Dafür ist es das erste Template, das sich auf eine beliebige Viewport-Größe skalieren lässt, da ich diesmal keine fixen Pixelgrößen sondern Prozentwerte für die Größenangaben der Elemente verwendet habe. Da der neue Internet Explorer auch endlich Alpha-Transparenz für PNGs unterstützen wird, musste ich natürlich auch damit ein wenig herumspielen.
Den Button "To cool for IE" habe ich, obwohl das Projekt mittlerweile beendet ist, eingefügt, da die Alpha-Transparenz im aktuellen IE noch nicht funktioniert. Damit sich auch niemand wundert wenn er sich die Vorschau mit diesem Browser ansieht.]]>
Eine gute Stunde später fegte ihn ein markerschütternder Schrei beinahe
von der Schüssel. Draußen auf dem Gang rannten sich die Kollegen
gegenseitig über den Haufen. Zwei Assistentinnen aus dem fünften Stock
führten eine vollkommen hysterische Sonja zum Lift.
“Pleitgen! Pleitgen hat’s erwischt! Unglaublich! Innerhalb einer Woche…”
Ferdinand Leisch schaffte es, einen Blick in Pleitgens Büro zu werfen,
bevor der Notarzt eintraf. Pleitgen saß etwas zusammengesunken in seinem
uralten Ledersessel, die Augen waren halb geschlossen und ein schwaches
Lächeln umspielte seine dünnen Lippen. Die Lesebrille hatte er noch auf
der Nase.
Nicht nur für BAFH-Fans gibt es beim SZ-Krimiblog diese lesenwerte Kurzgeschichte von Florian Leisch (u. a. "Wenn Stimmen töten").]]>
"Mit Open Source-Tools Spam & Viren bekämpfen"
"Linux-Firewalls - Ein praktischer Einstieg"
"Linux Praxishandbuch"
"Die GPL kommentiert und erklärt"
Ich hätte die Titel gerne verlinkt, aber leider ist die Homepage des Verlags zur Zeit nicht erreichbar.
]]>
Zitat:
What is affected?
- -----------------
The vulnerabilities described in this advisory affect implementations of the
Domain Name System (DNS) protocol. Many vendors include support for this protocol in their products and may be impacted to varying degrees, if at all.
[...]
Impact
- ------
If exploited, these vulnerabilities could cause a variety of outcomes including,
for example, a Denial-of-Service (DoS) condition. In most cases, they can expose
memory corruption, stack corruption or other types of fatal error conditions. Some of these conditions may expose the protocol to typical buffer overflow exploits, allowing arbitrary code to execute or the system to be modified.
Verschiedene Hersteller haben die Lücke schon bestätigt oder ihre Produkte für sicher erklärt, andere befinden sich noch in der Testphase. Mehr Informationen im NISCC-Advisory oder bei der Computerwoche.]]>
Der Exploit wurde Microsoft bereits am 26. April zur Verfügung gestellt, öffentlich soll er nicht gemacht werden. Die Lücke sollte aber trotzdem nicht unterschätzt werden, da bereits der Besuch einer präparierten Webseite reicht um einen Angreifer die volle Kontrolle über das Sytem zu übernehmen zu lassen. Da nicht alle Entwickler so gute Absichten haben wie die von Secunia, könnte in den nächsten Tagen trotzdem ein PoC an die Öffentlichkeit gelangen.
Einen Workaround für die Lücke gibt es nicht, auch das Deaktivieren von ActiveScripting zeigt keine Wirkung. Einen Patch gibt es ebenfalls noch nicht, man kann Anwendern des IE also nur zum Wechsel des Browsers raten. Da auch in Firefox zur Zeit ein ungestopftes Sicherheitsloch existiert, bleibt eigentlich nur noch Opera als Alternative.
