WeizenSpr.eu

[ Revue Trigami ]

Wow! Cette fois, j'ai fait tourné l'oiseau ! Quand j'ai finalement ouvert la porte à l'homme de livraison, me vaut un paquet de 400 € dans l'appartement . Inclus sont deux produits de Creative : d'abord, le haut-parleur "ZiiSound D5" et de l'autre, "Aurvana In-Ear-2 écouteurs. Ci-dessous je vais vous présenter deux produits en un examen distinct et d'examiner.

Creative Logo

Creative ZiiSound D5

Commençons avec le D5 ZiiSound Président système. Il s'agit d'un moyen et un système stéréo : Cela signifie qu'une tentative est faite pour un haut-parleur, à la fois le haut, moyen, lorsque la voix basse couvrir également (à des systèmes de fosse actuelle sont le plus souvent à sens unique enceintes deux ) .
La particularité de ces enceintes est que la zone non seulement câblé en 3,5-pouces jack peut être connecté, mais aussi via Bluetooth ! En outre, tous les propriétaires de produits Apple (iPod et Co.) utiliser la solution d'accueil intégrée pour jouer de la musique tout en chargeant votre appareil.

Creative Packaging ZiiSound D5

Même si vous gardez la boîte à la main, nous savons que nous pouvons être égale pour décompresser un peu plus - après tout, que l'enceinte pèse environ 2 kg déjà. Il n'est donc pas surprenant qu'un temps après, non seulement l'adaptateur secteur fourni Colombie pouvoir décompresse et allemand court, mais aussi un câble jack, beaucoup de paperasse et même un Creative D5-BT Bluetooth Dongle pour les périphériques Apple.

Accessoires

Après avoir examiné tous les accessoires - le dongle Bluetooth je pourrais essayer, malheureusement, puisque je ne possède pas les produits Apple - J'ai finalement pris la main sur le locuteur. Il faut être très prudent, parce que la boîte est entièrement recouvert de la même matière, on ne voit pas s'asseoir à la position pour le moment les haut-parleurs. Pas beau, j'ai aussi trouvé le stand dire: à travers lui, la boîte reçoit un étrange état, qui ne me s'il vous plaît. Nice, je l'avais trouvé, si la zone aurait été facile qu'une boîte, sans aucune fioriture design.

Voir le Président

Que j'ai aimé les contrôles sur le front et le sommet de l'unité. "Contrôles?" Vous allez probablement vous demander maintenant: Oui! Le D5 est équipé d'ZiiSound surface tactile ! Sur le front est le bouton "Connect" avec la réception Bluetooth de l'appareil peuvent être activés et sur le dessus est un curseur à l'aide dont le volume peut être ajusté.
L'arrière de l'appareil est auto-explicative: Dans "DC IN" est relié à l'alimentation, et "AUX IN" peuvent être connectés par un joueur avec le bouton au centre peut être sur et en dehors de la boîte. Que le dos est une position pour le bouton d'alimentation est un bon choix, je doute! Il aurait été plus sage, lui acheter un endroit plus accessible.
Comme vous pouvez le voir sur le côté de la dernière photo, les côtés de l'orateur sont polis à un éclat - son si vous pouvez l'imaginer, les empreintes digitales comme des fous là ! Malheureusement, les contrôles sur le front et le haut du même problème: La récolte est donc annoncé, si vous devez vraiment toucher le dispositif une fois.

Mais nous arrivons à l'utilisation: C'est facile. Si vous vous connectez via un câble à joueur de la boîte, vous avez devant seulement la tâche de connecter le câble et, éventuellement, régler le volume. Mais la connexion via Bluetooth est relativement simple:

• D'abord, vous devez appuyer quelques secondes sur le bouton Se connecter. Ainsi, la boîte en mode appairage est fixé.
• Maintenant, vous pouvez faire une recherche avec son appareil Bluetooth (son téléphone portable à son ordinateur portable, etc) à la boîte.
• Si vous l'avez trouvé, vous pouvez vous connecter («pairing») entre les deux appareils pour produire a. Le mot de passe par défaut pour la boîte est 0000.
• Une fois la connexion établie, vous pouvez (à usage facultatif pour l'unité), les profils Bluetooth de haut-parleurs de sélectionner qui sera utilisé par le périphérique.
• Si l'on a réussi à arrêter sur votre propre appareil, que le haut-parleur peut être utilisé pour la sortie audio, vous êtes prêt à l'installation.

Malheureusement, il est assez difficile de se connecter plusieurs appareils avec le D5 ZiiSound. Si elle est plus fréquente entre les deux appareils liés basculer. En cas de doute, cependant, il est plus facile de répéter le jumelage.

Le transfert de données via Bluetooth d'autre part, peut ouvrir mon esprit à désirer ! J'ai dans le passé, tenté divers moyens de transmission: le cas de la transmission par infrarouge est une ligne continue de vue entre l'émetteur et le récepteur est absolument nécessaire, sinon, la musique disparaît dans le bruit contenu - pas beaucoup mieux cela vaut pour la transmission radio. Là, vous pouvez en effet parfois être séparés par un mur de l'émetteur, mais celui-ci a un bruit persistant dans l'arrière-plan, peu importe ce qu'on fait. La situation est différente dans un transfert Bluetooth: Pas de durée du bruit, ne demandait pas de vue, aucun bruit saccadé avec une bande passante trop peu - tout simplement génial !
Voici un indice: L'orateur jouer de la musique, qui est alimenté par le câble et de la musique, qui est déclenchée par Bluetooth, en même temps. Absolument superbe à mes yeux ! Qu'est-ce qui le rend si, est laissée à votre imagination .

Que les détails techniques, la fourniture et la conception de ce qui intéresse vraiment dans une boîte: le son. Comme attendu pour un système à sens contraire ne peuvent pas tous être parfait. Dans les chansons rock me manque un peu à la basse et la musique électronique , j'ai senti que les hauts trop faible - tout cela pourrait sembler un peu plus complète. Néanmoins, vous ZiiSound la D5 un "cycle" impression d'ensemble sans aucune faiblesse majeure - même à des volumes plus élevés de la boîte offre un bon son, mais pas de distorsion. Devrait donc être tout à fait suffisantes pour les partis petite maison .

Ma conclusion pour Creative D5 ZiiSound: Vous obtenez un système d'enceintes élégantes avec un concept d'exploitation sophistiqués (en dehors de la position du bouton d'alimentation). Pour les périphériques Bluetooth qui ne supportent pas le profil de la télécommande, on voudrait une petite télécommande pour réglage du volume. La liaison Bluetooth est facile se vonstatten. Que la zone de deux signaux d'entrée (câble et Bluetooth) qui se passe dans le même temps, est un avantage absolu! Dans la lecture audio se fait pas la boîte de Schnitzer, peut être utilisé dans les profondeurs et les hauteurs, mais seulement modérément convaincantes.
Pour qui les 300 € pour la bonne ZiiSound D5 beaucoup sont d'un bien qui pourrait être éventuellement par le moins cher D200 Creative se sentent pris en compte. Aussi cette boîte appartient à la gamme de la pure musique Partout les systèmes d'enceintes sans fil de Creative.

