Gerade habe ich auf Queer.de einen Artikel über Kai Hähner – ein sächsischer CDU-Ortverbandsvorsitzender – gelesen. In diesem wird seine Aussage kommentiert, dass der CSD Jugendliche zur Homosexualität verleiten würde. Da bleibt mir einfach nur die Spucke weg!

Dieser verklemmte “Mensch” hat anscheinend den Schuss nicht gehört! Wer schlabbert sich denn in aller Regelmäßigkeit in irgendwelchen TV-Programmen ab? Zwei Männer? Zwei Frauen? Nein! Es ist in 99% der Fälle ein heterosexuelles Paar, dass sich nach langen Irrungen und Wirrungen endlich doch findet. Werden Jugendliche davon zur Heterosexualität verleitet? Nicht mal das – sonst gäbe es in unserer medienverseuchten, westlichen Welt schon längst keine Homosexualität mehr.
Die Frage danach, wie man überhaupt homosexuell wird, hatte ich schon vor über einem Jahr einmal ausführlich erklärt. Aber es ist wahrscheinlich eine gute Idee, es nochmal niederzuschreiben, damit auch die Leute es irgendwann begreifen, deren Horizont nicht weiter reicht, als sie spucken können.

Man kann sich seine Sexualität etwa so aussuchen, wie man seine natürliche Haarfarbe aussuchen kann. Der Vergleich ist meiner Meinung nach ziemlich passend. Man kann sich die Haare zwar färben, man kann eine Glatze schneiden, aber schlussendlich kommt die echte Haarfarbe wieder durch. Bei der Sexualität ist es das gleiche: Es gibt Leute, die tatsächlich denken, dass man Homosexualität “heilen” kann. Das Einzige, was den Leuten dabei eingetrichtert wird, ist, dass sie ihre Haare färben sollen – meistens, damit sie später eine Chance haben, in den Himmel zu kommen.
Es gibt auch Fälle, in denen Familienväter irgendwann “plötzlich schwul werden”. Schonmal auf die Idee gekommen, dass diese Leute sich einfach nur Jahrzehnte lang verstellt haben, um ein angepasstes Leben zu führen – sich also permanent die Haare gefärbt haben?

Dieser “Mensch” da von der CDU macht nun die Äußerung, dass der CSD dafür sorgt, dass sich die originale Haarfarbe der Jugendlichen ändert. So von wegen: “Klaus geht mit schwarzen Haaren zum CSD und *blub*, als er nach Hause geht, sind sie für immer rosarot.” Ganz ehrlich: Wenn ein Mann sexuelle Erfahrungen mit einem anderen Mann macht, dann gefallen sie ihm nicht und damit ist gut. Er wird mit seinen Weibchen glücklich werden und die Welt heile bleiben. Wenn ihm die Erfahrungen nun aber gefallen… wo ist dann das Problem? Wird man etwa Vegetarier, nur weil einem auch Äpfel schmecken?
Das einzige, was der CSD schaffen kann, ist, dass Jugendliche toleranter im Umgang mit der Homosexualität werden. Und ganz ehrlich: Wenn die Heranwachsenden aufgrund dieser Toleranz eine gleichgeschlechtliche Erfahrung machen wollen, dann ist das ein Schritt in die richtige, sexuell aufgeklärte Richtung! Die Findungsphase ist nicht nur da, um mit dem eigenen Geschlecht umgehen zu lernen, sondern auch herauszufinden, was einem selber gefällt. Wo ist nun das Problem dabei, wenn Pubertierende keine Hemmschwelle mehr davor haben, auszuprobieren, ob ihnen das eigene Geschlecht ebenfalls zusagt?

Das einzige, wozu der CSD also verleitet, ist, die Sexualität als eine natürliche Eigenschaft anzuerkennen, wie es viele gibt – Größe, Augenfarbe, Haarfarbe, Hautfarbe – und er verleitet sie dazu, die Heterosexualität nicht als einzige mögliche Sexualität zu begreifen. Alles darüber hinaus liegt nicht in der Hand des CSD.
Ich persönlich hätte mich gefreut, früher ein breiteres sexuelles Bild gelehrt zu bekommen. Ich musste sämtliche Erfahrungen selber machen, musste selber herausfinden, wo ich Informationen herbekommen und wo ich Leute mit der gleichen Sexualität finde. Der CSD – und die Stadtfeste rundherum – sind für die junge Generation eine gute Möglichkeit, alles aus einer Hand zu erhalten: Besser geht es nicht.

