Ich erhielt nachfolgende Mail, ich dachte ich poste das einfach mal.

Hallo Hanno,
 
Hab Deine Adresse auf Deinem Blog gefunden.

Ich hab eine Frage:

Ist es moeglich in eine Webseite zu gehen, die Daten darin zu klauen, das Passwort zu aendern und die Webseite fuer immer zu blockieren?
Wer koennte sowas machen und fuer welchen Preis??

Freue mich auf Deine Antwort
Bis bald

Ich leite natürlich Angebote gerne weiter ;-)

I noted that my personal homepage on int21.de basically contained nothing relevant any more and was horribly outdated. Thus I decided that the time of personal homepages is over and I'll let it forward permanently to this blog (so my blog will get the fame and pagerank).

It still contains various subpages like howtos, cve advisories, they'll stay where they are.

I recently stepped upon some XSS issues in Serendipity.

The first is in the remoterss-plugin, which can be used to display the content of an RSS feed in the sidebar of a blog. It didn't escape links, so JavaScript-Code could be injected by malicious RSS feeds. This plugin is shipped with the base version of S9Y. They've released 1.2.1 this weekend which has the fix.
If you're using the remoterss plugin, you should upgrade to 1.2.1 as soon as possible. This issue is named CVE-2007-6205.

The other one is in the external mycalendar-plugin. It also allows unescaped content inside links. This wouldn't be a real issue, as this form should only be accessible by the blog administrator. But the form had no CSRF (Cross-Site-Request-Forgery) protection, so an attacker could trigger this form and thus inject javascript on the blog-page. This has been fixed within version 0.13 of the plugin, so if you're using it, please upgrade. CVE-2007-6390 now assigned.

Beside I'd like to note that I got fast replies to my reports and the s9y devs fixed them quite quickly. Thanks for that!

As you know, I'm using a planet (several blogs aggregated to one feed) as a kind of link list for my sidebar. I just bumped harvester to the latest svn, corrected some feed urls and added gulli as another source for the sidebar news (sometimes quite interesting news). Beside I wrote some blog authors to look for their invalid feeds. So you're gonna see some more blogs aggregated again.
The planet uses harvester by astro.

Short tip (although I mentioned this before): You can check if your feed is valid by executing

wget -O - -q http://hboeck.de/feeds/atom10.xml | xmllint --noout -

Gestern fiel mir ein Tippfehler im Titel eines wenige Tage zuvor geschriebenen Eintrages auf (Nachrichtem statt Nachrichten). Nun erlaubt es ja das elektronische Medium, im Gegensatz zum Gedruckten, derartige Schnitzer schnell und lautlos zu korrigieren.

Indes, und hier kommt ihr ins Spiel, glaube ich kaum, dass keinem meiner Leser dieser doch recht offensichtliche Tippfehler aufgefallen ist. Deswegen sei hier dazu aufgerufen: Tipp-, Rechtschreib-, Grammatik- oder auch rein faktische Fehler dürfen gerne in einer formlosen, kurzen eMail oder meinetwegen auch anonym als Kommentar gepostet werden (wird dann, wenn nicht weiter relevant, anschließend gelöscht).

Die Linkliste auf andere Blogs in meiner Sidebar war mir schon länger ein Dorn im Auge. Irgendwie unflexibel, immer entscheiden, wer jetzt wichtig genug dafür ist, was tun mit Blogs, die nur selten bedient werden. Die naheliegende Variante: Linkliste wird durch ein Planet ersetzt, die obersten Einträge erscheinen in der Sidebar. Hat den Vorteil, dass diejenigen öfters verlinkt werden, die mehr schreiben.
Da mir die originale Planet-Software immer weniger gefallen hat (viel zu oft mysteriöse Ereignisse, plötzlich tauchen uralt-Einträge wieder auf, die alle anderen von oben verdrängen), betreibt Harvester selbigen. Gefällt mir auf den ersten Blick tendenziell besser als Planet, ist in Ruby geschrieben und braucht in der jüngsten Version eine Datenbank als Backend. Upstream sieht hierfür PostgreSQL vor, Bernd hat dankenswerter Weise einen Patch für MySQL geschrieben.
Ein Problem ist im Moment noch, dass jeder HTML-Fehler und insbesondere auch in XHTML 1.1 nicht mehr existente HTML-Kommandos und Entities ständig dazu führen, dass mein Blog nicht mehr validiert. Muss ich mal schaun, im Prinzip kann man ja HTML-Tags rausstrippen und Entities, sowie non-Unicode-Zeichen in UTF-8 konvertieren.