Creative Aurvana In-Ear 2

Après l'expérience positive avec le D5 ZiiSound Creative J'avais espéré que, tout comme avec le Creative Aurvana In-Ear-2 continuera casque. Malheureusement, j'ai été terriblement déçu à ce point . La frustration a commencé avec l'emballage ...

Aurvana In-Ear 2 - Packaging

Oui, l'emballage air vraiment sympa - mais je ne peux rien dire. Mais ce qui est des boulons d'intelligence pour une utilisation avec l'idée de sceller le paquet avec du ruban adhésif double-face? Imaginez fois avant, vous achète 100 € casque chers et ont de déchirer l'emballage, la conception pour obtenir au contenu! Qu'est-il arrivé à la bonne vieille Papplasche? Soyez honnête: Ce ruban double-face semble juste et bon marché sale! Ugh!

Accessoires

Bien sûr, être également un peu d'accessoires, avec ce serait: En tant que substitut pour les mamelons en caoutchouc - Heureusement que vous recevez de toutes tailles (Small, Medium, Large) égale à 2 paires fournies. Ensuite, vous obtenez un produit de nettoyage à la cire d'oreille à Puhle de l'auditoire, un adaptateur pour utiliser un casque sur le plan peut (même si j'ai vu un double connecteur sur le plan avant), encore une fois beaucoup de paperasse et un petit sac pour le stockage sûr du casque.

Sac de rangement

A propos de ce sac de rangement, j'ai été gêné lors de la décompression le plus honnêtement. À première vue, il est vraiment joli, mais si vous inspection puis plus près, on suffira aigre. L'intérieur du sac est fait de plastique moins chers dur, il n'ya pas de bosse, où vous pouvez mettre le cric, rendant le hinbuxiert sera toujours un endroit où il ne dérange pas et le pire de tous: Le sac est fait si bon marché que vous avez un écart écart entre les deux moitiés de charnières! Je suis désolé, mais c'est juste des animaux laids! Ensuite, ils doivent simplement utiliser une fermeture éclair si elles ne le réparez pas autrement ordonné! Si j'avais payé pour le casque, je me serais senti de la transformation à bas prix juste une ventouse.

Jack

Une autre critique est à la prise. Comme on peut le voir, ceci est parfaitement droite. La surface lisse qu'il est presque impossible à saisir fermement. Si vous mettez la fiche maintenant dans un couplage hermétique, on a un certain effort pour libérer le bouchon sorti - et si, comme moi, prend parfois 4-5 tentatives pour obtenir la fiche de votre lecteur MP3 ou même le bloc-notes sortez, vous pouvez schonmal perdre son sang-froid. Il devrait certainement être amélioré.

Je ne suis pas du tout si je dois vraiment dire quelque chose au son, porter cette écouteurs intra-auriculaires . Vérifiez d'abord: Personnellement, je ne peut pas garantir que les écouteurs ont décrit nettement avec moi - même si j'ai à maintes reprises essayé tous les mamelons en caoutchouc tailles, mais la qualité sonore est toujours catastrophique. Il y avait une amélioration seulement dans les moments où je presse le kit oreillette avec les doigts bien à mes oreilles. Je n'ai pas ce sat, lâche le casque, certains avec les écouteurs sont vraiment des oreilles.
Aussi mauvais que le casque se sent si mauvais ont été les sons qu'ils produisent: basses J'ai essayé en vain, car les tons en permanence tiré dans les altitudes plus élevées.

Le positif seulement la suppression du bruit ambiant. C'est ce que j'ai testé dans le U-Bahn de Berlin - avec les fenêtres ouvertes. Malgré un environnement bruyant je pouvais sur mon lecteur de musique pour environ un cinquième du volume maximum sans être dérangé par le bruit autour de moi .

Ma conclusion: de l'emballage ennuyeux des accessoires sur le traitement à bas prix jusqu'à le confort du casque Creative Aurvana sont les écouteurs intra-auriculaires en 2 juste décevant. La qualité sonore des écouteurs je ne serais pas de prix: Les prix de l'auto-promotion et je ne peux pas imaginer que les écouteurs sont généralement très bonne si mal. Personnellement, je ne peux pas les recommander à tout le moins . Seule la réduction du bruit a été convaincante.

Si votre intérêt a été suscité deux produits à l'un, puis vous venez sur ce lien maintenant pour le produit .

Salutations Musical, Kenny

Le dimanche de la première semaine de mes trois semaines de vacances a pris fin - il était plus difficile que prévu. Malgré la chaleur sub-tropicales ont Sasha et j'ai essayé d'abandonner la course au moins quelques curiosités de Heidelberg et Mannheim. Bien sûr, nous avons également inquiets souvenirs touristiques appropriés!

I Love T-Shirts

Tout a commencé avec le voyage aller la semaine dernière lundi. Les nouvelles de la climatisation a échoué dans les glaces étaient encore frais comme une rose - a donc été la sensation de nausée que nous avons dans notre voiture. Dans notre air conditionné 6-compartiment travaillé, heureusement, un wagon sur elle, mais vu très différentes. Les personnes qui avaient réservé leurs sièges laissés là, ont fui leur voiture quand ils ont été informés qu'il n'y avait pas l'électricité. Sascha et moi avons été certainement bien conditionné après 5 heures de conduite à Mannheim.

Après nous avions placé nos sacs à l'hôtel, le premier acte officiel fut d'acheter: ordinateur portable! Non, ce n'est pas une blague . En fait, je me suis dit que je besoin d'une semaines au cours d'un ordinateur - une grosse erreur! Même pendant le train mails reçus dans ma boîte aux lettres avec des contrats de publicité, ce qui serait bien sûr être modifié. Donc à partir de la prochaine Saturn et a attrapé le moins cher ordinateur portable en: un Netbook Asus EEE R101.

Asus EEE R101

Bien qu'il ait le même équipement que les autres netbooks dans le magasin, il était à 299 € en moyenne 100-200 € moins cher que tous les autres dispositifs. Dans l'hôtel, nous sommes allés assez rapidement: de 24 heures sans fil Bon GANAG acheté pour une demi-heure se battre pour mettre en place un réseau local sans fil dans Windows 7, une heure pour battre à nouveau, pour comprendre que stupide, pare-feu installé déjà c'est de la foutaise et déjà je pouvais faire mon travail. L'autre jour, j'avais aussi acheté bon Wi-Fi, mais plutôt pour que Sasha pourrait weiterpflegen ses jeux en ligne.
Dans les prochains jours je vais probablement manquer le PC Asus d'abord une jolie Windows XP. Le bref voyage avec Windows 7 m'a montré que les prochaines années je n'ai toujours pas besoin de changer à un "nouveau et meilleur» système d'exploitation.