Bevor also gottesfürchtige, bornierte Leute sich zu etwas zu Wort melden, wovon sie offensichtlich nicht den blassesten Schimmer haben, sollten sie vielleicht erstmal anfangen, sich zu informieren und – soweit ihr nicht-existierender Gott will – ihren Horizont auf eine Größe auszudehnen, die sie nicht mehr mit ihrer Spucke abdecken können.

Update:
Nun hat sich auch die TAZ dem Thema angenommen. Es bleibt zu hoffen, dass das Thema jetzt auch in die Öffentlichkeit getragen wird und dieser Kai Hähner die entsprechenden Konsequenzen tragen muss.

Regenbogen-bunte Grüße, Kenny

Gerade lief im TV mal wieder die Werbung von ReBuy.tv – einem Käufer von Büchern. Geworben wird damit, dass die Bücher zum Festpreis angekauft werden. Natürlich wollte ich mal sehen, ob das ganze eine Alternative zu anderen Verkaufswegen sein könnte.

Ich habe vor allem Informatikbücher bei mir zu Hause liegen – viele davon teure, englische Fachbücher. Also wollte ich mal sehen, was solche Fachbücher bei diesem Einkäufer bringen würden. Ich habe beispielhaft das Buch “Intrusion Detection with Snort: Advanced IDS Techniques Using Snort, Apache, MySQL, PHP and Acid” genommen und miteinander verglichen. Der Neupreis dieses Buches liegt bei etwa 50€ – ein durchschnittlicher Preis für die meisten Bücher dieser Kategorie.

ungefährer Neupreis des Buches

Jetzt kam natürlich die entscheidende Frage: Was würde ReBuy wohl für dieses Buch hinlegen? Die Antwort ist ehrlich gesagt einfach nur lächerlich. Würde ich dieses fast 50€ teure Fachbuch an diesen Ankäufer abgeben, würde mir dieser sage und schreibe 94 CENT dafür geben! Kein Scherz!

Einkaufspreis bei ReBuy

Ob ich den Versand zu ReBuy selber tragen müsste, habe ich garnicht erst geguckt. Verarschen und ausnehmen lassen kann ich mich auch woanders. In der Werbung wird gezeigt, wie das Modell für ein einzelnes Buch ganze 5€ bekommen hat. Was für ein Buch war das bitte? Eine Kopie der Bibel aus dem Jahr 1325 oder was? Von mir wird ReBuy jedenfalls kein einziges Buch zugeschickt bekommen!

Sich-verarscht-fühlende Grüße, Kenny

Heute wollte ich euch mal den ersten kurzen Einblick in meinen Irlandurlaub gewähren. Eine Sache ist mir dort nämlich besonders negativ aufgefallen – die Stromversorgung. Nicht, dass der Strom ausgefallen wäre, aber man hat doch den ein oder anderen abgebrannten Strommast gesehen – der nach dem Löschen trotzdem weiterverwendet worden ist. Um das ganze mal zu symbolisieren, habe ich ein Foto einer typischen “Hausleitung” in Cork gemacht. Diese finden im Stadtzentrum genauso, wie im äußeren Stadtrand. Ich würde gerne mal wissen, wie das deutsche Bauamt bei solchen Konstruktionen reagieren würde!

Electricity

Die Stromleitungen werden über der Eingangstür blockweise von Haus zu Haus “weitergereicht”. An einigen Häusern wurden die Kabel bei Fasenarbeiten einfach zusammen mit der Wand überpinselt. Einfach nur grotesk!

Elektrische Grüße, Kenny

Heute muss ich mich mal wieder über die Politik in diesem Land aufregen – allerdings nicht über die herrschende Zunft, sondern über die Wählerschicht. Wie wahrscheinlich alle bereits mitbekommen haben, gab es letztes Wochenende in Bayern eine Volksabstimmung, in der mit gut 60% der Stimmen der bundesweit strengste Nichtraucherschutz beschlossen wurde. Soweit so gut!

Nun bin ich gestern auf diesen Onlineartikel der Welt gestoßen. Weniger interessant ist der eigentlich Artikel – in diesem geht es darum, dass die Brauereien nun die Bierpreise auf der Wiesn erhöhen “müssen”, um die höheren Ausgaben für den Nichtraucherschutz auszugleichen. Dass diese Begründung absoluter Blödsinn ist, sei hier nur erwähnt.