Wer sich nun fragt, warum sein Feed nicht auftaucht, dafür kommen tendenziell folgende Varianten in Frage:
1. Feed kaputt/validiert nicht. Mag Harvester garnicht. Lösung: lynx --source [feed-url] | xmllint --noout - und fixen.
2. Ich kenn Dein Blog nicht. Fix: In den Comments melden.
3. Ich habs vergessen/verpeilt/irgendwann in den endlosen weiten meines Feedreaders verloren gegangen: Try 2.
4. Ich finde Dein Blog langweilig. Vermutlich nicht fixbar.

Zu guter letzt und da ich schon drauf angeprochen worden bin: Aufgeführt im Planet impliziert nicht zwingend inhaltliche Übereinstimmung mit den Schreibenden.

Als nächstes steht dann eine scuttle-basierte Linkliste an.

Heute (naja, gestern) wieder Webmontag in Karlsruhe im Kubik. Es gab drei Vorträge, einer davon von mir (ich hab das Gefühl, dass meine Vortragsroutine langsam besser wird), Slides wie immer als OpenDocument und als PDF. Die Leute waren heute sehr diskutierfreudig, weswegen es deutlich länger als geplant ging. Zwar musste natürlich irgendwann der Einwand »Businessmodel« kommen (ich glaub da schreib ich mal was längeres zu), aber insgesamt war's ganz in Ordnung.

Anschließend MNT über Simple Sharing Extensions, scheint ne interessante Sache zu sein, die evtl. einige der Probleme lösen könnte, über die ich mir auch schon Gedanken gemacht hab (wie verknüpf ich indizierte RSS-Elemente wieder mit ihrem Ursprung). Achja: Es ist zwar von Microsoft, aber die Dokumente als CC veröffentlicht.
Problem scheint im Moment zu sein, dass es keine Software dafür gibt.

Dritter und letzter Oliver Gassner, der sich am Begriff (oder, wie er meinte, nicht-Begriff) Web 2.0 störte, weil dieser völlig undefinierbar und unbrauchbar sei. Ich würde jetzt mal wagen, dem vorsichtig zu widersprechen, dass man schon grob einkreisen kann, worum es sich bei Web 2.0 dreht: Im weitesten Sinne offene Kommunikation mit Interaktionsmöglichkeiten, die die Möglichkeit zum reinen Lesen/Konsumieren bietet, aber dem Nutzer auf Wunsch irgendeine Art von Interaktion ermöglicht. Zwar hat Oliver einige Dinge mehr noch erwähnt, die angeblich Web 2.0 seien (Pay per click, kontextsensitive Werbung) und damit nix zu tun haben, ich fand aber unklar, wieso er die jetzt zu Web 2.0 mitzählen will. Alles, was ich allgemein drunter verstehen würde, hat schon dieses Interaktionsmerkmal zu eigen.

Im Anschluss beim Socialing hatten wir noch ne kleine Runde über CAcert (nächstes Mal gibt's glaub von mir dazu n ausführlichen Vortrag, scheint ja doch großes Interesse zu wecken) und eine etwas hitzigere Diskussion über Linux auf dem Desktop. Dabei hab ich gemerkt, dass ich mir in jüngerer Zeit angewöhnt hab, auch die Linux 9.0-Fraktion freundlich zu behandeln.

Vor inzwischen gut zwei Jahren befasste ich mich näher mit Blogs. Ich fand das toll. Blogger sind Menschen, die schreiben einfach über Dinge, wenn sie gerade Lust haben. Sie schreiben über Belangloses, sie schreiben gut oder schlecht, sie schreiben einfach so. Ich fand das cool. Ich wollte auch ein Blog. Jetzt hab ich eins.

Ich erfuhr auch, dass es Planets gibt. Planets sind auch cool. Planets sind sozusagen Meta-Blogs. Mehrere Blogs auf einem Haufen. Fand ich auch toll. Irgendwann fingen sogar Planets an, mein Blog aufzunehmen. Das fand ich noch toller. Zum Beispiel dieser, jener oder der da. Ich betreibe inzwischen sogar eigene Planets, z. B. Planet Karlsruhe.