Le lundi soir passé Sascha et moi avec le Parti Pirate Mannheimer d'une réunion ivre de pizza, Politique et cocktails ". Le restaurant "corps et âme, je ne peux pas recommander personnellement - après les trois premiers cocktails ont été les ingrédients ne sait plus pour les boissons à gauche. Alors le barman a ensuite tenté de créations à partir des restes - avec un succès inférieur. Votre question sur la table était toujours nurnoch "qui avait ordonné un cocktail?

Les prochains jours sont relativement les mêmes: Nous avons été shopping à Mannheim, nous étions shopping à Heidelberg, nous avons examiné ces magasins, nous avons acheté quelque chose. Je crois que Sasha a ses bagages était sur le chemin du retour environ deux fois plus lourd que sur l'aller. Oh! Et nous avons bien mangé ! Sur le prix, nous n'avons pas cherché un changement - doit également être en vacances pas nécessairement .

Excitant il était de retour le jeudi. Nous avons eu un anniversaire samedi Studienkommilitonin invité et nous avons eu l'idée avant de prendre jamais été dans un bar. Et ce fut, comme Sasha et je suis arrivé à la barre? À environ 10 un tableau à double assise ma anciens camarades de classe ! On ne peut pas imaginer ce qui a été énorme pour une coïncidence: Après tout, mes camarades ont été répartis selon l'étude de la moitié du pays.
Bien sûr, nous avons échangé sur ce que les gens ne maintenant si et comment les conditions de travail. Il s'est avéré que l'étudiant boursier doit maintenant rattraper son service communautaire, tandis qu'un autre fait environ 60h un groupe de travail par semaine - vous l'esprit, sans conduire. Je suis moi-même lors des pourparlers, en tout cas arrivé à la conclusion que c'est la bonne décision pour moi de trouver un emploi permanent sans interminables fois Voyage de long.

Am Samstag wurde es dann noch einmal spannend – nicht nur, dass wir endlich zum Geburtstag gehen konnten. Nein, wir mussten uns auch noch ein Geschenk überlegen! Zuerst stachen uns wirklich lustige Eierbecher ins Auge, die nur noch von einer stilvollen, italienischen, manuellen Espressomaschine überboten wurden. Da ein nützliches Geschenk allein immer recht trist wirkt, haben wir dem Geburtstagskind zudem eine riesengroße, gemeine Geburtstagskarte geschenkt – so hielten sich nützlich und nutzlos die Waage.
Die Feier war ziemlich lustig und auch dort trafen Sascha und ich noch einmal alte Bekannte aus dem Studium. Gegen halb eins war die Party für uns beide allerdings schon wieder vorbei – in 12 Stunden ging nämlich schon unser Zug.

Als wir gegen 2 Uhr einschliefen, ahnten wir noch nicht, was uns am nächsten Morgen erwarten würde. Über Nacht wurde die gesamte Straße vor unserem Hotel mit Spielbuden vollgebaut – in Mannheim sollte nämlich ein großes Sportfest stattfinden. Dieses Fest sorgte nun dafür, dass Taxis unser Hotel nicht mehr erreichen konnten – auch der Bus vor der Tür fuhr nicht mehr. Das hieß für uns, dass wir unser gesamtes Gepäck zu Fuß zum Hauptbahnhof schleppen durften. Tolle Wurst! Und das bei brütender Mittagshitze *schwitz*. Wenigstens war auch unser 6er-Abteil im Heimreise-ICE voll klimatisiert.

Die Bilanz dieser einen Woche ist ein neues Notebook, eine Menge neuer Klamotten – besonders für Sascha – und ein starker Reizhusten, der wahrscheinlich durch den ständigen Wechsel zwischen runtergekühlten Läden und extrem heißen Außentemperaturen entstanden ist. Den versuche ich nun in dieser Woche auszukurieren .

Sommerliche Krankengrüße, Kenny

Soderle, dies dürfte vorerst der letzte Artikel zu meinem Studium sein. Gerade ist nämlich mein Bachelor aus England angekommen . Da ich diesen jedoch für die gleiche Studienleistung wie den ersten verliehen bekommen habe, darf ich die beiden nicht parallel tragen, sondern nur abwechselnd.

Bachelor Degree der OU London

Was mir an dem englischen Bachelor gegenüber dem deutschen gefällt, ist, dass es sich dabei um einen Bachelor with Honours handelt – er also mit besonderer Leistung abgeschlossen worden ist. Ich kann mich jetzt also entscheiden, ob ich ein “B.Sc.” oder aber ein “BSc (Hons)” an meinen Namen anfüge. Welche Variante findet ihr besser?

Akademische Grüße, Kenny, BSc (Hons)

Ja, ich weiß, es ist gemein – da will man mal ein bisschen Geld mit Werbung verdienen und dann muss man auch noch aufpassen, auf welchen Link man klickt! Mir geht es in diesem Fall um den Werbevermittlungsdienst Trigami . Diese haben anscheinend noch nie etwas von Cross-Site Request Forgery gehört. Anders kann ich es mir nicht erklären, dass zB die Passwortänderung so offen und ungeschützt zugänglich ist. Trigami ist dabei besonders gefährlich! Es gibt keinen automatischen Logout nach einer bestimmten Zeit, sondern man bleibt eingeloggt, solange man sich nicht explizit ausloggt.

Wenn man sich nun zB den Quelltext für das Ändern des Loginpassworts anguckt, sieht man dort folgenden Quelltext:

Was sehen wir hier? Es gibt keine eindeutige Transaction-ID, mit der der Vorgang vor Angriffen geschützt wird und vor allem wird nicht das aktuelle Passwort abgefragt! Dadurch reicht solch einfacher Quelltext, um das Passwort eines eingeloggten Trigami-Nutzers zu ändern:

Wieder einmal reicht es aus, Leute mit Hilfe eines maskierten Links auf eine präparierte Seite zu führen. Mit Hilfe von iFrames, Popupfenstern oder Ähnlichem würde ein Opfer nicht mal mitbekommen, dass gerade das Passwort geändert wurde – es bleibt schließlich weiterhin eingeloggt und kann Trigami weiterhin nutzen! Der Angreifer kann sich nun in Seelenruhe einloggen und zB die Kontoinformationen für die Abbuchung ändern – ich denke nicht, dass die Nutzer da sooo oft reingucken.

Auch hier ist wieder einmal der Tipp: Nur eingeloggt sein, wenn man gerade etwas mit der Seite machen will. Danach sofort wieder ausloggen, um solche Angriffe zu umgehen. Natürlich werde ich gleich noch Trigami anschreiben und ihnen von dem Problem berichten.

