Javascript ist Toll!

31. Dezember 2014 - 13:12

[Perl] CGI::param im Listkontext

Da ein angeblicher Perl Bug sogar beim 31C3 für "Erheiterung" gesorgt hat muss ich als Laie und langjähriger Perlnutzer hier mal meinen Senf dazu abgeben.

Das ist kein Perl Bug! Oder ein 20 year old vulernability.

Als ich versuchte diesen Fehler nachzuvollziehen, fand ich es unverständlich, dass es professionelle Programmierer gibt, die diese Funktion so einsetzen das sie eine Lücke wird.

Denn im Grunde stimmt die Aussage das wenn die Methode CGI::param() in einem unbekannten Kontext benutzt wird, diese eine Liste zurück gibt und Dank der Flexibilität von Perl - die jedem Perlprogrammierer bekannt sein müsste - diese auch zu einem Hash erweitert werden kann. Das führte dazu, dass in Bugzilla ein schwerwiegende Sicherheitslücke gefunden wurde.

Das ist eine krasse Lücke, da sie zwei schwerwiegende Programmierfehler der Bugzilla Entwickler offenbart.

Diese beiden grundsätzlichen Paradigmen hätten diesen wirklich Bug verhindert.

Wenn ich diesen Code programmiert hätte, würde der Code so aussehen und tut es auch überall wo ich CGI Parameter direkt an eine HASH Element übergebe:

perl
my $otheruser = Bugzilla::User->create({
    login_name => $login_name, 
    realname   => $cgi->param('realname') || '', 
    cryptpassword => $password});

So wird verhindert, dass Perl sich beschwert wenn kein Parameter realname existiert. Etwas Konkreter hier ein Beispiel:

perl
#!/usr/bin/perl
use strict;
use warnings;
use Data::Dumper;
use CGI;
use CGI::Carp qw(fatalsToBrowser warningsToBrowser);
warningsToBrowser(1);
BEGIN {
    print "content-type:text/plain\n\n";
}
my $cgi = CGI->new;
my $otheruser = {
    login_name => 'test', 
    realname   => $cgi->param('realname'), 
    cryptpassword => 'test'};
 
print Dumper $otheruser;

Wenn dieses Skript aufgerufen wird erscheint eine Warnung:

 warning: Odd number of elements in anonymous hash at /home/struppi/projekte/perl/test.pl line 15. 

Diese Warnung wird mit der Variante die ich nutze verhindert nd wenn dieses Skript mit mehreren Parametern realname aufgerufen wird, wird immer nur der erste Parameter genommen. Es ist also alles in Ordnung und nichts pasiert.

Daher halte ich den hämischen Tonfall in diesen Vortrag für unangemessen, da dies ein Fehler der Programmierer war und nicht von Perl. Die weiteren Kritikpunkte an Perl in dem Vortrag verstehe ich nicht. Für mich ist die Art der Auflösung der Listen völlig normal. Wenn jemand nicht mit Perl vertraut ist, mag das anders sein, aber ich erwarte es so, wie es auf den Folien des Vortrag als "reality" bezeichnet wird und nicht wie er es erwartet.

Kategorie: Internet / Comments (0) / 138 mal gelesen
16. Februar 2012 - 12:07

GoodBye Google

Es macht ja nun schon einige Zeit die Runde, dass Google sich eine neue Datenschutzbestimmung zulegt. Hauptsächlich wird dies damit begründet, dass die vielen Dienste, die Google anbietet, damit alle Vereinheitlicht werden, bzw. deren AGB.

Die sogenannte Datenschutzerklärung ist online in einer Vorschau einsehbar. Was ich mich beim durchlesen zuerst gefragt habe, worin besteht hier der Schutz? [... weiterlesen]

Kategorie: Internet, Meinung / Comments (2) / 2225 mal gelesen
3. Februar 2011 - 13:19

WordPressStats entfernt.

