arbeit.

Monsanto ist in der Vergangenheit ja immer mal wieder negativ aufgefallen. Doch jetzt kommen sie wohl auf ganz neue Ideen. Greenpeace hat herausgefunden, dass die Firma im Febraur 2005 einen Patentantrag auf das Schwein gestellt hat.

Vor einiger Zeit hatte ich mir einige RSS-Reader angeschaut. Dabei fiel mir insbesondere raggle auf und ich beschloss es einzusetzen. Als ich heute meine Feeds durchschaute, stiess ich u.a. auch auf den von Medienrauschen. Beim Artikel “Leute, wir werden die Welt verändern!” passierte es. Schwupps! Abgestürzt. Also gut, ich rufe den Artikel wieder auf und raggle verabschiedet sich wieder. Beim Versuch dem ganzen mit Strace auf die Spur zu kommen, hatte ich leider keinen Erfolg. Solltest du auch raggle nutzen, prüfe doch mal, ob sich das Programm bei dir auch so verhält. Ich freue mich über Kommentare. Update: Laut dem Changelog zur Version 0.4.2 sollte der Fehler behoben sein. Der Crash passierte offensichtlich durch kaputte URIs. Ich werde morgen mal kompilieren und probieren. Laut dem Maintainer des Debianpaketes wird die neueste Version auch bald in unstable verfügbar sein.

Am Wahltag geht wahrscheinlich jeder Berechtigte einfach in die Kabine nimmt einen Kuli, macht sein Kreuz und wirft den Zettel in die Urne. In den Wahlbüros von Hamburg kann sich der geneigte Wähler wie im Labor von James Bonds Q vorkommen. Denn die Kulis sind mit einer Digitalkamera ausgestattet, die auf einem speziellen Stimmzettel das Kreuz aufzeichnen und diese Daten dann per Bluetooth und Handy oder per Internet an einem Server überträgt. Natürlich ist Bluetooth ja auch krass sicher und auch sonst kann dabei nichts passieren ... Quellen: Pressemeldung der Stadt Hamburg
R-Archiv

... wenn man freitags um 00:35 Uhr ein Fehler berichtet und der montags um 8:36 Uhr behoben ist.

Eine Frage, die alle Börsianer nahezu täglich beschäftigt, ist der Stand des DAX morgen, nächste Woche oder in einem Jahr. Schliesslich kann man mit diesem Wissen erkleckliche Gewinne erzielen. Heute wartet Thomas Grüner nun mit einer recht spektakulär klingenden Prognose auf. In seiner Kolumne fragt er sich, ob der DAX schon bald auf 28.000 Punkte steigen könnte. Ausgehend von einem derzeitigen Stand von ca. 4.900 Punkten wäre das ein massiver Anstieg. Woran macht er seine Prognose fest? Grundlage ist ein Vergleich des durchschnittlichen KGVs des DAX mit den Renditen des Rentenmarkts. Derzeit beträgt das KGV des Aktienmarktes ca. 12 und das KGV des Rentenmarktes ca. 30. Damit sind Aktien trotz des höheren Risikos erheblich preiswerter bewertet als sichere Rentenpapiere. Nach der modernen Kapitalmarkttheorie ist dies eine Fehlbewertung, die irgendwann wieder ausgeglichen werden muss. Herr Grüner nimmt nun indirekt an, dass die Bewertung, wie sie im Jahre 2000 vorlag, gerecht ist. Somit kommt er zu einem Kursziel von 28.000. Allerdings gehört diese Rechnung meiner Meinung eher in das Reich der Mythologie. Eher wahrscheinlich ist, dass die Rentenpapiere im Kurs fallen, d.h. die Renditen steigen. Im Gegenzug gibt es auch eine weitere Aufwärtsbewegung bei den Aktien. Wenn man dann noch historische Durchschnittswerte betrachtet, haben die durchaus noch ein Potenzial von 50-80% nach oben. Aber selbst bei diesen Zahlen wären neue historische Höchststände greifbar.