Mise à jour:
Wie mir gerade mitgeteilt wurde , muss man nun das alte Passwort angeben, bevor man das Passwort ändern kann. Das hilft jedoch nur bedingt, da weiterhin die Änderung der Bankdaten möglich ist.

Geänderter Passwortdialog

Es hat mich schon lange genervt: Wie kriegt man es hin, sichere Passwörter zu verwenden und sich diese trotzdem noch merken zu können? Es gibt da mehrere Ansätze, die man verfolgen kann. Alle mir bekannten Systeme haben jedoch die Schwäche, dass man weitere Passwörter erraten kann, sobald man das eigentliche System verstanden hat. Das ganze kann man noch dadurch erschweren, indem man ein festes – möglichst sicheres – Passwort an den Anfang setzt: Doch sobald das Passwort bekannt ist (zB weil eine Passwort-Datenbank gehackt wurde), ist auch dieser Schutz ausgehebelt.

Aus diesem Grund habe ich mich gestern Abend mal dran gesetzt und einen Passwort-Berechner programmiert. Die Idee dahinter ist relativ simpel: Man entscheidet sich für ein festes Passwort (oder auch mehrere, wenn man paranoid ist). Zudem wählt man für jeden Login, der einem so begegnet eine Information. Diese kann zB der Domainname, der verwendete Loginname, irgendwelche Kurzformen oder ähnliches sein. Diese Information wird nun genommen und mit dem gewählten Passwort verschlüsselt. Dabei heraus kommt eine neue Information, die möglichst den Anforderungen für ein sicheres Passwort entsprechen sollte.
Sollte dieses generierte Passwort nun bekannt werden, entstehen keinerlei Probleme für alle anderen passwortgeschützten Dienste die man nutzt, da aus dem gestohlenen Passwort nicht das ursprüngliche Passwort wiederhergestellt werden kann, um weitere Passwörter zu erraten.

Für alle, die es technisch mögen, gibt es hier noch eine Erläuterung, was nun genau mit den eingegebenen Daten passiert. Ich muss zugeben, dass meine Variante, die Sonderzeichen zu behandeln, ziemlich einfach gestrickt ist. Aber für meine Bedürfnisse war es so ausreichend.

Wenn wir nun beispielsweise das Passwort “test” benutzen, und die Information “test1″ wählen, erhalten wir (bei Deaktivierung der Sonderzeichen) folgendes Passwort:

Wählen wir hingegen als Information den Text “test2″ , erhalten wir dieses Passwort:

Ihr habt am Ende wahrscheinlich das “=” . Das ist ein Überbleibsel der Base64-Encodierung, die ich übersehen habe. Dieses werde ich in einer zukünftigen Version eventuell noch beseitigen – rein aus Konsistenzgründen (keine Sonderzeichen halt).

Was angemerkt werden sollte: Im Gegensatz zu zufällig generierten Passwörtern, sind die mit diesem Programm generierten Passwörter reproduzierbar – genau darin liegt der Sinn in dem Ganzen. Die “Zufälligkeit” der schlussendlich generierten Passwörter basiert primär auf der Entropie , die durch den MD5-Hash und durch die AES-Verschlüsselung erzeugt wird.

Wie immer könnt ihr natürlich sowohl die kompilierte Binärversion , als auch den Quelltext herunterladen. Da ich für die AES-Verschlüsselung Martin Offenwangers GPL-lizensierte Klasse verwendet habe, steht natürlich auch diese Anwendung unter der GPL .

Was haltet iht von dem Programm? Wie wählt ihr sichere Passwörter für die unzähligen Webdienste aus? Habt ihr irgendein spezielles System? Falls ja: Wären andere Dienste gefährdet, wenn man eurer System herausfindet? Würdet ihr euch für die Passwort-Generierung auf ein Programm verlassen wollen?

Enfin Conditions quelque chose,:
L'auteur de ce programme n'est pas responsable des dommages causés aux logiciels ou matériels ou des dommages matériels causés par l'utilisation du programme, sauf si elles sont dues à une négligence grave ou d'un acte délibéré de l'auteur, ses agents ou de son représentant légal.
Für Schäden an der Gesundheit, dem Körper oder dem Leben des Nutzers haftet der Autor uneingeschränkt.

Berechnende Grüße, Kenny

Ich weiß, ich habe in letzter Zeit schon viel zu viel über IT-Dinge geschrieben. Es wird demnächst auch wieder ein paar Dinge aus meinem Alltag geben. Aber diese eine Sache wollte ich noch loswerden, bevor sie hier auf meiner Platte versauert:

Wie ich erfahren habe , ist die Bundes-IT der Piratenpartei gerade dabei, spenden für ein eigenes Rechenzentrum zu sammeln. Die Konzepte , die bisher zur Debatte stehen, finde ich jedoch mehr als befremdlich. Deshalb habe ich mich vor Kurzem mal dran gesetzt und ein eigenes, kleines Konzept aufgestellt. Ich weiß, es ist nicht viel, aber zumindest ließe es sich problemlos mit den angestrebten 10.000€ Spenden realisieren.

Rechenzentrum: Idee

Die Struktur ist schnell erklärt: Es gibt einen zentralen Loadbalancer-Cluster, einen Datenbank-Cluster, einen Applikationsserver-Cluster und einen Backup-Storage. Die Loadbalancer sind redundant ausgelegt, wobei der passive Loadbalancer erst dann einspringt, wenn der aktive Balancer ausfallen sollte. Da die Loadbalancer für den Zugriff auf die Server essentiell sind, wäre ein totaler Ausfall an dieser Stelle tödlich!
Die Datenbankserver arbeiten ebenfalls asynchron (ein aktiver Server und ein passiver Failover-Server). Wie man eventuell am Replikationsschema erkennen kann, habe ich hier erst einmal primär an MySQL-Datenbanken gedacht. Warum?! Weil ich mich mit den Replikationsmöglichkeiten von MySQL auskenne.
Im Gegensatz laufen die Applikationsserver synchron – das bedeutet, dass beide Server parallel Anfragen bearbeiten können. Damit können höhere Lasten abgefangen werden. Die Idee war, DRBD zu verwenden, um die Datenstände der Platten synchron zu halten. Der Zugriff der Anwendungen auf die Datenbanken müsste in diesem Design über die zentralen Loadbalancer erfolgen. Man könnte jedem Cluster seine eigenen Loadbalancer zur Verfügung stellen, aber entweder bedeutet das höhere Hardwarekosten oder aber Performanceverlust bei den aktiven Komponenten der Applikations- und Datenbankcluster, wenn diese sich selber um das Balancing kümmern müssen.
Zum Abschluss gibt es dann noch einen ordentlichen Backup-Store, um in regelmäßigen Abständen Datensicherungen durchführen zu können. Die Daten, die im Backup enthalten sein sollten, sind sowohl die Applikationsdaten, als auch die Datenbanken.

