TagCloud

Chemnitzer Linux-Tage – Programm ist online

Januar 29th, 2008 von buergermeister

Ja, ich weiß ich habe in letzter Zeit wirklich sehr wenig hier geschrieben und das obwohl es wirklich viel aus der Open Source-Welt zu berichten gab. Aber heute ist es mal wieder soweit. Der Grund läßt sich ja schon aus der Überschrift herleiten. Es war nicht mal einfach die ganze Zeit darüber zu schweigen. Aber das komplette Vortragsprogramm findet ihr hier und wer sich auch das Workshop-Programm anschaut, findet meinen Namen auch dort. Es haben ja Einige bedauert den Workshop zum BLIT in Brandenburg nicht mitgemacht haben zu können. Ok, neues Spiel neues Glück und dieses Mal mit richtig viel Zeit, ganze 3 Stunden.

Am Samstag kann man mich wie letztes Jahr auch in der Praxis Dr. Tux finden. Abends werd ich dann bei der Filmnacht an zu treffen sein, die ich euch nur empfehlen kann. Auch da erscheint das Programm in den nächsten Tagen und hält Überraschungen bereit.

Einige haben ja von mir da letztens so etwas wie Einladungen erhalten, vielleicht kommt ihr ja aus Pfleidis, René, Christian, Suzan, Miwi und Jochen Nähe und organisiert da eine Mitfahrgelegenheit, ist ja immer schön wenn man dann schon einen kennt. Wenn wir schon bei Mitfahrgelegenheiten sind aus Berlin kommt logischerweise wieder der Linuxbus und im Linuxwiki gibt es auch schon wieder Leute, die auf der Suche nach Mitfahrgelegenheiten sind.

Und wenn wir da schon Werbung für die CLT machen, dann richtig es laufen nämlich immer noch Anmeldefristen, dass ihr euch für Übernachtung und Frühstück noch anmelden könnt ist klar. Für die LPI-Prüfungen sollte man sich natürlich beim Linux Professional Institute anmelden. Für die erstmals stattfindenden BSD-Zertifizierungen, erklärt GrUNIX wie man sich anmeldet. Aber auch die Anmeldung für die PGP-Party und der Leitung von Qbi läuft noch. Weil wir da gerade bei Qbi sind, der hat im Februar noch etwas Grosses vor, der hat nämlich den Begründer der FSF Richard Stallmann nach Jena geholt, also wer Rich mal live erleben will (ich erinner mich da an einen Auftritt des Herrn als Engel mit Blick ins Jahr 2050 und alles war da freie Software), der sollte die Gelegenheit (gibt zwei Auftritte) vielleicht wahrnehmen.

Qbi hatte ja letztes Jahr einen Workshop on Demand, Installieren und Betreiben eines TOR-Servers. Wenn ich so den letzten Monat Revue passieren lasse, ist ja das Interesse daran gestiegen und viele wollten wissen, wie richte ich so etwas ein, wie funktioniert das usw. Ja genau dafür sind die Workshop on Demand gedacht, grundlegende Dinge wie derartiges soll ge/erklärt werden. Ja und auch die Themenvorschläge für die Workshop on Demand laufen noch…

Für die Praxis Dr. Tux muss man sich nicht unbedingt anmelden, schlecht ist es allerdings nicht. Erstens wenn es wieder so ein Gedränge wird wie letztes Jahr wird, dann geht ihr mit einem gelösten Problem nach Hause und Zweitens, haben die “Ärzte” die Möglichkeit vorab bereits nach Lösungen zu suchen.

Geschrieben in Family Affairs | 7 Kommentare »

ähnliche Artikel:
  • None
  • Nie mehr zu frueh kommen?

    Januar 21st, 2008 von buergermeister

    Ich sag es doch immer wieder Spammer sind doof! Stetig bieten die mir Mittelchen an, damit ich nimmer zu früh komme, heh ihr Idioten ich hab eher ein Problem mit zu spät kommen, ich verschlafe ab und an. Habt ihr da ein Mittelchen dagegen? Eines das mich rechtzeitig einschlafen läßt? Nö, na was soll ich denn mit eurem Viagra oder Cialis-Scheißdreck……..