Viel interessanter finde ich die Kommentare, die zu diesem Artikel abgegeben wurden – da gruselt es mich wirklich, wenn ich bedenke, dass die meisten das Geschriebene wohl ernst nehmen. Da wird z.B. über die “Gesundheitsfanatiker” gemeckert, “Ökofreaks”, die mit ihrer abscheulichen Abstimmung dafür gesorgt haben, dass ehrbare Raucher aus ihren Bierzelten vertrieben werden. Überhaupt sei diese Volksabstimmung garnicht bindend, da ja gerade einmal 40% der Wahlberechtigten teilgenommen hätten. Die 60%, die für das Rauchverbot gestimmt hätten, würden also gerade einmal ca. 23% aller Wähler ausmachen!

Ganz ehrlich: Soll das ein schlechter Scherz sein?! Jeder Bayer – ja, auch die Raucher – hatten die Chance, an dieser Volksabstimmung teilzunehmen. Da sie es nicht für nötig gehalten haben, für ihr Raucherrecht abzustimmen, müssen sie nun halt mit den Konsequenzen leben! Das spiegelt in meinen Augen grandios das Demokratieverständnis der meisten Deutsch wider. “Es werden schon genug Leute mit meiner Meinung wählen gehen”. Diese Einstellung kann nur nach hinten losgehen! Entweder haben die, die wählen gehen, eine andere Meinung – oder aber die mit der gleichen Meinung gehen ebenfalls nicht wählen, weil es schon jemand anderes übernehmen wird.

Da muss man sich dann auch nicht wundern, wenn man sich mit dem Wahlergebnis auf die Fresse packt und alles Meckern und Besserwissen nichts mehr nützt. Aber so reiten sich die Wähler von Wahlperiode zu Wahlperiode in die eigene Scheiße und werden sich irgendwann aus eigener Kraft garnicht mehr befreien können…

Nichtrauchergrüße, Kenny

Ja, ich weiß, es ist gemein – da will man mal ein bisschen Geld mit Werbung verdienen und dann muss man auch noch aufpassen, auf welchen Link man klickt! Mir geht es in diesem Fall um den Werbevermittlungsdienst Trigami. Diese haben anscheinend noch nie etwas von Cross-Site Request Forgery gehört. Anders kann ich es mir nicht erklären, dass z.B. die Passwortänderung so offen und ungeschützt zugänglich ist. Trigami ist dabei besonders gefährlich! Es gibt keinen automatischen Logout nach einer bestimmten Zeit, sondern man bleibt eingeloggt, solange man sich nicht explizit ausloggt.

Wenn man sich nun z.B. den Quelltext für das Ändern des Loginpassworts anguckt, sieht man dort folgenden Quelltext:

Was sehen wir hier? Es gibt keine eindeutige Transaction-ID, mit der der Vorgang vor Angriffen geschützt wird und vor allem wird nicht das aktuelle Passwort abgefragt! Dadurch reicht solch einfacher Quelltext, um das Passwort eines eingeloggten Trigami-Nutzers zu ändern:

Wieder einmal reicht es aus, Leute mit Hilfe eines maskierten Links auf eine präparierte Seite zu führen. Mit Hilfe von iFrames, Popupfenstern oder Ähnlichem würde ein Opfer nicht mal mitbekommen, dass gerade das Passwort geändert wurde – es bleibt schließlich weiterhin eingeloggt und kann Trigami weiterhin nutzen! Der Angreifer kann sich nun in Seelenruhe einloggen und z.B. die Kontoinformationen für die Abbuchung ändern – ich denke nicht, dass die Nutzer da sooo oft reingucken.

Auch hier ist wieder einmal der Tipp: Nur eingeloggt sein, wenn man gerade etwas mit der Seite machen will. Danach sofort wieder ausloggen, um solche Angriffe zu umgehen. Natürlich werde ich gleich noch Trigami anschreiben und ihnen von dem Problem berichten.

Update:
Wie mir gerade mitgeteilt wurde, muss man nun das alte Passwort angeben, bevor man das Passwort ändern kann. Das hilft jedoch nur bedingt, da weiterhin die Änderung der Bankdaten möglich ist.