Was haltet ihr von dem Design? Würdet ihr jedem Cluster seinen eigenen Loadbalancer geben? Würdet ihr eventuell ein komplett anderes Design wählen? Wenn ja, warum und welches? Fragen über Fragen.

Computerisierte Grüße, Kenny

Gestern habe ich darüber berichtet , dass ich mir nun auch einen der Beta-Accounts der neuen Micropayment-Plattform Flattr geholt habe (ich habe übrigens noch 3 Einladungen dafür zu verschenken). Am Ende des Artikels hatte ich eine mögliche Angriffsfläche erwähnt, die auch schon bei Twitter ausgenutzt worden ist. Wie ich nun durch eigene Tests herausgefunden habe, ist es tatsächlich möglich, Besucher einer Seite dazu zu bringen, völlig unbekannte Seiten zu flattrn .

Die Theorie hinter dem Angriff ist relativ einfach erklärt: Damit Flattr wirklich sinnvoll genutzt werden kann, muss man permanent eingeloggt sein. Es wird wohl kaum Nutzer geben, die sich jedes Mal erst einloggen wollen, bevor sie einen Flattr-Button drücken können. Diesen permanenten Login kann man nun missbrauchen, um Webnutzer dazu zu bringen, den Flattr-Button (bzw. den Link, der sich dahinter verbirgt) anzuklicken.
In der Praxis haben die Entwickler von Flattr versucht, dies dadurch zu verhindern, indem bei jedem Pageload ein (möglichst zufälliger) Link für den Button generiert wird. Damit kann man nicht einfach die URL zum Button irgendwo verlinken. Die Linkgenerierung selbst ist dabei in der Flattr-API gekapselt, die auch dafür sorgt, den Button in einem iFrame zu platzieren – eventuell, um den Button damit zusätzlich von außen abzuschotten.

Eine Schwäche hat die Abschottung jedoch: Die URL, die generiert wird, um den iFrame zu laden, ist statisch. Das sorgt dafür, dass man die URL auslesen und erneut aufrufen kann. Damit lassen sich dann beliebig viele – gültige – Button-URLs generieren. Ein weiteres Problem ist, dass die Button-URLs selbst vollkommen funktionstüchtig sind. Es wird nicht einmal der Referrer überprüft, um sicher zu gehen, dass der Button wirklich auf der Seite geklickt wurde, für die auch der Klick bestimmt ist.

In meinen Versuchen bin ich ziemlich grob vorgegangen: Ich habe für das Ausnutzen der Lücke ein Mini-PHP-Proxy-Script und ein Stückchen JavaScript geschrieben. Durch die beiden Teile kann man die Button-URL jeder x-beliebigen Webseite, die Flattr einsetzt, verlinken. Bisher nehme ich einfach immer die erste Button-URL, die ich finde – das ließe sich aber leicht modifizieren.

Wenn man jemanden dazu bringen möchte, irgendeine Seite zu flattrn, schiebt man ihm einen Link auf das Proxy-Script unter. Dieser Link kann beliebig maskiert sein. Wenn das Opfer die URL aufruft, wird wie folgt vorgegangen:

• Im ersten Schritt lädt das Proxy-Script den Quelltext der Seite, von der die Button-URL genutzt werden soll. Vor dem “</body>” -Tag wird ein Stück JavaScript eingeschleust, das sich um das Auslesen der Button-URL kümmert.
• Beim Auslesen der Button-URL wird im Seitenquelltext nach dem iFrame gesucht, der auf die Seite “http://api.flattr.com” verlinkt. Wurde dieser iFrame gefunden, wird die entsprechende URL via AJAX heruntergeladen. Das Proxy-Script wird hier deshalb benutzt, um das Cross-Origins Problem zu umgehen (schließlich müssen wir die URL “http://api.flattr.com” auslesen können).
• Im erhaltenen Quelltext suchen wir nach dem Anchor, der wiederum auf den Host “http://api.flattr.com” verweist. Diese URL ist die Button-URL! Der andere Link weist lediglich auf “http://flattr.com”.
• Im Beispiel wird nun per Java eine Relocation vorgenommen, um direkt die Button-URL anzuspringen. Es gibt sicherlich auch Möglichkeiten, das ganze unauffälliger zu machen (zB wieder über das Proxy-Script, über das einfach ein Bild nachgeladen wird).

Alle gezeigten Schritte sind lediglich beispielhaft. Es ist mir klar, dass Leute, die mehr Zeit in das Ganze investieren auch unscheinbarere Wege finden werden. Das Vehikel aus PHP und AJAX habe ich zB lediglich gewählt, um den Implementierungsaufwand (URLs laden, XML parsen) so gering wie möglich für mich zu halten.

Hier nun die von mir verwendeten Quelltexte. Zuerst der PHP-Proxy. In diesen habe ich noch die Sperre eingebaut, dass nur “http://”-Pfade übergeben werden dürfen. Damit soll verhindert werden, dass man sich ein riesiges Einfallstor errichtet, mit dem Leute beliebige Daten auf der eigenen Platte lesen können.

Und hier nun die JavaScript-Datei. Den AJAX-Download habe ich mir teilweise ausgeliehen. Der Einfachheit halber verwende ich den synchronen Download. Zum Parsen des ausgelesenen Frame-Quelltextes verwende ich einfach einen Paragraph , den ich dann weiter abfrage.

Der bisher einzige Weg, diesem Angriff zu entgehen, ist, sich nicht permanent bei Flattr einzuloggen (sprich beim Login das Kästchen “Keep me logged in” nicht zu aktivieren). Als Lösung würde ich bisher nur eine zusätzliche Abfrage direkt auf dem Flattr-Server sehen. So könnte verhindert werden, dass das reine Anklicken der Button-URL bereits als Zustimmung gewertet wird. Um den Zugriff auf die Button-URL zu erschweren, müsste man die Frame-URL genauso zufällig (und nur einmal nutzbar) gestalten, wie die Button-URL. Dadurch, dass beim eigentlichen Anzeigen des Buttons diese einmalige Verwendung bereits aufgebraucht werden würde, könnte die eigentliche Button-URL danach nicht mehr ausgelesen werden.

Zum Schluss sei noch etwas erwähnt:
Die hier bereitgestellten Informationen dienen lediglich der eigenen Weiterbildung und zur Absicherung der eigenen Systeme. Unter keinen Umständen darf dieses Wissen zur Manipulation von fremden IT-Systemen missbraucht werden: dies ist nach deutschem Recht unter Androhung einer Freiheitsstrafe verboten.