    Geschrieben in Enemy at the Gates | Keine Kommentare »

    ähnliche Artikel:
  • None
  • Es gibt Tage….

    Januar 8th, 2008 von buergermeister

    da verliert man und es gibt Tage, da gewinnen die Anderen. Ach ja gestern war ein richtiger Scheisstag. Ich muss bis zum Freitag dringend eine Präsentation erstellen, als ich die gestern Abend speichern wollte: I/O Error, da bekommt man schon mal nen Hals. Dann kommt man nach Hause und es prangt eine Fehlermeldung auf dem Desktop, dass das Update welches man vor dem Gehen angeschoben hat wegen eines Fehlers abgebrochen wurde. Da sagt man sich, ok macht man später und will sich einer anderen Arbeit widmen. Logischerweise fehlt dann in der Konsequenz ein Softwarepaketchen, also doch 2 Stunden damit zubringen das System wieder auf einen sauberen Stand zu bringen. Ok hat ja dann doch am Ende funktioniert…….

    Aber warum wenn er schon zuschlägt, Murphy dann gleich merhfach zuschlägt ist immer wieder seltsam.

    Geschrieben in heart & mind | 2 Kommentare »

    ähnliche Artikel:
  • None
  • 3 Tips, wie sich ein gewisses Plugin..

    Januar 7th, 2008 von buergermeister

    wieder wirkungsvoll gestalten läßt. Manch einer mag sich fragen, warum ich mal wieder so heftig reagiere, auf die Sache mit dem Math Plugin. Naja ganz einfach, hier wird nur auf eine altbekannte Schwachstelle hingewiesen aber auf keinen Fall irgendeine Analyse, wie diese behebar sein könnte betrieben. Es wird sogar mit verzerrenden Mitteln gearbeitet, auf der einen Seite wird nach dem Ausdruck “What is the sum of” gesucht und auf der anderen Seite eine Liste, mit 150 Blogs veröffentlicht bei denen getestet wurde. Dort testete man aber einen anderen Suchstring, wenn man sich die Liste anschaut und auch den ersten Teil des Artikel wird einem eines klar, betroffen waren hauptsächlich Artikel die über Spam oder WordPressplugins handelten. Der Herr hat noch nicht mal kontrolliert ob das alles Blogs sind und ob die wirklich MCSP einsetzen, so hat er u.a die Seiten von Jörg Reinholz getestet, nicht rotglut sondern it-schule.de. Man hat sich auch nicht die Mühe gemacht zu ergründen, warum es bei den 40% bei denen es nicht geklappt hat nicht funktioniert. Ebenfalls unterlassen wurde eine Prüfung der positiv geprüften Blogs. Ein Zahlenwert kam zurück und das reichte scheinbar, naja schreibt bloß nie irgendwelche mathematischen Gleichungen in eure Blogartikel, sonst könnte das Wunderskript nicht mehr funktionieren.

    Der erste Ansatzpunkt ist der Suchstring, hier sind im Endeffekt die Möglichkeiten zwar beschränkt (irgendwie muss man ja zum Ausdruck bringen was man erwartet), ein paar Möglichkeiten hab ich im letzten Artikel erwähnt.

