neuGes bLOG

Ich habe meinen Blog letzte Woche auf Whissip umgestellt. Die Umstellung verlief relativ Problemlos und bis jetzt sieht auch alles soweit super aus. Whissip ist eine abgezweigte Version von b2evolution die von Daniel entwickelt wird. Für mich bietet Whissip mehrere Vorteile, zum einen setzt Daniel beim VCS auf bazaar und ich kann bequem meinen eigenen Branch von Whissip betreiben der eigene Änderungen etc. beinhaltet. Zudem ist die derzeitige Version komplett ins Deutsche übersetzt und ist nur noch mit PHP 5 lauffähig und sollte dadurch einige Besserungen erfahren und eventuelle Altlasten verlieren. Also anschauen lohnt sich. Eine kurze Anleitung findet sich auch auf der Seite von Whissip wieder.

Welch ein Zufall!

Gerade als ich meine Eltern im kleinen St. Arnold besucht habe, fuhr das Google StreetView Auto vorbei. Zum ersten mal empfand ich die Kamera in meinem Handy als sinnvoll

Da derzeit wieder die ersten Bewerbungen für die Berufsausbildungen im kommende Jahr laufen, wollte ich einmal kurz die Gelegenheit nutzen und ein wenig Werbung für die Ausbildung bei LexisNexis machen. Ich bin kurz vor dem Ende meiner Ausbildung und war/bin insgesamt sehr zufrieden. Ich denke das man bei LexisNexis eine Menge lernen kann und jederzeit gute Unterstützung bekommt. Wer also noch eine Ausbildung sucht einfach mal in die Jobbörse schauen.

Ich bin schon länger Fan von der NoScript Firefox Erweiterung. Ich würde sie nicht als Wundermittel gegen sämtliche Gefahren im Internet beschreiben, aber ich denke das sie trotz alledem zu wesentlich mehr Sicherheit beitrage kann! Für diejenigen die NoScript nicht kennen: NoScript deaktiviert einfach per Default komplett JavaScript und es können einzelne Seiten wieder explizit freigeschaltet werden. Um einmal zu verdeutlichen warum ich die Erweiterung so wichtig finde habe ich einmal ein paar der letzten Sicherheitsprobleme und andere unangenehmen Umstände in Verbindung mit JavaScript rausgesucht (IE und FF)

• http://www.heise.de/newsticker/Geister-bedrohen-Internet-Explorer-Anwender--/meldung/110083/;words=JavaScript
• http://www.heise.de/newsticker/Microsoft-schliesst-11-Sicherheitsluecken-Update--/meldung/109279/;words=JavaScript
• http://www.heise.de/newsticker/Bericht-zur-Ausspaehung-von-Websurfern-durch-BT-aufgetaucht--/meldung/109103/;words=JavaScript
• http://www.heise.de/newsticker/Nun-auch-deutsche-Seiten-von-SQL-Massenhacks-betroffen--/meldung/108741/;words=JavaScript
• http://www.heise.de/newsticker/Facebook-von-Cross-Site-Scripting-Luecke-betroffen--/meldung/108468/;words=JavaScript
• http://www.heise.de/newsticker/mobile-de-schliesst-Cross-Site-Scripting-Luecken--/meldung/108356/;words=JavaScript
• http://www.heise.de/newsticker/Sicherheitsluecke-im-Internet-Explorer-ermoeglicht-Ausfuehrung-beliebiger-Programme--/meldung/107954/;words=JavaScript
• http://www.heise.de/newsticker/Hunderttausende-Webseiten-mit-schaedlichem-JavaScript-infiziert--/meldung/106959/;words=JavaScript
• http://www.heise.de/newsticker/Firefox-und-Safari-Updates-schliessen-Sicherheitsluecken--/meldung/106608/;words=JavaScript

Aus den letzten 2 1/2 Monaten auf die Schnelle.