Geänderter Passwortdialog

Gestern habe ich darüber berichtet, dass ich mir nun auch einen der Beta-Accounts der neuen Micropayment-Plattform Flattr geholt habe (ich habe übrigens noch 3 Einladungen dafür zu verschenken). Am Ende des Artikels hatte ich eine mögliche Angriffsfläche erwähnt, die auch schon bei Twitter ausgenutzt worden ist. Wie ich nun durch eigene Tests herausgefunden habe, ist es tatsächlich möglich, Besucher einer Seite dazu zu bringen, völlig unbekannte Seiten zu flattrn.

Die Theorie hinter dem Angriff ist relativ einfach erklärt: Damit Flattr wirklich sinnvoll genutzt werden kann, muss man permanent eingeloggt sein. Es wird wohl kaum Nutzer geben, die sich jedes Mal erst einloggen wollen, bevor sie einen Flattr-Button drücken können. Diesen permanenten Login kann man nun missbrauchen, um Webnutzer dazu zu bringen, den Flattr-Button (bzw. den Link, der sich dahinter verbirgt) anzuklicken.
In der Praxis haben die Entwickler von Flattr versucht, dies dadurch zu verhindern, indem bei jedem Pageload ein (möglichst zufälliger) Link für den Button generiert wird. Damit kann man nicht einfach die URL zum Button irgendwo verlinken. Die Linkgenerierung selbst ist dabei in der Flattr-API gekapselt, die auch dafür sorgt, den Button in einem iFrame zu platzieren – eventuell, um den Button damit zusätzlich von außen abzuschotten.

Eine Schwäche hat die Abschottung jedoch: Die URL, die generiert wird, um den iFrame zu laden, ist statisch. Das sorgt dafür, dass man die URL auslesen und erneut aufrufen kann. Damit lassen sich dann beliebig viele – gültige – Button-URLs generieren. Ein weiteres Problem ist, dass die Button-URLs selbst vollkommen funktionstüchtig sind. Es wird nicht einmal der Referrer überprüft, um sicher zu gehen, dass der Button wirklich auf der Seite geklickt wurde, für die auch der Klick bestimmt ist.

In meinen Versuchen bin ich ziemlich grob vorgegangen: Ich habe für das Ausnutzen der Lücke ein Mini-PHP-Proxy-Script und ein Stückchen JavaScript geschrieben. Durch die beiden Teile kann man die Button-URL jeder x-beliebigen Webseite, die Flattr einsetzt, verlinken. Bisher nehme ich einfach immer die erste Button-URL, die ich finde – das ließe sich aber leicht modifizieren.

Wenn man jemanden dazu bringen möchte, irgendeine Seite zu flattrn, schiebt man ihm einen Link auf das Proxy-Script unter. Dieser Link kann beliebig maskiert sein. Wenn das Opfer die URL aufruft, wird wie folgt vorgegangen:

• Im ersten Schritt lädt das Proxy-Script den Quelltext der Seite, von der die Button-URL genutzt werden soll. Vor dem “</body>”-Tag wird ein Stück JavaScript eingeschleust, das sich um das Auslesen der Button-URL kümmert.
• Beim Auslesen der Button-URL wird im Seitenquelltext nach dem iFrame gesucht, der auf die Seite “http://api.flattr.com” verlinkt. Wurde dieser iFrame gefunden, wird die entsprechende URL via AJAX heruntergeladen. Das Proxy-Script wird hier deshalb benutzt, um das Cross-Origins Problem zu umgehen (schließlich müssen wir die URL “http://api.flattr.com” auslesen können).
• Im erhaltenen Quelltext suchen wir nach dem Anchor, der wiederum auf den Host “http://api.flattr.com” verweist. Diese URL ist die Button-URL! Der andere Link weist lediglich auf “http://flattr.com”.
• Im Beispiel wird nun per Java eine Relocation vorgenommen, um direkt die Button-URL anzuspringen. Es gibt sicherlich auch Möglichkeiten, das ganze unauffälliger zu machen (z.B. wieder über das Proxy-Script, über das einfach ein Bild nachgeladen wird).

Alle gezeigten Schritte sind lediglich beispielhaft. Es ist mir klar, dass Leute, die mehr Zeit in das Ganze investieren auch unscheinbarere Wege finden werden. Das Vehikel aus PHP und AJAX habe ich z.B. lediglich gewählt, um den Implementierungsaufwand (URLs laden, XML parsen) so gering wie möglich für mich zu halten.

