11.08.2014 yahe legacy security wordpress
Am Freitag fand ich einen bemerkenswerten Fehler im WordPress-Plugin WP RSS Aggregator. Dieses Plugin ist eigentlich dafür gedacht, RSS-Feeds in den eigenen Blog zu integrieren. Das Plugin ermöglichte es aus mir unbekannten Gründen, beliebigen Text auszugeben, der im POST-Parameter "wprss-sysinfo" übergeben wurde.
01.07.2014 yahe legacy security thoughts
Heute hatte ich das Vergnügen, die Bekanntschaft mit dem TeamViewer zu machen, einem Tool, das es ermöglicht, VPN-Verbindungen durch restriktive Firewalls hindurch aufzubauen. Das ganze funktioniert mit einer User-ID und einem Passwort, was gerade dazu einlädt, diese einfache Lösung zu verwenden. Aber wie genau funktioniert das dann? Und wie sicher ist der Verbindungsaufbau und die darüber übertragenen Daten?
18.06.2014 yahe administration legacy linux security
Seit ich es bei StartSSL gesehen habe, habe ich mich gefragt, wie ein Login über TLS-Client-Zertifikate funktionieren kann. So schwierig, wie man es sich im ersten Moment vorstellt, ist es eigentlich gar nicht.
22.04.2014 yahe administration legacy linux security
Ich habe testweise einmal den Zend OpCache ausprobiert, der seit PHP 5.5.0 direkt enthalten ist und war eigentlich ziemlich zufrieden. Der Speicherverbrauch bei der Ausführung von WordPress war auf 1/5 geschrumpft. Allerdings haben sich Probleme gezeigt, bei denen ich noch nicht genau weiß, wie ich sie beheben soll.
17.04.2014 yahe code legacy linux update
Vor einiger Zeit habe ich mir ein Etherpad-Lite installiert, um verteilt und auch unterwegs Texte verfassen zu können, die ich anschließend veröffentliche oder anderweitig nutze. Das ist soweit toll, doch die Veröffentlichung war in meinen Augen unpraktischer, als sie sein müsste, da ich den Text kopieren, irgendwo anders einfügen und neu formatieren musste. Meine Idee war es deshalb, die Veröffentlichung direkt aus dem Etherpad-Lite heraus erledigen zu können, zum Beispiel bei kleineren Texten, die ich anderen zur Verfügung stellen möchte. Die Frage war nur, über welche Plattform die Veröffentlichung stattfinden sollte.
28.02.2014 yahe administration code legacy security wordpress
WordPress ist nicht gerade ein Stück Software, das für sein herausragendes Sicherheitskonzept bekannt ist. Viele Dinge muss man erst mühsam im Alleingang nachbessern. So hat es mich schon immer gestört, dass Nutzer, die sich meinen Blog ansehen, im Hintergrund den gleichen Datenbanknutzer verwenden, wie ich als Administrator, der die Seite konfiguriert und neue Bloginhalte bereitstellt. Wenn es möglich wäre, wenigstens für diese zwei stark gegenteiligen Nutzungsszenarien verschiedene Datenbanknutzer zu verwenden, wäre schon viel erreicht.
30.01.2014 yahe arduino hardware legacy
Manchmal dauert es eine ganze Weile, bis man die richtige Idee für die Lösung eines Problems hat, in diesem Fall habe ich für die richtige Idee fast ein halbes Jahr gebraucht. Und zwar ging es darum, wie ich es hinbekommen könne, das Tastaturfeld einer gekauften Tastatur mit einem Arduino zu verbinden.
06.01.2014 yahe arduino calcpw hardware legacy publicity security
Das Ende des letzten Jahres hatte es in sich: Ich durfte auf dem 30C3 einen Vortrag zu calc.pw halten.
Im Vortrag selbst habe ich die Idee hinter calc.pw vorgestellt, was ich mir für eine Lösung ausgedacht habe, welchen Problemen ich bei der Implementierung begegnet bin, wie ich diese gelöst habe und welche Pläne ich für die kommende Zeit habe.
Wer sich das ganze ansehen mag, kann sich die MP4-Datei direkt beim CCC herunterladen.
19.12.2013 yahe arduino code hardware legacy security
Der Arduino Leonardo, der nun seit etwa einem Jahr auf dem Markt ist, besitzt dank seines ATmega 32u4 direkt die Möglichkeit, eine USB-Verbindung mit dem PC aufzubauen. Auf dem Arduino Uno war dafür ein separater Mikrocontroller zuständig. Durch diese Änderung hat sich jedoch auch die Art, wie Resets über den USB-Anschluss angestoßen werden, geändert. Dieser Reset ist inzwischen eine reine Software-Routine und kann falls nötig herausgepatcht werden.
18.12.2013 yahe arduino hardware legacy
Derzeit arbeite ich mal wieder ein wenig an calc.pw, da der vorhandene Code für ein Arduino allein inzwischen zu umfangreich wird. Deshalb sehe ich mir derzeit an, wie ich den Programmcode auf zwei Arduinos verteilen kann. Es bestünde natürlich die Möglichkeit, auf ein anderes Mikrocontroller-Board zu wechseln, das ist jedoch mit höheren Aufwänden verbunden.