BenBlog Clones are people two

10. August, 2006

Safety First! register_globals=off

Filed under: Web Design — Ben @ 10:18

Nachdem ich unsanft auf eine register_globals verwandte Sicherheitslücke im Joomla-Component Community Builder aufmerksam gemacht worden bin (nach Analyse des access Logs, und der eingeschleusten Backdoors ist dieser Fehler aufgrund meiner Hinweise nun vom CB-Entwickler geschlossen worden) habe ich mich entschlossen, nicht mehr mit register_globals=on leben zu wollen.

Viele Provider bieten noch immer das etwas ältere PHP4 an, und da register_globals hier standardmäßig eingeschaltet ist und viele Programme mit der Erwartung dieser Einstellung geschrieben worden sind, ändern dass die Provider auch nicht. Die Situation wird selbst für Wissende nicht besser, da es bei vielen Providern aufgrund ihrer PHP-Apache Einbindung und sonstiger Konfigurationsdetails nicht möglich ist, dies auf einer per-Account-Basis zu ändern. So auch bei 1&1.

Doch über Umwege geht es bei 1&1 dann doch. Dieser Umweg, heißt PHP5 – wo register_globals standardmäßig ausgeschaltet ist! Bei 1&1 sind sowohl PHP4 wie auch PHP5 installiert, das erste führt Dateien aus die die .php Endung haben, das zweite wird bei der .php5 Endung aktiviert. Also: man ändere das Dateiendungsmapping von Apache, und schon wird alles vom wesentlich sichereren PHP5 ausgeführt.

Wie? Ganz einfach: in das Hauptverzeichnis eine .htaccess-Datei mit folgender Zeile:

AddType x-mapp-php5 .php

Natürlich bringt diese Veränderung die Gefahr mit sich, dass manche ältere Skripte nicht einwandfrei laufen, denn für PHP4 geschriebener Code ist nicht notwendigerweise aufwärtskompatibel zur Version 5 des Parsers. Ich selbst stieß aber bei den neusten Versionen von WordPress, b2evo, Gallery, phpBB und Joomla auf keine Probleme. Nur ein selbstgeschriebenes Progi mußte um zwei Anführungszeichen ergänzt werden. Das ist gewiss nicht zu viel Arbeit, um 95% aller Angriffe abzuwehren und beruhigt schlafen zu können.

7. January, 2006

WordPress 2

Filed under: Web Design — Ben @ 12:50

Und ab heute gilt: Powered by WordPress Version 2. Auf den ersten Blick gefallen die Änderungen, die Oberfläche ist noch aufgeräumter (!) und sogar der WYSIWYG-Editor TinyMCE macht einen recht guten Eindruck. Mein Theme musste ich nicht bearbeiten und auch SpamKarma ist in einer Betaversion 2.1 für WP2 erhältlich. Ich bin begeistert und hoffe, dass das auch so bleibt.

Demnächst wieder mehr, hier im BenBlog…

3. September, 2005

Mittags in Hamburg

Filed under: Web Design — Ben @ 8:49

Kreativ war er schon immer. Mit dem Netz kam er auch gut zurecht. Also, was macht “Kulli”? Bastelt mal eben so eine Mambo basierte Seite zusammen, mit dem Namen Mittags-in-Hamburg.de. Als Unternehmensberater verbringt man sicherlich viele Mittage in der Innenstadt und da er etwas vom Essen versteht (oder es zumindest viel macht 🙂 ), erfüllt er wohl alle notwenigen Voraussetzungen um eine solche Seite richtig zu betreiben. Viel Erfolg!

15. July, 2005

WE R PAKBRAIN AND [CODE]

Filed under: Was das Leben so bringt,Web Design — Ben @ 9:34

Defacing sites with one-liners about copulating with nations, leads to political education of the western word. Right? Two days ago, PakBrain and [Code] managed to deface this and my two other sites with a highly intellectual message:

WHACKERZ OWNED YA BOX WE R PAKBRAIN AND [CODE] BIG FUCKS TO INDIA ISRAEL USA.