Hier nun die von mir verwendeten Quelltexte. Zuerst der PHP-Proxy. In diesen habe ich noch die Sperre eingebaut, dass nur “http://”-Pfade übergeben werden dürfen. Damit soll verhindert werden, dass man sich ein riesiges Einfallstor errichtet, mit dem Leute beliebige Daten auf der eigenen Platte lesen können.

Und hier nun die JavaScript-Datei. Den AJAX-Download habe ich mir teilweise ausgeliehen. Der Einfachheit halber verwende ich den synchronen Download. Zum Parsen des ausgelesenen Frame-Quelltextes verwende ich einfach einen Paragraph, den ich dann weiter abfrage.

Der bisher einzige Weg, diesem Angriff zu entgehen, ist, sich nicht permanent bei Flattr einzuloggen (sprich beim Login das Kästchen “Keep me logged in” nicht zu aktivieren). Als Lösung würde ich bisher nur eine zusätzliche Abfrage direkt auf dem Flattr-Server sehen. So könnte verhindert werden, dass das reine Anklicken der Button-URL bereits als Zustimmung gewertet wird. Um den Zugriff auf die Button-URL zu erschweren, müsste man die Frame-URL genauso zufällig (und nur einmal nutzbar) gestalten, wie die Button-URL. Dadurch, dass beim eigentlichen Anzeigen des Buttons diese einmalige Verwendung bereits aufgebraucht werden würde, könnte die eigentliche Button-URL danach nicht mehr ausgelesen werden.

Zum Schluss sei noch etwas erwähnt:
Die hier bereitgestellten Informationen dienen lediglich der eigenen Weiterbildung und zur Absicherung der eigenen Systeme. Unter keinen Umständen darf dieses Wissen zur Manipulation von fremden IT-Systemen missbraucht werden: dies ist nach deutschem Recht unter Androhung einer Freiheitsstrafe verboten.

Update:
Da @huxi mich gerade daran erinnert hat: Ich habe mich heute morgen nach Fertigstellung des Proof-of-Concept natürlich an die Entwickler von Flattr gewandt, um ihnen von dem Sicherheitsproblem zu berichten. Dabei habe ich von Paul Sunde persönlich die Aussage erhalten, dass bereits an dem Problem gearbeitet wird. Ich habe ihn auch darum gebeten, mir Bescheid zu geben, wenn der Fehler behoben ist, damit ich ein Update hier im Blog posten kann. Gerade habe ich ein Schreiben von Linus Olsson bekommen, in dem er um meine Ideen für eine mögliche Lösung fragt. Werde also gleich mal in die Tasten hauen.

Update:
Habe jetzt den Text an Linus geschickt. Wer des Englischen mächtig ist und sich für die Lösungsvorschläge interessiert, kann sich ja folgenden Text antun:

Dear Linus,

one of my friends called @huxi had a nice idea which does not solve the problem itself but which could circumvent any problems with unsolicited flatterings: an undo-function. He said, that it would be great to unflatter a “thing” when clicking on the button again. In that way you could at least intervene when you (as a donor) gain knowledge about a fraudulent transaction.

http://weizenspr.eu/2010/flattr-manipulation-ist-moglich/#comment-2760

Please tell me when I’m wrong but as I have understood it you have put the flattr button into an iFrame to prevent direct access on its source code (thus using the same origin policy of most modern browsers). This was a very intelligent step as it made accessing the data a lot harder. But the problem you have is that the URL to the content displayed in the iframe is static. So you can just grab the URL and access the page through other means (e.g. a PHP proxy script). To prevent this from happening you would have to use dynamic URLs for the iframe content as well. Maybe this could be achieved by extending the API so that URL generation for a certain content is only possible with the correct user ID and password. You would then send a request to the API which returns the (dynamically generated) URL to the iframe content, which can only be used once.

A final protection would be some kind of confirmation – like a captcha (@huxi suggested that one) or just a simple yes/no dialog box. The matter with this final confirmation is that – in my opinion – it cannot be broken by code injection. When you wanted to break it you would have to use an intermediary (like a proxy) again, but using a proxy this time would mean to lose the necessary session/cookie information we need to execute the cross-site request forgery.

I hope these information will help a bit.