Ich bin kein genereller Feind von JavaScript und arbeite auch gerne damit, allerdings bin ich der festen Überzeugung eine gute Seite sollte komplett ohne JavaScript lauffähig sein. JavaScript ist ein schönes Hilfsmittel um Webseiten komfortabler zu gestalten. Zwar schneidet sich der Gedanke mit dem generellen Web 2.0, wie ich dieses Wort nicht mag(!), welches meist JavaScript voraussetzt um lauffähig zu sein (Stichwort Ajax), aber das beschränkt sich derzeit bei mir zum Glück auch nur auf eine Hand voll Webseiten (Googlemail etc.). Da genau solche Dienste Schwachstellen beinhalten können ist natürlich klar, aber hoffen wir mal Google leistet gute Arbeit

Zum Schluss noch ein Interessanter Beitrag zum Thema Hacking NoScript der noch die Schnelligkeit und die Gute Arbeit des Entwicklers bekräftigt:

Is important to say, that Giorgio fixes stuff in "hours", (or minutes in some cases), and he has done some crazy stuff, just so NoScript users can be safe, so if you dont use it, go get it.

Über einen aktuellen Heise Artikel bin ich auf das Addon Weave aus den Mozilla Labs aufmerksam geworden. Mit Hilfe von Weave ist man in der Lage Bookmarks, Browsing History, Cookies, Saved Passwords, Tabs, Saved Form Data zentralisiert auf einen Server abzulegen und anschliessend synchron zu halten. Somit werden z.B. Bookmarks die ich Zuhause angelegt habe ohne Probleme, durch Synchronisation, im Firefox in der Firma verfügbar. Da ich aber sehr wenig davon halte meine persönlichen Daten auf irgendeinen Webserver in den tiefen des Internets abzulegen habe ich mir auf meinem eigenen Server über Apache + WebDAV ein eigenes Verzeichnis für Weave angelegt. Wer dieses auch mal testen möchte und einen Apache + WebDAV zur Verfügung hat kann es relativ einfach machen. Ich gehe davon aus das WebDAV bereits läuft, ansonsten hier mal einen Blick drauf werfen. Danach folgendes mit in die Serverkonfiguration des entsprechenden Hosts aufnehmen:

        <Location /deinGewünschterWeaveZugriffspfad/>
                Options Indexes (falls nicht sowieso schon aktiv)
                DAV On
                AuthType Basic
                AuthName "Waeve"
                AuthUserFile /pfad/zu/der/htpasswd
                Require User deinGewünschterWaeverBenutzername
        </Location>

Eine Kommunikation über SSL würde ich dringend empfehlen! Zwar werden die eigentlich Daten an sich mit einem zweiten Passwort verschlüsselt aber der Login erfolgt ansonsten über eine Verbindung im Klartext. Nachdem man den Apache vorbereitet und die Konfiguration neu eingelesen hat (Apache neustart geht auch) muss man die htpasswd anlegen. Hierfür einfach mit htpasswd -c .weaveuser deinGewünschterWaeverBenutzername die Datei erstellen und darauf achten, dass der Pfad zu der Datei mit dem Pfad der bei AuthUserFile angegeben wurde übereinstimmt. Wenn man das alles hat sollte man sich ohne Probleme über Waeve anmelden können. Also die Waeve Erweiterung für den Firefox installieren und anschliessend über Sign In versuchen in ein bestehendes Konto einzuloggen. Wichtig: es muss kein neues Konto angelegt werden! Also den Weave-Wizard am Anfang direkt wieder schliessen und unten über das neue Logo auf die Weave-Preferences gehen. Unter dem Reiter "Advanced" den eigenen Server eintragen. Sollte ungefähr so aussehen: http(s)://adresse.deines.hosts/deinGewünschterWeaveZugriffspfad/ Danach geht man auf den Reiter "Account" und klickt auf den Button "Sign In". Nun öffnet sich ein kleines Fenster, dort trägt man den zuvor festgelegten Benutzernamen ein (htpasswd), das vergebene Passwort (htpasswd) und als drittes eine neues Password, welches ausschliessliche für die Verschlüsselung der eigentlichen Daten auf dem Server verwendet wird (Daten werden derzeit mit AES verschlüsselt). Das Passwort muss sich von dem ersten Passwort unterscheiden! Wenn man das alles hat sollte man sich Erfolgreich verbinden können. Probleme und Fehler können durch den Activity-Log unter dem "Advanced" Reiter und den Apache-Logs gut aufgedeckt werden. Unter dem Reiter "Data" kann man nun noch festlegen werden welche Daten synchronisiert werden sollen. Da hier bereits Extensions und weiter Punkte vorhanden aber noch nicht auswählbar sind, kann man hoffen, dass auch diese bald über Weave zentralisiert werden können. Ob man erfolgreich eingeloggt ist erkennt man daran, dass unten neben dem Weavesymbol der Benutzername erscheint und man den Punkt "Sync Now" angeboten bekommt (Was man dann auch machen sollte ) Da ich selber gerade noch teste kann ich nicht viel über die Zuverlässigkeit etc. sagen, aber ich hoffe stark das diese Erweiterung aktiv weiterentwickelt und vorangetrieben wird.

