[ jalogisch]

um das ganze hier auch noch einmal für mich selbst als nachschlagewerk zu nutzen, folgen jetzt einige punkte die beim einrichten eines vservers von 1blu zu beachten sind … natürlich nur aus meiner speziellen sicht.

• kommt es beim aufruf von aptitude/dpkg zu locale warnungen (weil der client zB. ein Ubuntu ist) hilft ein dpkg-reconfigure locales.
  für mich wichtig waren dann de_DE.ISO-8859-1, de_DE.UTF-8 und de_DE.ISO-8859-15@euro. aber da muss jeder selbst wissen, was er braucht
• ich bin ein fan davon alles unnötige zu deinstallieren, in meinem fall war das folgendes:
  aptitude purge bind9 bind9utils cyrus-admin-2.2 cyrus-common-2.2 cyrus-doc-2.2 cyrus-imapd-2.2 cyrus-pop3d-2.2 emacs emacs22 emacs22-bin-common joe libapache2-mod-perl2 mc nscd php5-sybase php5-snmp php5-recode php5-pgsql php5-odbc php5-ldap phpmyadmin portmap proftpd proftpd-basic proftpd-mod-ldap proftpd-mod-mysql proftpd-mod-pgsql samba-common smbfs squirrelmail talkd unixodbc wwwconfig-common xaw3dg xinetd
• der per default installierte sendmail ist nicht mein fall, also wird ein exim installiert aptitude install exim4 und damit auch keine leichen mehr im keller liegen alles deinstallieren was zu sendmail gehört dpkg -l |grep sendmail |awk '{ print $2 }'|xargs -r aptitude purge
• der mysql muss abgesichert werden mittels pwgen ein neues passwort erzeugen¹ und mittels mysql -e "update mysql.user set Password=PASSWORD('NEUES_PASSWORT') where User='root';";mysql -e "flush privileges" das neue passwort vergeben. damit das arbeiten jetzt aber auch noch bequem ist eine .my.cnf im userhome anlegen und hier dann die passenden daten speichern.

  [mysql]
  user = root
  password = NEUES_PASSWORT

  das ganze kann natürlich ebenfalls noch für mysqldump, mysqladmin hinterlegt werden!

jetzt steht ein basissystem mit dem man arbeiten kann, vielleicht sollte nicht vergessen werden ein neues root password zu vergeben, da ansonsten das default passwort (das erste was man für sein kundenkonto angelegt hat) genutzt wird…

1. pwgen -s 20 1 [↩]

mitlerweile könnten wir so einiges aufführen was wir hier als schwachstelle im php sehen … einfache fehler oder kuriositäten … ein paar beispiele …

- die funktion getfilesize segfaultet bei dateien grösser 2GB
- die funktion imagefill liefert unter 64bit immer ein schwarzes bild, unter 32bit arbeitet sie normal
- die funktion file_get_contents schmiert mit einem segfault ab wenn eine ssl url genutzt wird.
– man muss php nur mit dem neusten mysql-client client kompilieren, dann funktioniert das wieder

nur um ein paar sachen zu nennen die uns so in den letzten zwei wochen aufgefallen sind …

IMHO ist PHP ein leidlicher Hack, dem einige Köche nachträglich was “ernsthaftes” oktroyieren wollten vor Version 4: total ungenießbar. Ein furchtbares Gegurke an unterschiedlichen Befehls-Schreibweisen und sonstigen Inkonsistenzien, mit einer nachträglichen Prise “OOP ist modern, also gurken wir das auch noch rein – irgendwie und halbwegs” dagegen ist OOP in JS geradezu der “heilige OO-Gral”.

Also wenn man eine gute, sinnvolle Scriptsprache von grundauf herstellen möchte, dann wäre das Ergebnis wohl diametral zu PHP …

… aber ist halt wie DOS/Windoof: Hat jeder, kann jeder, nutzt jeder – also hat man es auch, kann es auch und nutzt es auch – schon weil es so viele andere Programmierer gibt, die Libs geschrieben haben.