With kind regards,
Kenny

Update:
Wie es scheint, haben die Entwickler von Flattr nun eine Lösung für das Problem implementiert. Wenn man den Cross-Site Request Forgery nun ausprobiert, landet man bei diesem Sicherheitshinweis. Ich denke, ich habe herausgefunden, wie sie diese Lösung implementiert haben: Sie scheinen sich beim Generieren der Button-URL zu merken, welche IP die Generierung veranlasst hat. Beim “Klick” wird dann die Generator-IP mit der Klicker-IP verglichen.
Diese Sicherung schützt im Moment vor dem präsentierten Angriff, da für das Generieren der Button-URL derzeit ein externes PHP-Script verwendet wird. Sollte es möglich sein, den API-Call zur Button-URL-Generierung ohne die Verwendung eines Proxies ausführen zu lassen, sollte diese Sicherung ausgehebelt sein.

Informierende Grüße, Kenny

In den letzten Tagen war die Piratenpartei mal wieder das Gesprächsthema in allen möglichen IT-Boards von Heise bis Golem und darüber hinaus. Überall wurde heiß über die Verurteilung von Jörg Tauss im gegen ihn laufenden KiPo-Verfahren diskutiert. Es sollte jeder für sich selber entscheiden, ob er Jörg Tauss für einen Pädophilen hält, oder ob er glaubt, dass er sich wirklich eigenständig über die Verbreitungswege von KiPo informieren wollte.

Ich persönlich möchte ihm nicht unterstellen, dass er bezüglich der eigenständigen Ermittlung gelogen hat – wir haben im letzten Jahr gesehen, wie dummdreist das Familienministerium in der Person der Zensursula von der Leyen über die Verbreitungswege und den Verbreitungsgrad von KiPo gelogen hat. In diesem Zuge ist es für mich verständlich, dass ein Medienexperte einer Partei sich gerne abseits der populistischen Ministerienpropaganda informieren möchte. Die Geschichte, dass er mit seinen Recherchen einen KiPo-Ring “sprengen” wollte, halte ich hingegen für ziemlich hanebüchen.

Aufgeregt hat mich in den letzten Tagen jedoch nicht das milde Urteil, sondern diese ewigen, nervtötenden, völlig sinnlosen Diskussionen um das weitere Fortbestehen der Piratenpartei. Ganz ehrlich – ich verstehe es wirklich nicht. Ihr kennt wahrscheinlich den Spruch “Es wurde zwar schon alles gesagt, aber noch nicht von jedem.” Genauso kam es mir großteilig vor.
Für die einen wurden die Piraten unwählbar, weil sie Tauss anno 2009 in die Partei aufgenommen haben, für die anderen wurden die Piraten unwählbar, weil sie Tauss um den Austritt gebeten haben und die letzte Gruppe hält die Piraten für unwählbar, weil sie Tauss nicht von selber aus der Partei geworfen haben.
Ganz besonders spaßig finde ich übrigens die Leute, die die Piraten nun nicht mehr nur für unwählbar halten (anhand der 3 Gruppen müsste die Partei jetzt bei ca. 120% Unwählbarkeit liegen), sondern die ihr auch schon den baldigen Zerfall bescheinigen. Der freiwillige Austritt von Jörg scheint einigen direkt die politischen Schweißperlen auf die Stirn zu treiben. Er sei schließlich die einzige Person mit politischer Erfahrung – oder so ähnlich. Ohne ihn wird die Partei ins Chaos stürzen und der Bundesvorstand wird anfangen, schwarze Löcher zu pupsen, die die restliche denkende Weltbevölkerung verschlucken werden.

Leute, kommt doch bitte mal wieder auf den Teppich. Ja, Jörg Tauss ist ausgetreten und ja, er hat viel politische Erfahrung mit in die Partei gebracht. Sein Blogartikel hört sich jedoch überhaupt nicht so an, als ob er der Partei jetzt den Rücken kehren würde. Und selbst wenn: Im Gegensatz zu vielen anderen Parteien (man blicke nur in Richtung FDP) ist die Piratenpartei eben nicht an einzelne Personen gebunden. Ich glaube, auf den Parteitagen sieht man jedes Mal wieder sehr gut, wie schnell die Führung auswechselbar ist – wenn sie nicht sogar freiwillig geht. Was bei den Piraten zählt, ist die Basis; die Leute, die die Themen ausarbeiten und an Infoständen der Bevölkerung näher bringen. Bei den Piraten gibt es keine Indoktrination der Massen durch Einzelne. Wenn jemand beeinflusst wird, dann sind es die Vorstände, die von den Mitgliedern dazu getrieben werden, ihre Interessen zu vertreten und ihre Basisarbeit zu erleichtern.