[Update]
Benutzer die Ubuntu einsetzen und Probleme haben müssen zusätzlich folgende Bibliotheken installieren

apt-get install libnspr4-dev libnss3-dev

danach läuft Weave bei mir mit meiner 64-Bit Ubuntu 8.04 Hardy Installation. Achja, habe nun erfolgreich eine Synchronisation von zwei Firefox Installationen gemacht und bin voll zufrieden! Mir wurde direkt angeboten Tabs zu öffnen, die ich in der Firma zuletzt offen hatte, sehr cool . Zu dem einrichten von Weave sind mir allerdings noch ein paar Sachen aufgefallen. Nachdem ich den Server eingetragen habe musste ich den Firefox einmal neustarten damit Weave den neuen Server annimmt. Zudem öffnet Weave beim ersten mal immer den Wizard wenn man auf "Sign In" klickt. Umgehen lässt sich das wenn man den den Wizard bis "Sign In" durchklickt dort dann im Wizard Fenster die ersten Daten (Benutzername + Passwort) einträgt und dann einfach den Wizard wieder schliesst. Danach sollte auf "Sign in" immer nur noch ein kleines Fenster geöffnet werden und nicht mehr der Wizard.

[Update 2]
Ich habe noch ein Problem festgestellt. Ich vermute es im Zusammenhang mit SSL bin mir aber nicht sicher. Um mich erfolgreich einzuloggen muss ich mindestens einmal die entsprechende URL (https://mein.host/meinWaeveShare/) direkt im Firefox aufrufen und mein SSL Zertifikat zu den Ausnahmen hinzufügen. Danach kann man sich einmal normal mit seinen Benutzerdaten anmelden und man sollte auch den Directory Index angezeigt bekommen (vermutlich derzeit noch leer). Danach versuchen über Weave sich einzuloggen.

[Update 3]
Inzwischen ist die Methode über WebDAV veraltet. Es gibt einen eigenen Weave-"Server". Geschrieben wurde er in PHP und gespeichert werden Daten wahlweise in einer MySQL oder sqlite Datenbank. Die Authentifizierung läuft über normale Datenbanktabellen oder auch gegen einen LDAP.
Der Weave-Server lässt sich auch auf einem Lighttpd Webserver aufsetzen!

Parallel zu meinem vorherigen Beitrag:

ErrorLogs vom Apache können ebenfalls über syslog geloggt werden:

Code:

Optional kann man auch die Facility mitgeben (default wäre local7):

Code:

Zur Info: local0 bis local7 sind frei benutzbare Bereiche.

CustomLogs (access.log) kann man auch über syslog loggen:

Code:

der Schalter -t legt den entsprechenden Bezeichner fest, damit der Logeintrag besser identifiziert werden kann.

Wie performant das ganze ist habe ich noch nicht getestet. CustomLogs sollten, je nach Last des Servers, unter umständen direkt vom Apache ohne Umwege geloggt werden.