SELFHTML Forumsarchiv / 2006 / Juli / solide Ausbildung, um saubere Webseiten zu erstellen

stimmt irgendwie immer noch diese aussage …

• Benzingespräch mit Tim Mälzer: “Ich fahre und fahre und esse nichts”
  Natürlich hat der Mustang kein halbes Dutzend Getränkehalter. Aber ich bin wirklich ein Automessie, ich könnte auch einen Neuwagen fahren, und nach drei Tagen sähe es so aus, als ob ich darin schon seit Wochen wohnen würde.
  (tags: spon fun konsum articel)
• Nichtraucherschutz Ganz schön unhöflich
  (tags: sueddeutsche articel)
• Spieletest: Stalker – Spät, aber gut
  Es gibt Computerspiele, bei denen man eigentlich gar nicht mehr damit rechnet, dass sie eines Tages wirklich erscheinen.
  (tags: golem game fun)
• Dann eben hier: Meine ultimativ letzten Worte zu Second Life
  meine Meinung
  (tags: blog sixtus articel)
• Trailers – 28 Weeks Later
  endlich … der erste teil war schon ziemlich genial!
  (tags: movie trailer)
• Month of PHP Bugs: 18 ungepatchte Lücken
  mmh mal schauen was in the wild zu finden sein wird
  (tags: heise security server php)
• Maximo Park – Our Earthly Pleasures
  die neue maximo park scheibe auf die ohren zum kostenlosen probehören! (komplett)
  (tags: musik hören)

• Democracy: Internet TV
  warum findet man sowas immer zu spät ?
  (tags: blog server software technology tools podcast rss)
• The Mac OS X Guide to Ogg Vorbis
  Das ist was für geeks ..
  (tags: mac music software articel ogg)
• the Month of PHP Bugs
  sollte jeder admin im auge haben
  (tags: php security server)
• Sixpack – Der Feind an meinem Tisch
  das experiment, eine woche vegetarier…
  (tags: sueddeutsche articel fun)

• 13 Fragen zum neuen Telemediengesetz
  alles was man immer wissen will … kurz erklärt …
  (tags: recht info netz)
• ODFaq
  php faq script
  (tags: php work wizard software)
• Five Things You Should Know About Fighting Spam
  Das sollte man jedem Chef vorlegen der es nicht verstehen will … wobei .. kann der englisch ?
  (tags: technology work spam server software info)

durch lesen der php-developer liste bin ich auf dieses posting gekommen …

kurz gesagt konnte laut diesem posting in php 5.2.1 folgender code zu einem total absturz führen…

$Data = str_ireplace(“\n”, “
“, $Data);

schon einige stunden später war der fehler im cvs des php-projektes fixiert und wäre also im nächsten release. bis dahin würde diese recht neue funktion nicht wie erwartet funktionieren.
bedingt durch die ankündigung von stefan esser in seinem php-security-blog und seiner weiteren aussage das in der neuen version von php viele löcher geschlossen sind, wollte ich gerne updaten …

… besorgte mir die aktuellen sourcen und den aktuellen patch aus dem cvs und war erstaunt … in den aktuellen sourcen war dieser fix schon eingeflossen.
schnell den header der datei verglichen und in den frischen sourcen fand sich der header des patches aus dem cvs.

das bedeutet in meinen augen, das die jungs von php einfach mal eben so ein release gemacht haben, ohne etwas dazu auf ihrer webseite oder in den mailinglisten zu schreiben … vielleicht ist es ja auch nur an mir vorbei gegangen, aber an sich schon nen starkes stück …

bisher scheint das niemand bemerkt zu haben … jedenfalls hab ich noch nichts darüber gelesen.

• Know-how – Sicherheit von Webanwendungen
  lesen und verstehen!
  (tags: heise security php work)

• // GaMerZ.HomePage.Version.2.0; It Is Not Just About Design;
  (tags: blog php wordpress plugins software)
• Canned !! — my Atropine » iG:Syntax Hiliter
  (tags: blog php wordpress plugins software)
• #102697: A Security Vulnerability in Solaris 10 ICMP Handling May Allow a SystemPanic and Result in Denial of Service (DoS)
  ping of dead is wieder da
  (tags: server security os sun software)
• Pagebar — elektroelch
  (tags: wordpress plugins php)
• “Mit Leuten starten, die von Haus aus halbwegs schreiben können”
  Wie die Informatik interessant werden könnte in der Presse
  (tags: technology review heise info)

php neu bauen, patchen, modifizieren … neue regeln schreiben … dann hier noch etwas modifzieren, damit die hashes nur einmal gebraucht werden und der spamassassin die rbl direkt füttert …

dann will noch etwas papier produziert werden … und und und … ich glaube im moment ist einfach echt bissel viel hier los … also bis später