Und einen Punkt zur ewigen Unwählbarkeitsdebatte möchte ich noch beitragen. An die Leute, die ständig meckern, dass die Piraten ein zu enges Themenspektrum haben und sich nicht den wichtigen sozialen Fragen stellen: Habt ihr schonmal ein Parteiprogramm ausgearbeitet und euch intensiv mit der Lösung dieser sozialen Themen beschäftigt? Falls ja: Wieso bringt ihr diese Lösungen nicht in die Partei ein, um eine wählbare Alternative zu den Dachorganisationen der Lobbyverbände zu schaffen? Und falls nein: Warum nicht? Ist euch eventuell aufgefallen, dass es ein Haufen Arbeit ist, politisch vertretbare und finanziell machbare Lösungen zu erarbeiten? Wie kommt ihr darauf, dass diese Erarbeitung für Mitglieder einer Partei, die nebenbei noch einen Hauptberuf ausüben, einfacher wäre und schneller von Statten gehen würde?

Versteht mich bitte nicht falsch, ich möchte kein Mitleid oder ähnliches. Aber die Piraten sind jetzt knapp 4 Jahre alt, haben inzwischen (imho) beachtliche Erfolge in der Landes- und Bundespolitik erreicht und viele ihrer Kernthemen in das Bewusstsein der etablierten Parteien zurückgebracht. Nur leider vergessen diese nach ein paar Wochen wieder, was das Volk wirklich braucht. Genau deshalb wird es die Piratenpartei weiter geben – um weiterhin ein Dorn im Fleisch der etablierten Parteien zu sein.
Und ja, es wird weitere Themen im Parteiprogramm der Piraten geben – jedoch erst dann, wenn diese ordentlich ausgearbeitet wurden und einen Konsens in der Basis finden. Was ist euch denn lieber? Eine Partei, die aus ein paar Köpfen und hundertausenden Sockenpuppen besteht. Oder eine Partei, die aus zehntausenden Köpfen und ein paar Organisatoren besteht? Die Entscheidung trefft schlussendlich ihr – die Wähler.

Fortschreitende Grüße, Kenny

Ich hatte euch ja gestern erzählt, dass Hetzner für jede Subdomain mit eigenem Document-Root Setup-Gebühren abkassieren will, wenn man für diese SSL aktivieren will. Das wollte ich mir nicht einfach so gefallen lassen. Deshalb habe ich eine Lösung für dieses Problem gesucht und gefunden. Aber fangen wir mal vorne an.

Für jede Domain und jede Subdomain kann man beim Hetzner-Webhosting ein eigenes Startverzeichnis (die sogenannte “Document-Root”) festlegen. Dazu loggt man sich in die konsoleH ein, besucht die “Domain Extras” und geht dort bei den “Einstellungen” auf “Serverkonfiguration”. Nun sieht man eine Liste der verfügbaren Ordner, wobei neben jedem Ordner drei Symbole zu sehen sind. Klickt man nun auf das kleine Häuschen (das sich dann grün färbt), ändern man den Ordner, aus dem Die Dateien für die entsprechende Domain ausgelesen werden.

Hetzner Document Root

Um das Root-Verzeichnis einer Subdomain zu ändern, besucht ihr statt der “Serverkonfiguration” einfach den Menüpunkt “Subdomains”. Dort könnt ihr dann den Namen der Subdomain und den Root-Ordner der Subdomain eintragen. Natürlich könnt ihr den Root-Ordner einer Subdomain auch später noch ändern.

Hetzner Document Root (Subdomains)

Die Document Root wird dafür eingesetzt, jeder Domain und jeder Subdomain ihr eigenes Verzeichnis zu geben, damit die Dateien von DomainA und DomainZ nicht wild durcheinander gemischt in ein und demselben Ordner liegen müssen. Die Document Root selber wird normalerweise direkt in die Konfiguration des Webservers (z.B. des Apache) eingetragen.

Wie wir nun gehört haben, kriegt es Hetzner nicht hin, Subdomains über ein einzelnes SSL-Zertifikat abzuhandeln, wenn diese sich in verschiedenen Root-Verzeichnissen befinden. Meine Idee war deshalb, allen Subdomains das gleiche Wurzelverzeichnis zuzuweisen und mich dann selber um das Emulieren von individuellen Root-Verzeichnissen zu kümmern. Mit ein klein wenig mod-rewriting war das überhaupt kein Problem! In dem gleichen Schritt konnte ich zudem eine Merkwürdigkeit von Hetzners Infrastruktur beseitigen. Hier jedoch erst einmal der Quelltext einer beispielhaften .htaccess-Datei. Diese muss in das tiefstmögliche Verzeichnis “public_html” gelegt werden.