    Aber nun mal Tacheles, auf der Welt gibt es mehr als nur ein Zahlensystem, zum Beispiel das römische. Eigentlich eine total simple Sache, sogar so simpel das es schnell in ein Stück Code umgesetzt ist, das einem das umrechnet. Es gibt ganze 7 Zahlenzeichen I = 1, V = 5, X = 10, L = 50, C = 100, D = 500, M = 1000. Es funktioniert ganz einfach Links des grösseren Wertes wird subtrahiert (IIX = 10 – 2), rechts addiert (XII = 10 + 2), eigentlich gilt die kürzere Schreibweise also für 15 XV, genauso richtig wäre aber VVV. Das würde eine eventuelles Codestückchen nicht beinflussen. Stellen wir uns das mal als Codeabfolge vor, das Skript hat den Suchstring “Summe” gefunden und sucht nun nach den Zahlenstrings. Unser Programmierer war schon clever er wußte wir schreiben römische Ziffern, er sucht also nach Großbuchstaben, wie oben. Zeichen für Zeichen wird dafür eingelesen, ok jetzt hat er etwas gefunden was wie eine römische Ziffer auschaut ein VII, jetzt braucht unser Spammer wieder ein Ordnungsmerkmal bis wohin das denn eine Ziffer sein könnte, nichts leichter als das es gibt ja das + das irgendwann kommen muß oder ein und/and (unser Spammer ist clever hat das alles abgefangen). Damit hat er den ersten Summanden, fehlt noch der zweite. Auch hier wieder Zeichen für Zeichen vorrücken bis zum nächsten Ordnungsmerkmal. Äh Moment Ordnungsmerkmal, was könnten wir dafür mißbrauchen? Ah nutzen wir doch das Formularfeld was dahinter kommen müßte da sollte ja ein <input type=“text” kommen, ist doch ein schönes Merkmal oder? Was aber wenn da keines kommt? Weil es davor ist? Da muss ich mir als Spambotschreiber mal wieder Gedanken machen zum Schluss bleibt mir nichts anderes übrig als bis zum nächsten Leerzeichen lesen zu lassen ;) So und nun denkt ihr mal ganz einfach darüber nach, wo der Unterschied zwischen einer Maschine und einem Menschen ist. Die Maschine wird auf jeden Fall ein Leerzeichen erkennen, wo eines ist selbst wenn es so dicht ist, dass ein Mensch das kaum wahrnimmt bzw. das folgende Zeichen noch addiert. Dieses war der erste Streich doch der Zweite folgt so gleich…..

    Bei mir im Blog haben sich ja schon einige aufgeregt, dass sie mit zu grossen Zahlen rechnen müssen. Tja meine Antwort ist dann immer Ruhe sonst zwinge ich euch binär zu rechnen.. Man sagt immer scherzhafterweise es gibt zwei Arten von Menschen die einen können binär rechnen, die anderen nicht. Bei mir könnte 11 + 10 = 5 sein, wie unser cleverer Spammer das abfangen will? Da gibt es nur eine Methode und die ist sehr wackelig. Es gibt nur die Möglichkeit es als “wahrscheinlich” binäre Zahl zu erkennen, wenn die Zahl nur aus 1 und 0 besteht. Aber wer sagt denn, das in das entsprechende Feld im Pluginadminbereich ein böser Blogger nicht 10~10, 11~11, 100~100, 101~101 usw. eingetragen hat? Richtig keiner. Dieses war der Zweite Streich unde der Dritte folgt sogleich.

    Nun es gäbe noch eine Menge Zahlensysteme, wie wäre es mit Hexadezimal? :D Ach wißt ihr was die Methode ist langweilig, wir erfinden unsere eigene Zahlencodierung. Wer sagt denn das man Birnen nicht mit Äpfeln addieren kann? Wie ich mir so etwas vorstelle, kann man derzeit in meinem Kommentarfeld sehen (ja ich weiß unser Held würde sich das Bild holen und durch eine OCR jagen und blablabla)

    So das waren jetzt 3 Methoden um da klein und tricky auf so etwas vorbereitet zu sein. Das heißt jetzt nicht ihr sollt das so umsetzen, bedenkt doch wieviele Menschen können binär rechnen? Meine Besucher dürften das können aber auch die vom Biertrinkerblog? Ich will auch nicht das ihr die 1 zu 1 kopiert und umsetzt, macht euch einfach mal Gedanken wie man den Schutz aushebeln könnte und ihr werdet noch 6-7 andere Lösungen finden. Könnt ja Vorschläge und Tricks in den Kommentaren posten. Hab zwar selbst noch einiges auf Lager ;) Einen kleine fiesen Trick sieht man wenn man den Quelltext meiner Seiten betrachtet…….