A group of Hackers, who call themselves “Whackerz” (how creative!), managed to use a security hole in phpSecurePages (how’s that for irony?) to place a backdoor on the server and subsequently replace all files matching *index* with 77 bytes of their gray-matter-garbage. The original attack was launched against unsere-weltreise.net, but since streeck.com and stufe98.de are hosted from the same account, all three sites were “whacked”.

Let’s take a look at PakBrain and [Code]. I’ve done a little research on the net, and found that they feel themselves to be political and religious freedom fighters. For Pakistan against India, pro Palestine contra Israel, and screw the USA twice over. They trust Allah to protect them from the police and truly believe that defacing sites owned by “westerners” will earn them sympathies and political support.

How is it, that someone smart enough to hijack a server can be so dumb?

UPDATE: After being the idiot whose site was wrecked, I started trying to understand how such an exploit works, and thus examined the code in question: phpSecurePages’ secure.php. After contacting the author, I started messing with the code and so we simultaniously developed an identical fix for the exploit (a security measure already implemented in checklogin.php needed to be copied into secure.php and slightly modified). The official download has been replaced with the new version, which is hopefully bombproof. Note, if you are using PHP4 or PHP5, replace all include() functions with require(), so that a missing file or misconfiguration leads to a fatal error and not to a security breach.

18. March, 2005

Wie geil ist das denn?
Oder: Dann wird alles besser.

Filed under: Studium,Was das Leben so bringt,Web Design — Ben @ 10:35

Und für alle die die Bedeutung dieses Spruches nicht sofort verstehen: Ich hab’s bestanden! Das alte erste StEx, das uns vom LPA auferlegt wurde, nur damit wir nach diesem Semester ins PJ zu dürfen, ist geschafft. Zumindest hat das meine eigene Auswertung ergeben, die acht Stunden langes Nachschlagen von Antworten, Recherchieren im Internet und Befragen von Fachkundigereren beinhaltete.

Und jetzt? Skiurlaub. Ich stürze mich wieder in die Schneebänke abseits der Piste und provoziere diverse Osteosynthesemethoden am eigenen Leib erleben zu dürfen. Und dann, sobald ich Krissi auf ihre Reise entlassen habe, werde ich mich diesen Seiten und einem neuen Design widmen, irgendwie muß man ja die Tatsache verdrängen daß die eigene Freundin einen für fünfeinhalb Monate verläßt. Bis das PJ anfängt, dann wird alles besser.

18. February, 2005

Anfang, der Zweite

Filed under: Web Design — Ben @ 11:06

Der zweite Anlauf… nachdem ich heute meine mündliche Pädiatrieprüfung bestanden habe, wenn auch nicht wirklich glorreich, so habe ich mir doch die drei Minuten gegönnt um WordPress 1.2.2 zu löschen, inklusive aller Tabellen in der Datenbank, und mit 1.5 von neuem anzufangen. Die ersten beiden Posts waren sowieso nur Platzhalter.

Ich nehme mir fest vor, ein Teil der möchte-gern Weisheiten, die ich den ganzen Tag von mir gebe, hier für alle Welt festzuhalten, ob es euch interessiert oder nicht! (Ist das ein Versprechen oder eine Drohung?) Darüber hinaus gedenke ich meine Erlebnisse aus dem PJ-Alltag hier zu bloggen. (Auch dies darf als Drohung verstanden werden…)

Größere Sorgen mache ich mir um das Design. Ich bin seit langem der Meinung, mein erstes XHTML 1.1 Design meiner gesamten Site, entspricht nicht wirklich dem was ich will und was ich kann. Also werde ich WordPress wohl erstmal nicht anpassen, und dann, sobald ich im April Zeit habe, das Design aller auf diesem Server liegenden Seiten neu entwerfen. Evtl stelle ich dann komplett auf php um, obwohl ich meine statischen XHTML-Seiten noch immer schneller und flexibler finde als CMS-Systeme.

Na dann, bis auf kleinere Arbeiten am Design, und den gelegentlichen Eintrag, bis April, dann kann es los gehen.

Ben

Powered by WordPress