]]>
]]>
Der 1610 neben meinem
Schreibtisch
Bis vor kurzem habe ich einen HP PSC 1315 verwendet, der laut HP mittlerweile schon nicht mehr verkauft wird. Es ist ein All-in-One Farbtintenstrahler, mit dem ich eigentlich zufrieden war. Die Druckqualität war für einen Tintenstrahler mehr als zufriedenstellend und auch gescannte Dokumente sahen wirklich gut aus. Außerdem ist die Möglichkeit, von einem Dokument mal schnell eine Kopie machen zu können, ohne den PC einzuschalten, mehr als praktisch. Nur leider ist ihm die Tinte ausgegangen. Da Nachfüllpatronen teuer sind und ich schon immer auch privat einen Laserdrucker nutzen wollte, kam mir das Angebot von Samsung gerade recht.Aufgrund des günstigen Preises entschied ich mich für den ML-1610 von Samsung. Als zusätzliches Argument für diese Entscheidung läuft bei Samsung gerade eine Cashback-Aktion, u. a. eben auch für diesen Drucker. Für einen zwischen dem 15.02. und 31.05. gekauften 1610 erstattet Samsung 20,- €, was den Preis auf 69,90 € fallen lässt. Die technischen Daten reichen für meine Zwecke (gelegentliches Drucken von Texten und Tabellen, nur schwarz-weiß, keine Fotos) vollkommen aus:
Zitat:
Geschwindigkeit
bis zu 16 Seiten/Minute
Auflösung
600 x 600 dpi
Druck der 1. Seite
< 10 Sek.
Speicherkapazität
2 MB
Prozessor
Samsung SPGPm 150 MHz
Schnittstellen
USB 1.1
Ich konnte also nicht widerstehen. Nach kurzer Suche im Internet fand ich einen Händler in der Nähe, der den Drucker sogar mit dem bereits verringerten Preis in seinem Shop gelistet hatte. Eher ungewöhnlich, aber eine Online-Bestellung ist sowieso nicht möglich, daher wird auch jeder Käufer sicher über die Modalitäten der Aktion aufgeklärt.
Nach den ersten beiden Einsatzwochen bin ich wirklich zufrieden. Allein schon die gewohnt hervorragende Qualität eines Laserdrucks bestätigen mich jedesmal in der Ansicht, einen guten Kauf getätigt zu haben. Die mitgelieferte Kartusche reicht für 1.000 Seiten, eine nachgekaufte für die doppelte Menge. Das schafft keine Tintenpatrone, auch wenn sie im Double (schwarz und C/M/Y) gekauft fast so viel kosten wie der 1610.
]]>
Natürlich reicht es auch nicht mich einmal anzurufen. Nein, die netten Damen und Herren nerven schon seit Monaten mit regelmäßigen Anrufen. Vielleicht sollte ich mal einen freundlichen aber bestimmten Brief an die Geschäftsführung schreiben.
Ich vermute nämlich, dass das Telemarketing bei dieser Zeitung outgesourced wurde. Es ist schwerlich vorzustellen, dass die Zeitung eine derartige Behandlung potentieller Kunden gutheißen würde.]]>
Die ersten, einfachen Tests (nur der gesuchte String mit ein wenig Drumherum, um zu sehen ob der Ausdruck matcht) verlaufen noch ohne Probleme. Doch dann kommt der Einsatz im realen Umfeld. Da wirken dann eben noch Formatierungen, Steuerzeichen, wesentlich mehr Text und zahlreiche andere reguläre Ausdrücke, was meist zur Folge hat, dass der neue Ausdruck nicht in seiner ursprünglichen Form bleiben kann.
Bis der Ausdruck dann auch wirklich unter allen Umständen so funktioniert wie ich mir das vorstelle, ist meist ein tagelanges Herumgefeile an Kleinigkeiten nötig. Aber umso größer ist die Freude und Erleichterung wenn er endlich das tut was er soll.