Mise à jour:
Da @huxi mich gerade daran erinnert hat: Ich habe mich heute morgen nach Fertigstellung des Proof-of-Concept natürlich an die Entwickler von Flattr gewandt, um ihnen von dem Sicherheitsproblem zu berichten. Dabei habe ich von Paul Sunde persönlich die Aussage erhalten, dass bereits an dem Problem gearbeitet wird. Ich habe ihn auch darum gebeten, mir Bescheid zu geben, wenn der Fehler behoben ist, damit ich ein Update hier im Blog posten kann. Gerade habe ich ein Schreiben von Linus Olsson bekommen, in dem er um meine Ideen für eine mögliche Lösung fragt. Werde also gleich mal in die Tasten hauen.

Mise à jour:
Habe jetzt den Text an Linus geschickt. Wer des Englischen mächtig ist und sich für die Lösungsvorschläge interessiert, kann sich ja folgenden Text antun:

Dear Linus,

un de mes amis l'appelaient @ Huxi avait une bonne idée qui ne résout pas le problème lui-même, mais qui pourrait contourner des problèmes avec aplatissement spontanée: une annulation fonction. Il a dit qu'il serait bien de unflatter une «chose» en cliquant sur le bouton à nouveau. De cette façon vous pouvez intervenir au moins lorsque vous (en tant que donateur) acquérir des connaissances sur une transaction frauduleuse.

http://weizenspr.eu/2010/flattr-manipulation-ist-moglich/ # comment-2760

S'il vous plaît dites-moi si je me trompe comme je l'ai compris, mais vous avez mis sur la touche en flottement dans la iFrame pour empêcher l'accès direct sur son code source (et donc l'aide de la même origine politique de la plupart des navigateurs modernes). Cela a été une étape très intelligent car il fait l'accès aux données beaucoup plus difficile. Mais le problème est que vous avez l'URL pour le contenu affiché dans le iframe est statique. Ainsi, vous pouvez simplement l'URL et grave accéder à la page par d'autres moyens (par exemple un script PHP proxy). Pour éviter cela il faudrait utiliser des URL dynamiques pour le contenu iframe ainsi. Peut-être que cela pourrait être réalisé par l'extension de l'API pour que les générations URL pour un certain type de contenu est uniquement possible avec l'ID utilisateur et mot de passe. Vous pouvez ensuite envoyer une demande à l'API qui retourne le (générée dynamiquement) URL vers le contenu iframe, qui ne peut être utilisé qu'une seule fois.

Une protection finale serait la confirmation de quelque sorte - comme un captcha (@ Huxi suggéré que l'un) ou un simple oui / non boîte de dialogue. La confirmation définitive de cette question, c'est que - à mon avis - il ne peut pas être rompu par l'injection de code. Lorsque vous avez voulu le briser pour que vous auriez à utiliser intermédiaire (comme un proxy) à nouveau, mais cette fois en utilisant un proxy serait perdre la session d'information nécessaires cookie / nous avons besoin pour exécuter la Croix-Site Request Forgery.

J'espère que ces renseignements aideront un peu.

Avec mes meilleures salutations,
Kenny

Mise à jour:
Il semble que les développeurs de flutter ont une solution au problème de mise en œuvre. Si vous Cross-Site Request Forgery maintenant vous essayé la terre un dans cet avis de sécurité . Je crois que j'ai compris comment ils ont mis en œuvre cette solution: Ils semblent être lors de la génération sur le bouton de se rappeler URL, ce qui a incité la génération de la propriété intellectuelle. Lorsque vous "cliquez", alors le générateur du clicker avec IP-IP est comparé.
Ce fusible protège le moment avant de présenter l'attaque, comme pour la génération de l'URL Button étant un script externe PHP est utilisé. Si il est possible d'exécuter l'appel de l'API pour le bouton URL génération sans l'utilisation d'un proxy, ce qui devrait être contourné la sécurité.

Regards d'information, Kenny

Après mon premier blog en fait pas flutter voulait doter la curiosité a prévalu après tout. Veuillez me donna @ ChrisGrabinski son Invitez-codes laissé un (à ce jour, la plate-forme est encore en phase de bêta fermée). Pour ceux qui ne savent pas ce qu'il a de faire trembler et n'ont aucun désir, aux innombrables contributions de Robert Basic lire le sujet, qui est pour l'instant une brève déclaration.

Flutter est un soi-disant de micro-paiement de services - parce qu'il est si sûr, de petites quantités de clients à un fournisseur de transfert d'un. Ce qui est intéressant sur le concept de flutter est la raison pour laquelle nous avons transféré l'argent et la façon dont le montant du paiement est déterminé.
La raison pour laquelle le salaire n'est pas flotter dans l'accès au contenu. Son contenu est disponible pour chaque visiteur - même pour les personnes qui ne paient pas. A propos de flutter un consommateur satisfait peut exprimer son affection pour le contenu. En cliquant sur le bouton de flutter (dans mon blog un article en haut à droite) donne une voix positive pour le contenu. Il flatte / louanges (en anglais "(à) volage") afin que le fournisseur de contenu.
La masse monétaire associée à cet éloge est déterminé comme suit: Chaque utilisateur paie un montant fixe flutter en émoi de l'opérateur. Maintenant, l'utilisateur peut spécifier une quantité d'argent qui est alloué au mois courant aux fournisseurs de contenus auxquels l'utilisateur un éloge (en cliquant sur les boutons de scintillement). À la fin du mois, les clics sont additionnées, divisé la somme par le nombre de clics effectués et payés aux fournisseurs de contenu proportionnellement. Quand on est donc 2 € (minimum) par mois et distribué à 10 blogs cliqué sur le bouton a flutter, chaque blog est € 0,20 par cet utilisateur.

Cela semble à première vue pas grand-chose, mais si vous êtes le premier débours pour les grands sites à la recherche, montre bien qu'il ya aussi un grand potentiel financier derrière elle.