    Geschrieben in Enemy at the Gates, Killer Application | 2 Kommentare »

    ähnliche Artikel:
  • None
  • Der Mathcomment-Schwindler

    Januar 6th, 2008 von buergermeister

    Sicherheit ist ein Prozess, ein Dozent den ich kenne hat den Prozess der IT-Sicherheit mal mit einer Mauer verglichen, Ziegelchen für Ziegelchen wird die Sicherheit erhöht. Aber jede Mauer ist überkletterbar, nur die Anforderung sie zu überwinden werden höher.

    So auch beim Schutz des Blogs vor Kommentarspam. Heute macht ja die “Unsicherheit” des Math Comment Plugin die Runde. Da hat einer ein kleines Pythonskriptchen veröffentlicht, mit dem man den Schutz aushebeln kann.

    import urllib2, re
    url=raw_input("URL eingeben: ")
    blogs=urllib2.urlopen(url)
    zahl=re.findall('What is the sum of (\d+) .+ (\d+)\?',blogs.read())
    print int(zahl[0][0])+int(zahl[0][1])

    So versucht unser “Held” das. Dann veröffentlicht er eine Liste mit 150 getesteten Blogs, darunter meines. Ganz lustig dabei ist hier verwendet er wieder einen anderen Suchstring nämlich “summe aus”.

    Wer ein klein wenig nachdenkt, findet die Schwachstelle dieser Methode. Ich zähl hier mal nur ein paar Möglichkeiten auf: = , SUM, Summe, Ergebnis, addiere. Es gibt verdammt viele Möglichkeiten was an der Stelle stehen könnte. Auch ein Bildchen an der Stelle wäre eine Möglichkeit, was wenn man die Felder umdrehen würde? Verdammt viele Sachen die der Programmierheld da abfangen muss.

    Die nächste Schwachstelle seiner Möglichkeit ist die Umwandlung des gefundenen String in ein Integer. Was wenn da jetzt wirkliche Strings stehen, z.B. vier oder IV statt 4? Dürfte auch nicht mehr funktionieren… Hier würde ich mich eher für die Variante mit den römischen Ziffern entscheiden. Mit den Zahlwörtern ist nur noch eine kleine Menge Zahlen möglich “neunzehn” + “achtzehn” scheint mir dann langsam zu lang zu werden…. Auch hier gebe es die Möglichkeit des Einsatzes von Bildchen, ähnlich wie Captchas (ich hasse die Dinger weil ich die so schlecht sehe)

    Nein, würde es nicht, ich würde deinen Blog dann einfach mit einem Standard Open Source OCR Algorithmus knacken ;-)

    >> denn, sein wir ehrlich, kaum einer würde sich die Mühe machen ein OCR einzusetzten …
    hehe, da täuschst du dich gewaltig ;-)

    Meint da jetzt unser Pluginknacker dazu, sicher ist er ein ganz erfolgreicher Spammer :D Alien8 hat da auf dem Linuxinfotag in Dresden einen kleinen Vortrag gehalten und mal aufgezeigt, was Spam so kostet. Schade, dass die Folien nicht downloadbar sind. Die Erfolgsquote von Spam liegt bei unter 1 ‰, das heißt jede 1.000te angekommene Mail führt etwa zu einem “Geschäft”. Wenn ich jetzt nur einen Standard-SpamAssassin nehme (den Spammer mit Grips vorher testen) filtert der allein 60% weg. Ich muss also 2.500 Mails versenden nur um einen Erfolgsfall zu haben. Wie die Quote mit dem Einsatz von Rules du Jour, RBL/DNSBL, Pyzor, Razor oder DCC ausschaut, keine Angst es werden noch mehr Mails, die Erfolgsquote liegt nur noch bei ungefähr 10% (eher weniger gute Filter erreichen 98 – 95 %), also 10.000 Mails für ein “Geschäft”. Von Greylisting, das die Spammer zwingt zu queuen und die Menge der versandten Mails zu verdoppeln wollen wir mal gar nicht reden. Das alles schmälert den Kosten-Nutzeneffekt.

    Und da will unser Plugincracker, Captchas downloaden mit einer sensationellen Erfolgsquote in Integer umwandeln, nur um zu spammen? Ich an der Stelle frage mich aus welchem Grund, Spammer dazu übergegangen sind mir Pillen per netten Bildchen anzubieten?