Eigentlich braucht man für einen Blog wie diesen kein Statistiken.
Ich hab' keine Werbung auf den Seiten und muss mich auch nicht selbst bestätigen, weil ich soviele tolle Besucher habe. Es ist einfach nur ein Blog, um ab und zu mal etwas über mein Hobby, Javascript zu schreiben. Vielleicht kann der eine oder andere etwas damit anfangen.

Trotzdem habe ich in diesem Blog das WordPress Plugin WordPress.com Stats eingebunden (Achtung! Nicht verwechseln mit dem Plugin WP-Stats). Der Nutzen für mich liegt darin, dass ich relativ schnell sehen kann, wenn es übermäßig viele Zugriffe gab (oder gäben täte ;) ). Aber es ist natürlich auch schön, so Kleinigkeiten, wie mit welchen Suchbegriffe meine Seite gefunden wird, was die beliebtesten Artikel sind, zu erfahren. Mit diesen Informationen habe ich z.b. immer mal wieder einen einzelnen Artikeln etwas nachgefeilt. Sei es, neue Schlüsselwörter eingefügt oder dass ich beliebte Artikel versucht habe besser zu formulieren.

Ich habe Heute dieses Plugin deaktiviert, da es, neben dem üblichen sammeln der normalen Logdaten, diese Informationen auch noch auf an kommerzielle Dienste weiterreicht. Das wußte ich nicht und scheint auch relativ neu eingeführt worden zu sein.

[... weiterlesen]
Kategorie: Internet, Wordpress / Comments (1) / 3878 mal gelesen
6. November 2010 - 15:16

Mach deine Fehlerkonsole sauber!

Alle, die sich mit Javascript beschäftigten, kennen wohl die Fehlerkonsole (z.b. im Firefox zu finden im Menü Extras). Mit ihr lassen sich leicht Fehler in Skripte finden und ist daher bei mir meistens - neben dem normalen Browserfenster - geöffnet. Das sie außerdem noch CSS Fehler als Warnungen anzeigt, finde ich persönlich auch sehr praktisch. Da sich im CSS schnell mal Tippfehler einschleichen und sich nciht sofort bemerkbar machen.

Doch was mir in letzter Zeit immer häufiger auffällt, ist dass Seiten im Netz, gerade von großen Anbietern, die Fehlerkonsole regelrecht fluten. Teils hängt das damit zusammen, dass Firefox manche CSS Eigenschaften noch nicht ohne suffix akzeptiert (z.b. border-radius) oder dass IE Hacks, wie zoom, ihm unbekannt sind. Aber viele der Meldungen sind deutliche Hinweise auf Fehler und ich frage mich oft, kennen die Entwickler von solchen Seiten nicht die Fehlerkonsole?

Das fängt schon hier mit WordPress an. Gerade in dem Moment, wo ich diesen Text schreibe, läuft die Konsole voll mit Meldungen, die ohne Probleme und Aufwand vermieden werden können:

Warnung: Die 'charCode'-Eigenschaft eines keyup-Ereignisses sollte nicht verwendet werden. Der Wert ist bedeutungslos. Quelldatei: xxxxxx Zeile: 0

What the Fuck? In der Doku steht deutlich:

charCode is never set in the keydown and keyup events. In these cases, keyCode is set instead.

Ist das Blödheit? Ignoranz? oder was?

[... weiterlesen]
Kategorie: Internet, Meinung / Comments (8) / 6310 mal gelesen
7. Dezember 2009 - 12:59

Och Menno, der IE ist so gemein

Gerade via Peter Kröner gefunden. Kritik am meistgehaßten Browser der Welt, vorgetragen in einer - in diesen Kreisen - ungewöhnlichen Form. Viel Spaß!

Wobei - so ungewöhnlich ist das Gesinge gar nicht. Letztes Jahr gab es schon diesen Rap über Design Coding - voll krass, Alter ey.