]]>
Betroffen sind die drei Funktionen wordwrap(), array_fill() und substr_compare(). Wordwrap() berechnet einen Integer falsch, was zum erwähnten Heap-Overflow führen kann, array_fill() kann bei einer entsprechenden Einstellung in der php.ini den gesamten Arbeitsspeicher aufbrauchen und substr_compare() verursacht unter bestimmten Bedingungen eine Speicherzugriffsverletzung.
Laut Infigo wurden die Entwickler bereits mehrmals kontaktiert, erhielt aber keine Rückmeldung. Dementsprechend gibt es auch keine Patches.]]>
Zitat:
This evening we released IE7 Beta 2 at http://www.microsoft.com/ie. This release is not the preview or the update to the preview, but the real Beta 2 of IE7 for Windows XP SP2, Windows Server 2003 SP1, and Windows XP 64-bit Edition. Simply: please try it.
Die Version ist also keine Preview und auch keine Update eines Previews sondern die wahre, wirkliche und echte zweite Beta des Browsers.
Bis jetzt zwar nur in Englisch, aber Versionen für andere Sprachen sollen in den nächsten Wochen folgen.]]>
Zitat:
Software:
Firefox Web Browser
Tested:
Linux, Windows clients' version 1.5.0.2
Result:
Firefox Remote Code Execution and Denial of Service - Vendor contacted, no patch yet.
Problem:
A handling issue exists in how Firefox handles certain Javascript in js320.dll and xpcom_core.dll regarding iframe.contentWindow.focus(). By manipulating this feature a buffer overflow will occur.
Proof of Concept:
http://www.securident.com/vuln/ff.txt
Der Browser scheint also die Funktion iframe.contentWindow.focus() falsch zu verarbeiten. Durch eine Manipulation lässt sich ein Buffer Overflow erzeugen.]]>
Der Verbraucherzentrale Bundesverband hatte das Unternehmen auf Unterlassung verklagt. Dem Gericht hatten in der Sache zwei Broschüren aus dem Jahr 2005 vorgelegen, in denen das Kleingedruckte mit einer Schriftgröße von 4,5 Punkt abgebildet war.
Laut dem Gericht müssten die potenziellen Kunden schon über sehr scharfe Augen verfügen, um den Text überhaupt entziffern zu können. Endlich wird das auch mal gerichtlich bestätigt.
]]>
Zitat:
Perhaps not surprisingly, there appears to be a vulnerability in how
Microsoft Internet Explorer handles (or fails to handle) certain
combinations of nested OBJECT tags. This was tested with MSIE
6.0.2900.2180.xpsp.040806-1825 and mshtml.dll 6.00.2900.2873
xpsp_sp2_gdr.060322-1613.
At first sight, this vulnerability may offer a remote compromise vector,
although not necessarily a reliable one. The error is convoluted and
difficult to debug in absence of sources; as such, I cannot offer a
definitive attack scenario, nor rule out that my initial diagnosis will be
proved wrong [*]. As such, panic, but only slightly.
Probably the easiest way to trigger the problem is as follows:
perl -e '{print "<STYLE></STYLE>\n<OBJECT>\nBork\n"x32}' >test.html
...this will (usually) cause a NULL pointer + fixed offset (eax+0x28)
dereference in mshtml.dll, the pointer being read from allocated but still
zeroed memory region.
The aforementioned condition is not exploitable, but padding the page with
preceeding OBJECT tag (and other tags), increasing the number of nested
OBJECTs, and most importantly, adding bogus 'type=' parameters of various
length to the final sequence of OBJECTs, will cause that dereference to
become non-NULL on many installations; then, a range of other interesting
faults should ensue, including dereferences of variable bogus addresses
close to stack, or crashes later on, when the page is reloaded or closed.
Diesmal sind es also verschachtelte OBJECT-Tags die dem Explorer Schluckauf verursachen. Laut der Mail ist die Lücke nicht exploitable, verursacht aber eine Reihe anderer Fehler, die den Explorer zum Absturz bringen und über die evtl. schadhafter Code ausgeführt werden kann.