    Halten wir einfach einmal fest, Spam ist nur in der Masse für den Spammer wirtschaftlich. Und um massenhaft Kommentar/Trackbackspam zu verbreiten, wählt man eine erfolgsversprechendere Methode als die Umgehung des Math Comment Plugin. Zum Beispiel Trackbackspam, lest mal bisschen bei Oli & Chris nach.

    Weil wir gerade dabei sind, MCSP setzt Feldnamen, und die hat unser “Botdesigner” mal glatt übersehen. “mcspvalue” und “mcspinfo”. Die Wahrscheinlichkeit, dass irgendeiner die geändert ist wesentlich geringer. Mehr noch, die Administrationsoberfläche meines MCSP bietet zwar die Möglichkeit “ ” und “ ” zu ändern, im Quelltext bleiben aber die alten Bezeichnungen erhalten, da wird man wohl mal im Quelltext editieren müssen.

    Halten wir fest, das MCSP bleibt, bei richtiger Anwendung eine Hürde für Spammer (wer sich allein darauf verläßt ist selbst schuld), das es allerdings nur individualisiert einen Sinn macht haben f!xmbr und auch ich schon mehrfach gesagt.

    P.S. mein lieber Herr Mitbewohner war mal so frei vor eingigen Monaten ein ähnliches Skript in Perl zu implementieren und seit dem sind auch einige neue Pfeile im Antispamköcherchen hinzugekommen. Die Methode die Felder abzufragen ist also sehr alt :D Bots sind nur so schlau, wie der der sie geschrieben hat, ob unser Held sich nur über die Ergebnisse gefreut hat oder ob er mal getestet hat, ob das was er gezeigt bekam auch wirklich das Ergebnis ist? Was wenn es versteckte Formularfelder gibt, die dem dummen Bot, Zahlen zum fressen hinwerfen :D

    Geschrieben in Enemy at the Gates | 9 Kommentare »

    ähnliche Artikel:
  • None
  • Miwi’s Auszeitdesktopupdate

    Januar 6th, 2008 von buergermeister

    Der Miwi hat sich gestern mal eine kleine “Auszeit” genommen, dass heisst er hat mal keine Ports gemacht und statt dessen auf XFCE 4.4.2 upgedated. Ãœbrigens braucht der Miwi wegen des stetigen Fleisses mal dringend eine Auszeit in Alaska, dass hat er sich bestimmt verdient.
    Miwi ist nach Wölfchen seit langer Zeit wieder einer, der seinen Desktop hier einreicht. Die Aktion läuft ja immer noch. Naja in den nächsten Tagen wird ja KDE 4.0 erscheinen, bin ja gespannt, wann die ersten dann hier eintrudeln. Ansonsten her mit euren Linux/Unix-Desktops….

    Geschrieben in Desktop Revolution | 4 Kommentare »

    ähnliche Artikel:
  • None
  • Gesucht…….

    Januar 6th, 2008 von buergermeister

    Das ist schon manchmal ein Kreuz, mit den Vortragenden zum Stammtisch der CLUG. Wenn ich mich recht entsinne, sind mir letztes Jahr schon drei Vortragende kurzfristig ausgefallen. Was mich jedes Mal einige Nerven kostet, dann einen Ersatzvortrag auf die Beine zu stellen. Naja hat ja im vergangenen Jahr ziemlich prima geklappt.

    Aber nun geht das im neuen Jahr schon wieder los, mein Vortragender für Februar fällt aus. Nun da werd ich wohl meine eigene Schubladenlösung nehmen und vortragen müssen. So langsam gehen mir auch die Themen aus.

    Falls also jemand von der geehrten Leserschaft, ein Thema weiss oder vielleicht selbst ein kleines Softwareprojekt hat oder ein anderes vorstellen will, ich bin immer auf der Suche.