La principale question sera de savoir si et dans quelle mesure le système fera foi. Il existe plusieurs versions, à mon avis. La première est que flutter restera une Nerdspielzeug. Les recettes jetztigen sera généré que par les personnes qui ont accès aux comptes bêta ont - elles sont généralement les technologies et les internautes avertis qui veulent essayer ces nouveaux concepts de cours pour vous. Le véritable travail sera de rendre l'utilisation de battement pour Otto-normal-Surfer savoureux. Ce sera, pas si facile, car il offre un avantage qui ne fait flutter. Fondamentalement, c'est parce que l'argent seulement qu'il pourrait autrement investir dans d'autres choses. Je ne sais pas si la majorité des gens qui courent au sujet de la pensée "Man, blog XY m'a aidé beaucoup plus que maintenant que je donne nécessairement quelques centimes!" La plupart seront probablement juste quitter la page et j'ai hâte de ils ont trouvé ce qu'ils cherchaient. Ainsi, le système aurait échoué, comme les nerds mutuellement de l'argent.
Une autre possibilité serait celle établie à l'utilisation de battement au moins dans le secteur des médias sociaux. Il serait ainsi une sorte de "Like" bouton, ce qui apporte un bonus de quelques centimes avec lui. Je ne sais pas si j'aime cette idée tellement. Je vois là-bas, à savoir le risque que l'argent sera principalement finir avec les blogs grands - comme à présent la plupart des trackbacks et des liens. Résultat de l'ensemble serait probablement arrêter ce flottement petits utilisent les blogs, parce qu'ils n'ont pas de valeur. Ceci, cependant, le chiffre d'affaires serait revenir à la grande blogs, de bannir ces flutter à certaines de leurs pages. Ainsi, le système serait mort
Donc, ce qui doit nécessairement arriver, c'est que les masses d'utilisateurs du Web reconnaître le potentiel de battement et l'utilisation est assez simple, ils l'utilisent régulièrement. Cela signifie, cependant, qu'il y ait une incitation pour les utilisateurs doivent utiliser flutter. En ce sens, j'ai déjà lu la proposition d'adhérer à flutter boutons sur le blog de commentaires. Puis, avec de bonnes contributions de commentateurs peut aussi obtenir de l'argent, car ils les producteurs de contenu aussi selbr. Ceci pourrait alors créer une micro-économie, à partir de laquelle toutes les parties ont quelque chose. Le blogueur écrivains, et l'article pourrait générer des revenus et d'attirer en leur fournissant une plate-forme de bons commentaires des commentateurs qui fournissent du contenu et de générer des revenus.

Selon la taille des journaux en ligne du marché pourrait donc peut-être même résoudre le problème actuel de la monétisation de leurs offres. Mais alors on aurait à se soumettre à la volonté du lecteur et écrire ce qu'ils veulent de vous entendre. C'est là que nous viennent du côté obscur, si vous essayez de faire trembler un système de paiements de transfert possible. Le premier problème que j'ai eu à l' article TAZ remarqué: Il stipule que «principe a été récompensée par le battement de ce que nos lecteurs aiment lire ailleurs dans le moment». Pour les journaux serait flutter cette mentalité vraiment un problème. Pour qui a investi temps et argent dans les articles de tous les jours des événements que l'intérêt est actuellement non? C'est finalement beaucoup plus lucratifs pour traiter les questions en détail, tout de même actuellement dans la cuisine. Cela pourrait conduire à un aplatissement et l'uniformité de l'offre de contenu.

Mais je vois aussi encore d'autres problèmes. Il commence avec le bureau des impôts: chaque blogueur sait qu'il pense tout en générant des revenus pour le Trésor. Si un blogueur d'une industrie à être accusé par ses revenus, il pourrait être coûteux - la fraude des mots clés. Maintenant, si chacun des producteurs de contenu (y compris les commentateurs) peut prendre de l'argent, il pourrait engendrer une incertitude juridique dans le scintillement des utilisateurs. Avez-vous souvent flottait un commentaire sur une entreprise inscrivez-vous pour? De combien de commentaires seront à la liberté d'expression commerciale et donc imposable? Peut-on être averti d'un "commercial" de commentaires, si elle est la publicité non sollicitée d'un produit (la concurrence) fait? Avez-vous de faire une empreinte pour "commercial commentaires Laisser"? Comme vous pouvez le voir, est ici poussé à ses limites du droit commercial et il est urgent de clarification.

Et enfin un risque très technique. Avec Twitter, nous avons fait l'expérience plusieurs fois - les gens sont constamment connectés, l'API toujours sur appel. Un clic tort et que vous avez envoyé un commentaire de mails, ou des milliers. À quoi il ressemblera à flutter? Quand les premières écritures, la presse automatiquement (par exemple via JavaScript) le flutter-boutons "pour le visiteur» afin de générer des recettes? Honnêtement, je ne pense pas que ce serait difficile à l'heure actuelle de prendre avantage d'un tel écart. Je sais qu'il est dommage que nous avons également prendre en charge une telle chose doit être pensée, mais ils viendront tôt ou tard.

Alors, que pensez-vous? Flutter est une bonne idée ou plutôt pas? Souhaitez-vous utiliser flutter et si oui, alors seulement en tant que consommateurs ou producteurs de? dangers potentiels Que voyez-vous?

Flattrnde Cordialement, Kenny

Ces derniers jours, j'ai beaucoup de maugréant contre l'hébergeur Hetzner. Plusieurs fois, j'ai été informé par leur soutien, certains coûts supplémentaires envoyez-moi, pour tous les domaines ma si je peut configurer SSL serait. Non seulement cela! Aussi pour la configuration de SSL pour les sous-domaines, devrais-je payer lors d'une racine commune ne fait pas référence à ceux-ci. Enfin, j'avais pensé à une solution avec laquelle je, au moins le coût de l' épargne sous-domaines peuvent.

Oh bien sûr, j'ai eu assez lentement et finalement voulu voir si le travail ne sert à rien. Donc hier, j'ai SSL mis en place pour un de mes domaines et testé l'installation terminée aujourd'hui.
Que puis-je dire? Les sous-domaines sont protégés correctement, si, comme décrit dans le mensonge racine même document, que le domaine réel. Mon truc montré avec le ". Htaccess travail si facilement.
Mais il ya quelque chose de beaucoup mieux! Tant que l'addon domaines pointer vers le répertoire racine de même que le domaine SSL-configuré, ce sont aussi fournis avec les répétitions de conformité ! C'est ce que j'appelle un jackpot ! Tout comme je voudrais l'avoir pour les jours!
Les domaines peuvent être traités de la façon de la même manière sur la façon dont il a fait la sous-domaines a également été - simple. Htaccess est la position réelle d'une carte. Cela fonctionne très bien!

Une chose que vous avez à faire en passant, si le protocole SSL est en place - à savoir, configurez le serveur DNS de sorte que les domaines point à la nouvelle adresse IP a été configuré pour SSL. Lorsque la configuration DNS, ce qui signifie que l'un pour le dossier "@" et "www" doit être correctement réglé l'IP.

Hetzner - DNS Configuration avancée

Je vous ai dit dans l'image étant toujours sélectionné de la même manière, une autre ligne que son add - selon les goûts - pour la configuration DNS peut. Il s'agit:

La signification est simple: chaque sous-domaine n'existe pour aucune entrée distinct est redirigé vers l'adresse IP du sous-domaine www. Cette entrée générique a un avantage énorme: vous avez supplémentaires chaque fois qu'un nouveau sous-domaine en utilisant l'interface web ne crée pas quand ils sont nécessaires. Ils doivent rester dans le ". Htaccess" en simple compte.

En outre, possible avec ce super-fun joker d'entrée les choses ! J'ai par exemple sous le nom de domaine test.coltishware.net établi que tous les domaines sous-jacents sont affiché comme du texte simple. Essayez par exemple, parfois avec du.bist.doof.test.coltishware.net sorti!