Udo Vetter ist auch Blogger. Udo Vetter ist aber auch Rechtsanwalt. Das ist schon schwierig. Rechtsanwälte verklagen manchmal Blogger.

Udo Vetter findet Planets nicht cool. Er hat auch noch nie von Planets gehört. Er findet, dass Menschen, die Planets betreiben, Blogdiebe sind. Er schreibt deswegen Drohbriefe an solche Menschen. Und vergisst nicht zu erwähnen: »Der nächste Brief kostet nämlich richtig Geld.«

Via Basquiat. Und an alle Blogdiebe: Ihr dürft mich gerne weiterhin bestehlen. Wenn ihr jetzt das Lawblog aus Eurem Planet rauslöschen müsst, könnt ihr es gerne durch meins ersetzen ;-)

Thanks to yetzt, I finally have a hackergotchi for various planets. If you are publishing the content of this blog in some planet, feel free to add it.

Die Nachricht rauscht im Bloggerwald, der Duden hat's entschieden: Man darf jetzt offiziell der Blog sagen. Sogar die Tagesschau weiss davon zu berichten:
Ethymologisch sei zwar »das« Blog logisch, die Bezeichnung käme vom Begriff »Weblogbuch«. Doch in Netz und Presse habe sich weder »das« noch »der« Blog dominant durchsetzen können.

Also, erstmal ist das ausgemachter Unsinn. Die Bezeichnung kommt bestimmt nicht von Weblogbuch (Hat das schonmal jemand gehört? Steht das auch im Duden?), sondern vom englischen Wort Log. Für Log existieren zwar auch einige männliche Übersetzungen (Baumstamm, Holzklotz), insofern man jeden, der einen Blog führt, in Zukunft mal fragen kann, was man sich unter einem Netzbaumstamm vorzustellen hat, sämtliche Übersetzungen von Log, die im Zusammenhang mit Blog einen Sinn ergeben (Tagebuch, Protokoll), sind jedoch eindeutig neutrum.
Sollte sich die Linie des Duden, alles was als »Common Sense« im Gebrauch ist, als korrekt zu deklarieren, hab ich ernsthafte Bedenken, ob man sich in 50 Jahren noch verständigen kann (ja, manchmal hab ich die durchaus jetzt schon). Ist dann demnächst auch »Ich kauf mir Handy« korrekt?

Medienjunkie merkt an, man könne eigentlich auch mal die Blog sagen, wenn es eh egal ist, ob es Sinn macht.

Das Blog hat noch einige weitere interessante Etymologie anzubieten. So wird angemerkt, dass man in Bayern mit Recht der Blog sagen darf, denn da gibt's auch der Butter (und das eMail, was ebenso überhaupt keinen Sinn ergibt).

Wirklich schauderlich find ich auch die Helpdesk (ich sitz an meiner Tisch) und Date als Singular von Daten. Der korrekte Singular von Daten ist immer noch Datum (das wusste sogar das Bundesverfassungsgericht einmal zu vermelden, »Es gibt kein belangloses Datum«, Volkszählungsurteil), wobei es meist als Mengenbezeichnung genutzt wird und der Singular somit eher selten verwendet wird.

Interessant zu diskutieren fänd ich noch die Frage der URL (ja, ich bezeichne sie weiblich). Denn, wie das Blog korrekt anmerkt, handelt es sich zwar bei Locator um eine englisch maskuline Form, jedoch würde ich es mit Internetadresse, somit feminin, übersetzen. Rein gewohnheitsmäßig würde ich einem eingedeutschten englischen Wort das Geschlecht seiner deutschen Übersetzung geben, bin mir aber nicht sicher, ob es dafür eine allgemeingültige Regel gibt.

Seit einigen Tagen am Start: Planet Karlsruhe, was ausgebaut werden soll zu einer möglichst vollständigen Sammlung Karlsruher Blogs.

Die bisher eingetragenen haben sich entweder bei mir gemeldet oder ihr Blog steht unter Creative Commons. Frei lizensierte Blogs trage ich ungefragt ein, alle anderen mögen mir bitte per Mail mitteilen, wenn sie aufgenommen werden möchten.

My blog is now online.