    Zu gewinnen gibts ausser Anerkennung nicht viel, aber man trifft bei der CLUG auf ein bekanntermaßen fachlich versiertes Publikum. Naja mal sehen ob sich jemand meldet……

    Geschrieben in Family Affairs | Keine Kommentare »

    ähnliche Artikel:
  • None
  • Googlezwerg

    Januar 4th, 2008 von buergermeister

    Auweia, was fällt Spon ein meinen Stuß von gestern zu verlinken. So besonders ist das nun auch wieder nicht, da gibts noch viele andere Dinge z.B. kann man ja auch mit Hilfe von privoxy seinen Useragent tauschen, man kann das sogar automatisieren und ständig wechseln mit einem Skript von Fabian Keil, aber egal. Scheisse, wenn unsere selbsternannten Profiblogger das geahnt hätten, das so etwas derzeit gesucht ist, statt dessen versuchen die Deppen auf Redtube und Timtube rumzureiten…..

    Hab mich schon gewundert was diese Trafficspitze verursacht, ich muss ja zu geben, ich les eben Spon nicht. Aber nach dem der Herr Einsteiger den Link zur Ursache gepostet hat, war ich schon mal da. Und da begenet mir doch ein Artikel, just jener hier. Also nicht das ich den besonders gut finde, ne der ist sogar scheisse: “Seine eigene Engine “Wikia” geht am kommenden Montag mit einem Suchindex zwischen 50 und 100 Millionen Seiten an den Start“, nur mal so für den Journalisten, der den Artikel so sensationell recherchiert hat. Die “Engine” also der “Motor der Software ist nicht von Jimbo. Da hat es letzten Sommer so etwas wie ein nennen wir es Auschreibung gegeben. Tja und da Jimbos Wikia eine Firma ist, die nachher natürlich auch schwarze Zahlen schreiben will, hat man sich das gleich was gekauft oder gleich die ganze Firma. Zum Einsatz wird Grub (nein nicht der Grand Unified Bootloader) der Firma Looksmart kommen. Naja von Grub war ich weniger begeistert, als Gegenleistung meine Maschine als Crawler zur Verfügung zu stellen, hätte ich nen Superbildschirmschoner bekommen. Wow…

    Mal davon abgesehen war nur der Client Open Source, der Server nicht. Also nix für mich. Richtig wir sollen also die Hardware für Jimmy Wales stellen und er verdient das Geld. :D Ja die Hardwareanforderungen sind das woran alle knabbern, das Crawlen, das Auswerten, das Cachen kostet einfach mal Ressourcen. Michael Nebel, der sich da ja selbst an einer freien Suchmaschine versucht hat da mal eine kleine Rechnung aufgemacht.

    Das Wikia mit einem kleinen Datenbestand starten wird, war absolut klar. Noch crawlt ja keiner für sie ;) Naja Jimmy will ja nur ” Nicht rütteln, sondern vorerst nur kratzen“. Nur rütteln tun schon viele und keinem gelingt der Durchbruch. Die Nutzung von P2P stellt schon mal einen vernünftigen Lösungsansatz dar. Da ist Grub aber nicht die einzige Lösung. Da wäre ja noch YaCy, die sich ja letzten Sommer noch die Hoffnung machten von Jimmy ins Boot geholt zu werden. Mmh installieren liess sich das damals kinderleicht, aber ich hab wirklich vergeblich nach dem”Go Online”-Button gesucht, davon stand jedenfalls etwas in der Doku. Nach vergeblicher Suche im Netz, bin ich dann in den IRC von YaCy getrabt. Kinders, mir zur Antwort zu geben das ihr vergessen habt aus der Doku zu nehmen ist ja schon mal heavy (aber durchaus verzeihlich), aber mich dann für doof hinstellen, wenn ich feststelle, dass ich gern die Kontrolle darüber hätte ob das Ding online ist oder nicht…..

    Naja schließlich hab ich dann auch von anderen derartige Berichte gehört hab, ist das wieder von meiner Maschine entfernt worden. Nach dem ich ca. 60.000 Seiten indiziert hatte und mal ehrlich beim herumprobieren, nicht ein vernünftiges Suchergebnis bekommen habe. Eine Suche in einem P2P-Netzwerk dauert auf jeden Fall viel länger als bei der Datenkrake ;)

    Das Javateilchen hat ja auch nicht mal wenig Ressourcen gefressen, das indizierte nur wenn ich ausser Hause war (arbeiten war nicht drin) und ganz nebenbei, schluckt das Ganze auch mal massiv Festplattenplatz (laut Doku ca. 25GB).