Dans le premier moment ce ne sont pas aussi utiles, mais vous me l'imaginer, vous voulez construire une communauté où chaque utilisateur obtient son site personnel. Ici vous aurait pas plus de configurer manuellement les sous-domaines, mais cela peut facilement être géré par un script.

Je suis si cette liberté créatrice d'avoir au moins heureuse pour la première fois aujourd'hui, j'ai décidé de Hetzner niveau-19 colis. J'espère que tout cela SSL folie était la première et seule fois que j'ai eu de gros problèmes avec ces Hetzner. Und apropos SSL: Der Support hat mir versichert, dass der Austausch des Zertifikats (wenn es zB mal ablaufen sollte) vollkommen unentgeldlich stattfindet.

Gehetzte Grüße, Kenny

Ich hatte euch ja gestern erzählt, dass Hetzner für jede Subdomain mit eigenem Document-Root Setup-Gebühren abkassieren will , wenn man für diese SSL aktivieren will. Das wollte ich mir nicht einfach so gefallen lassen. Deshalb habe ich eine Lösung für dieses Problem gesucht und gefunden. Aber fangen wir mal vorne an.

Für jede Domain und jede Subdomain kann man beim Hetzner-Webhosting ein eigenes Startverzeichnis (die sogenannte “Document-Root” ) festlegen. Dazu loggt man sich in die konsoleH ein, besucht die “Domain Extras” und geht dort bei den “Einstellungen” auf “Serverkonfiguration” . Nun sieht man eine Liste der verfügbaren Ordner, wobei neben jedem Ordner drei Symbole zu sehen sind. Klickt man nun auf das kleine Häuschen (das sich dann grün färbt), ändern man den Ordner, aus dem Die Dateien für die entsprechende Domain ausgelesen werden.

Hetzner Document Root

Um das Root-Verzeichnis einer Subdomain zu ändern, besucht ihr statt der “Serverkonfiguration” einfach den Menüpunkt “Subdomains” . Dort könnt ihr dann den Namen der Subdomain und den Root-Ordner der Subdomain eintragen. Natürlich könnt ihr den Root-Ordner einer Subdomain auch später noch ändern.

Hetzner Document Root (Subdomains)

Die Document Root wird dafür eingesetzt, jeder Domain und jeder Subdomain ihr eigenes Verzeichnis zu geben, damit die Dateien von DomainA und DomainZ nicht wild durcheinander gemischt in ein und demselben Ordner liegen müssen. Die Document Root selber wird normalerweise direkt in die Konfiguration des Webservers (zB des Apache) eingetragen.

Wie wir nun gehört haben, kriegt es Hetzner nicht hin, Subdomains über ein einzelnes SSL-Zertifikat abzuhandeln, wenn diese sich in verschiedenen Root-Verzeichnissen befinden. Meine Idee war deshalb, allen Subdomains das gleiche Wurzelverzeichnis zuzuweisen und mich dann selber um das Emulieren von individuellen Root-Verzeichnissen zu kümmern. Mit ein klein wenig mod-rewriting war das überhaupt kein Problem! In dem gleichen Schritt konnte ich zudem eine Merkwürdigkeit von Hetzners Infrastruktur beseitigen. Hier jedoch erst einmal der Quelltext einer beispielhaften .htaccess -Datei. Diese muss in das tiefstmögliche Verzeichnis “public_html” gelegt werden.

Damit dieser Aufbau funktioniert, muss die Domain und alle Subdomains auf das gleiche Document Root zeigen (in diesem Fall “public_html” ). Im Grunde genommen machen wir dann anschließend nichts weiter, als uns selbst um die Zuweisung des tatsächlichen Document Roots zu kümmern. Wir ziehen diese Aufgabe also aus der Konfiguration des Webservers heraus. Dadurch sollte es möglich sein, für alle Subdomains ein und dasselbe Zertifikat zu verwenden (und damit nur einmal das Setup für die Domain zu bezahlen).

Für die Leute, die sich nicht mit mod_rewrite auskennen, hier eine kurze Erklärung des Quelltextes:

• Mit den ersten drei Zeilen aktivieren wir eine Funktion des Webservers, mit dem URLs umgeschrieben werden können. Mit anderen Worten: Die URL, die man dann als Nutzer aufruft, ist in Wahrheit garnicht die URL, die zum Schluss verarbeitet wird.
• Mit dem ersten darauf folgenden Block kümmern wir uns um eine Unart von Hetzners Infrastruktur. Bei Hetzner wird für jede Domain und jede Subdomain eine Adresse der Form “[domain].www[zahl].your-server.de” eingerichtet. Da wir diese garantiert nicht im Web verlinkt haben wollen, greifen wir uns die tatsächliche Domain aus dieser langen Adresse heraus und leiten auf diese weiter.
• Le bloc suivant porte sur le domaine d'un leader "www.". Diese Subdomain ist eine Abart aus der Frühzeit des Internets, die heutzutage nicht mehr notwendig ist. Deshalb werden Aufrufe der Form “www.[domain]“ direkt auf die Domain weitergeleitet.
• Danach kümmern wir uns um das Setzen des ersten Root-Verzeichnisses (in diesem Fall von der Domain “domain.test” ). Dieser wird das Verzeichnis “/domain/” zugewiesen.
• Danach kümmern wir uns um die Verzeichnisse der beiden Subdomains “subdomaina.domain.test” und “subdomainz.domain.test” . Diesen werden die Ordner “/subdomaina/” bzw. “/subdomainz/” zugeweisen.

In freier Wildbahn sieht das dann in etwa so aus: Angenommen, wir wollen das Favicon der Domain coltishware.net aufrufen. Dann können wir das direkt über die Adresse coltishware.net/favicon.ico tun. Intern wird dieser Aufruf jedoch in den Ordner “coltishware” umgeleitet. In Wirklichkeit ruft man also eigentlich die Adresse coltishware.net/coltishware/favicon.ico auf.

Ich bin übrigens enttäuscht, dass Hetzner solch eine Lösung nicht in der Schublade liegen hat, falls ein Kunde mal wirklich ein paar mehr Anforderungen an deren Infrastruktur stellt. Das ist nicht das erste Mal, dass ich der Meinung bin, dass Hetzner sich zu sehr auf der eingerichteten, unzureichenden Infrastruktur ausruht und es wird auch nicht das letzte Mal gewesen sein.

Und an alle Sicherheitsfanatiker unter uns: Es ist egal, dass alle Domains in Wirklichkeit das gleiche Wurzelverzeichnis besitzen. Bei Hetzner ist der safe_mode ausgeschaltet. Selbst wenn man jeder Subdomain ihr eigenes Root-Verzeichnis zuweist, könnten diese also aus ihrem Verzeichnis “ausbrechen”.

Subdomain-Grüße, Kenny

PS: Ich werde gleich nochmal den Hetzner-Support quälen und fragen, ob man mit dieser Lösung wirklich alle Subdomains mit einem einzelnen SSL-Setup schützen könnte.