Kategorie: Internet / Comments (1) / 6240 mal gelesen
18. Juni 2009 - 13:45

Neues zur Zensur

In den letzten Tagen hat die ganze Debatte um die bevorstehende Internetzensur noch mal richtig Schwung angenommen.
Schön zusammengefaßt, hat es die Süddeutsche. In dem Artikel werden noch mal alle Argumente, die gegen das Gesetz vorgebracht werden zusammengefaßt und auch die Kampagne im Internet richtig analysiert. Wie das aber auch in Hose gehen kann, zeigt dieser Kommentar in der Frankfurter Rundschau, von einem Politikprofessor(!). Dieser ist an Ahnungslosigkeit und Unterstellungen kaum zu überbieten. Da waren selbst die Aussagen von von Guttenberg in der Tagesschau harmlos. Das Internet wimmelt nach Auffassung des Profs. von Kommunisten und Anarchisten, die sich den Geschäftemachern in den Weg stellen und Kinderpornos verbreiten wollen:

[... weiterlesen]
Kategorie: Internet, Meinung / Comments (0) / 4608 mal gelesen
17. Juni 2009 - 00:44

Internetzensur steht bevor

Trotz gewaltigem Zuspruch bei der Internetpetiton gegen die Zugangssperre mißliebiger Inhalte, scheinen unsere gewähltem Volksvertreter diese Maßnahme sinnvoll zu halten, um ihre Zensurziele durchzusetzen. Laut Heise enthält der Entwurf nur kleine Änderungen im Detail und entspricht den fragwürdigen Vorgaben aus dem Hause der Familienministerin. Der AK Zensur hat darauf alle Gespräche mit dem SPD Verhandlungsführer abgebrochen

Sie planen, am Donnerstag die Büchse der Pandora zu öffnen. Daher sehen wir, die Internet-Community, keinen Grund mehr um weiter mit Ihnen zu reden. Alle weiteren Gespräche zu diesem Thema sagen wir hiermit ab. Dies gilt auch für Ihre Einladung für Mittwoch Nachmittag ins Paul-Löbe-Haus.

DNS Sperren sind nutzlos!

Das Prinzip, dass bei der Sperre eingesetzt werden soll, eine sogenannte DNS Sperre ist völlig ungeeignet um Internetseiten zu "sperren", es wird lediglich der normale Zugang über deutsche Provider etwas erschwert. Keiner der Konderporno Seiten besuchen will läßt sich davon aufhalten. Im gegenteil es würde mich wundern, wenn diese Leute nicht sowieso schon jetzt alles tun, um ihre Machenschaften zu verschleiern und dann wohl kaum von so einer Sperre beeindruckt sein werden.

Auf dieser Seite findet man z.b. eine Liste mit nicht zensierten DNS Servern, davon kann man einen auswählen und in den Netzwerkeinstellungen eintragen. Das ist (noch) völlig legal und ein Aufwand von wenigen Minuten, wenn man weiß wie sowas konfiguriert wird.

Das Schlimme bei dieser Art der Sperre ist, dass der Staat glaubt hier ein Mittel der Kontrolle der Inhalte des Internets in die Hand zu bekommen. Die ersten Äußerungen verschiedener Verbände, nach Wünschen von Sperrungen für ihre Zwecke sind auch schon vorhanden. Was kommt als nächstes?

Übrigens diesen Monat vor genau 60 Jahren ist 1984 von George Orwell das erste Mal erschienen. Ein Buch aktueller denn je.

Ach, und wer möchte und wordpress benutzt, kann zurück zensieren, wobei das Plugin noch einige technische Schwierigkeiten hat.

Kategorie: Internet, Meinung / Comments (0) / 4538 mal gelesen
rats-wonderful
rats-wonderful
rats-wonderful
rats-wonderful

Javascript ist Toll! is Stephen Fry proof thanks to caching by WP Super Cache