    Tja das Crawlen ist nur die eine Sache, wenn das dann ausschliesslich im P2P-Netzwerk bleibt mit dem Cachen werden keine vernünftigen Ergebnisse herumkommen. Nun ich hoffe da noch auf Wikia, wenn die dann noch Platz für Cache bereitstellen, gehen die Suchanfragen schon mal schneller. Was dann noch fehlt ist ein vernünftiger Wertungsalgorythmus und den will ja Wales offenlegen. Da bin ich schon tierisch gespannt, wie der das dann vor den oben genannten Youporn, Redtube und Timtube-Super-SEO-Typen schützen will. Irgendwann hat er ja mal was von wikiartiger Suchmaschine gesprochen, soll etwa die Community für die Reinhaltung der Ergebnisse sorgen? Na da bin ich auf den Lösungsansatz gespannt, wenn da nix vernünftiges am Start ist geb ich wikia nur den Wikipediagründerbonus um Nutzer zu gewinnen, aber durchsetzen wird es sich dann nicht. Und ich werd mich wieder mit YaCy auseinandersetzen, die haben zwar Ärger unter den Entwicklern gehabt und dicke Peers (einer davon mit 7Mill. Indexseiten) verloren, aber trotzdem sind es mehr Peers (von 133 auf knapp 500) geworden.

    Nun warten wir ab was der Montag bringt

    Geschrieben in Killer Application, Wundersame Webwelt | 2 Kommentare »

    ähnliche Artikel: FUDCon APAC Phnom Penh 2016 |

    Onionbrowser

    Januar 3rd, 2008 von buergermeister

    Der Herr Einsteiger hat sich ja eine Toranleitung gewünscht. Naja ich denke da gibt es mehr als genügend, Zappi hat vor ein paar Tagen erst eine niedergeschrieben. Ist nach der Anleitung ja auch kinderleicht….

    Die Sache hat allerdings einen Haken. Zappi empfiehlt die Verwendung eines kleinen Firefox-Addons namens Torbutton. Klar dieses einfache umschalten hat etwas. Ob man damit auch wirklich anonym unterwegs ist? Wenn man mal auf die Seiten des Torprojektes schaut wird man darüber informiert das unser Browser auch einige “geschwätzige” Dinge mit sich herumschleppt. Was nützt es also Tor zu benutzen, wenn ein Cookie mich dann beim Gegenüber dann doch enttarnt? Schauen wir also ob Torbutton Cookies beim einschalten löscht. Wir müssen mit erschrecken feststellen, dass die Entwickler von dem Problem wissen und es in ihrer Todo-Liste stehen haben. Eine ähnliche Situation bei “geschwätzigen” Firefox-Addons und ähnlichem.