Zalewski hat vier Testseiten zur Verfügung gestellt, die das Problem demonstrieren:
Zitat:
http://lcamtuf.coredump.cx/iedie2-1.html (eax=0x0, instant dereference)
http://lcamtuf.coredump.cx/iedie2-2.html (bogus esi on reload/leave)
http://lcamtuf.coredump.cx/iedie2-3.html (page fault on browser close)
http://lcamtuf.coredump.cx/iedie2-4.html (bogus esi on reload/leave)
Bei meinen Tests mit einem IE 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158) bringen nur die ersten beiden Links den Explorer zum Absturz. Die Tests von heise Security zeigten ein anderes Ergebnis.]]>
Zitat:
From: Niels Braczek <[email protected]>
Newsgroups: de.comp.lang.php.datenbanken
Subject: Re: geschützte Website
Date: Fri, 21 Apr 2006 18:30:25 +0200
[Verschlüsselung und Hashes]
Generell gibt es *keine* sichere Methode, Daten vor unberechtigtem
Zugriff zu schützen, die von der vollständigen Vernichtung dieser Daten
verschieden ist. Man kann nur bestrebt sein, die Hürde so hoch zu legen,
dass der Gewinn in keiner Relation zum Aufwand steht.
Sehr schön gesagt.
]]>
Diese Reise ist jetzt in leicht abgeänderte Form wirklich möglich. Wie bei Technology Review zu lesen, hat eine israelische Firma eine winzige Kapsel entwickelt, die nach oraler Einnahme jede Sekunde zwei Fotos von ihrer Reise macht. Die Fotos werden an einen Sensor auf dem Bauch gesendet und in einem mobilen Hard-Disk-Recorder gespeichert.
Natürlich kann man die Kapsel nicht mit einer Reise durch den kompletten Körper vergleichen, aber die in der Bilderstrecke gezeigten Aufnahmen des Magen-Darm-Trakts sind trotzdem interessant. Gerade weil die so erforschten Bereiche des Körpers anders nicht sichtbar gemacht werden können.]]>
Zitat:
User Interface
Enabled support for BitTorrent.
Added opera:config for managing preferences.
Enhanced pop-up blocker to detect more unwanted pop-ups.
Messaging and Newsfeeds
New account storage format. If you install over an existing profile, you will be prompted to convert all accounts into the new format. This will not require a re-index.
Added support for Atom 1.0.
Display
Added support for CSS 3 opacity.
Added support for CSS 3 attribute and UI selectors.
@import is now supported in user stylesheets.
Improved handling of tables, iframes, and BIDI in ERA.
Images
SVG support increased to SVG 1.1 basic.
Added support for YCCK and CMYK formats in JPEG images.
Es gibt also einiges an neuen Dingen zu bestaunen. Besonders beachtet werden sollte, dass es ein neues Format für die Speicherung von Accounts gibt. Wenn die Beta über eine existierendes Profil installiert wird, werden alle Accounts konvertiert. Das hat zur Folge, dass die darin gespeicherten Mails mit älteren Versionen nicht mehr gelesen werden können.]]>
Als ich mich gestern schon wunderte, dass die Lieferung des Shopbloggers so lange auf sich warten lässt, klingelte es an der Tür. Die Treppe hinauf kam der Bote von Hermes, der mir die bestellten Ostergeschenke lieferte.Leider etwas spät, aber bei der Bestellnummer 80 muss man wohl schonmal eine Verzögerung in Kauf nehmen. Dafür habe ich dann mit meiner Handykamera mal ein Foto der drei Tafeln gemacht, damit die Kamera wenigstens einen sinnvollen Einsatzzweck findet. Wie man sieht, lässt die Qualität etwas zu wünschen übrig, aber leider hatte ich keine andere Kamera zur Hand.
]]>