    Was könnte man da jetzt machen? Wie wäre ein Extrabrowser nur für Tor, der dann immer keine Cookies enthält? Ich denke einmal, hier könnte eine Lösung sein. Ok, also einen weiteren Browser installieren, auch ne Lösung aber nicht meine. Ich möcht dann doch lieber gewohnterweise mit dem Fuchs unterwegs sein. Also zwei paralelle Firefox? Ja würde auch gehen, aber da bietet doch Firefox bereits etwas. Das nennt sich Userprofil. Der Fuchs legt bei seinem ersten Start ein Defaultprofil an und wenn man kein weiteres angibt surft man immer mit diesem. Bauen wir uns also ein eigenes Profil für das brwosen mit Tor.  Also Lieblingsshell auf und firefox -ProfileManager eingegeben. Der Profilmanager öffnet sich und dort ein Profilnamen seiner Wahl eingegeben, bei mir Toruser. Ging ja schnell oder? Firefox hat jetzt unter ${HOME}/.mozilla/firefox/ ein weiteres Verzeichnis angelegt, bei mir heisst das ga5ezxfm.Toruser. Ok nun müssen wir nur noch Firefox genau mit diesem Profil starten. Wieder Lieblingsshell und firefox -P Toruser eingegeben und siehe da ein nahezu jungfräulicher Firefox startet. Keine Bookmarks, keine Cachedaten, super funktioniert. Nun müssen wir nur dafür sorgen, dass das auch so bleibt. Firefox bietet da ja ein paar Einstellungsmöglichkeiten. Ob ihr da jetzt über Bearbeiten –> Einstellungen geht oder die about:config nutzt ist ersteinmal egal, ich nutze die entsprechende Datei in der das gespeichert wird. Das ist die prefs.js bzw. die user.js. Als erstes tragen wir dort die Zeilen user_pref(“network.proxy.http”, “127.0.0.1″); und user_pref(“network.proxy.http_port”, 8118); damit surft dieser Browser jetzt über den lokalen Privoxy. Jetzt zu den Cookies. In der Zeile network.cookie.enableForCurrentSessionOnly setzen wir true, dadurch werden die Cookies am Ende der Session gelöscht. Das heisst wir starten immer den Browser ohne das welche vorhanden sind und das wollten wir ja. Mmh gibt es noch etwas? Ja in der Zeile network.cookie.cookieBehavior wird geregelt, wie mit Cookies umgegangen werden soll. Defaultmäßig steht dort der Wert 0 und der besagt “Alle Cookies werden akzeptiert” wooot, da stehen mir die Haare zu Berge. Na gut welche Werte könnten wir denn nehmen?  1: Nur Cookies vom ursprünglichen Server werden akzeptiert, 2: Cookies werden verboten, 3: P3P Richtlinien verwenden (wird von Firefox (noch?) nicht unterstützt). Ich wähle mal 2, also wenn mir auch noch die Werbung einer Seite einen Cookie unterschieben möchte find ich das zu heftig, ansonsten hab ich nix gegen Kekse. Damit haben wir geschwätzige Addons durch das Profil und Cookies als kleine Verräter abgeschalten. Bleibt nur unser Browser selbst, der da schwatzt. Der verrät doch tatsächlich seine Version, die Sprache, sein Trägerbetriebsystem und andere Dinge über die man identifiziert werden kann/könnte. Kleines Beispiel aus der Praxis, der uns allen bekannte Dialerparasit wurde von mir immer sehr schnell beim Besuch meiner Seiten ertappt, es gibt einfach verdammt wenige AOL-Nutzer, die mit dem IE kamen und dazu noch die exotische Bildschirmauflösung von 1920×1200 nutzen ;) Diese “verräterischen” Dinge stehen unter general.useragent also schaut da mal hinein. Hier könnt ihr Änderungen vornehmen, wie ihr lustig seid, bedenkt aber die Konsequenzen! Ich für mich hab nur das Betriebsystem geleert, die Distribution welche ich verwende muss mein Gegenüber nicht unbedingt wissen und sie durch einen String wie “LINUX” zu ersetzen, ist mir zu heikel. Dann lieber leer…..

    So nun bleibt nur noch eines ein schicker Button auf dem Desktop oder bei mir im Kicker. Wie das geht erklär ich hier jetzt nicht, nur das was als Befehl reinsoll, nämlich  firefox -P Toruser -no-remote. Das no-remote verhindert das unterhalten mit einer weiteren vielleicht offenen Firefoxsession. So nun steht der Nutzung von Tor nix mehr im Wege.

    Geschrieben in Enemy at the Gates, Killer Application | 14 Kommentare »

    ähnliche Artikel:
  • None
  • Es riecht nach Knoblauch

    Januar 2nd, 2008 von buergermeister

    Seit gestern haben mich sage und schreibe 5 Personen gefragt, was es mit Tor auf sich hat und wie das funktioniert. Warum wollen das jetzt alle wissen, hab ich irgendwas verpaßt? :D

    Geschrieben in Enemy at the Gates | 4 Kommentare »

    ähnliche Artikel:
  • None