Damit dieser Aufbau funktioniert, muss die Domain und alle Subdomains auf das gleiche Document Root zeigen (in diesem Fall “public_html”). Im Grunde genommen machen wir dann anschließend nichts weiter, als uns selbst um die Zuweisung des tatsächlichen Document Roots zu kümmern. Wir ziehen diese Aufgabe also aus der Konfiguration des Webservers heraus. Dadurch sollte es möglich sein, für alle Subdomains ein und dasselbe Zertifikat zu verwenden (und damit nur einmal das Setup für die Domain zu bezahlen).

Für die Leute, die sich nicht mit mod_rewrite auskennen, hier eine kurze Erklärung des Quelltextes:

• Mit den ersten drei Zeilen aktivieren wir eine Funktion des Webservers, mit dem URLs umgeschrieben werden können. Mit anderen Worten: Die URL, die man dann als Nutzer aufruft, ist in Wahrheit garnicht die URL, die zum Schluss verarbeitet wird.
• Mit dem ersten darauf folgenden Block kümmern wir uns um eine Unart von Hetzners Infrastruktur. Bei Hetzner wird für jede Domain und jede Subdomain eine Adresse der Form “[domain].www[zahl].your-server.de” eingerichtet. Da wir diese garantiert nicht im Web verlinkt haben wollen, greifen wir uns die tatsächliche Domain aus dieser langen Adresse heraus und leiten auf diese weiter.
• Der darauf folgende Block kümmert sich um das einer Domain vorangestellte “www.”. Diese Subdomain ist eine Abart aus der Frühzeit des Internets, die heutzutage nicht mehr notwendig ist. Deshalb werden Aufrufe der Form “www.[domain]“ direkt auf die Domain weitergeleitet.
• Danach kümmern wir uns um das Setzen des ersten Root-Verzeichnisses (in diesem Fall von der Domain “domain.test”). Dieser wird das Verzeichnis “/domain/” zugewiesen.
• Danach kümmern wir uns um die Verzeichnisse der beiden Subdomains “subdomaina.domain.test” und “subdomainz.domain.test”. Diesen werden die Ordner “/subdomaina/” bzw. “/subdomainz/” zugeweisen.

In freier Wildbahn sieht das dann in etwa so aus: Angenommen, wir wollen das Favicon der Domain coltishware.net aufrufen. Dann können wir das direkt über die Adresse coltishware.net/favicon.ico tun. Intern wird dieser Aufruf jedoch in den Ordner “coltishware” umgeleitet. In Wirklichkeit ruft man also eigentlich die Adresse coltishware.net/coltishware/favicon.ico auf.

Ich bin übrigens enttäuscht, dass Hetzner solch eine Lösung nicht in der Schublade liegen hat, falls ein Kunde mal wirklich ein paar mehr Anforderungen an deren Infrastruktur stellt. Das ist nicht das erste Mal, dass ich der Meinung bin, dass Hetzner sich zu sehr auf der eingerichteten, unzureichenden Infrastruktur ausruht und es wird auch nicht das letzte Mal gewesen sein.

Und an alle Sicherheitsfanatiker unter uns: Es ist egal, dass alle Domains in Wirklichkeit das gleiche Wurzelverzeichnis besitzen. Bei Hetzner ist der safe_mode ausgeschaltet. Selbst wenn man jeder Subdomain ihr eigenes Root-Verzeichnis zuweist, könnten diese also aus ihrem Verzeichnis “ausbrechen”.

Subdomain-Grüße, Kenny

P.S.: Ich werde gleich nochmal den Hetzner-Support quälen und fragen, ob man mit dieser Lösung wirklich alle Subdomains mit einem einzelnen SSL-Setup schützen könnte.

Langsam aber sicher geht mir die Hutschnur hoch. Diese Unfähigkeit bei Hetzner kotzt mich gerade dermaßen an. Das ist einfach nur noch lachhaft, was die ihren Kunden (der dort definitiv kein König ist) versuchen aufzutischen. Nachdem ich die letzten Tage erstmal Abstand brauchte, kam heute der nächste Kracher!

Ich hatte angefragt, wie es sich mit Subdomains verhält, wenn man SSL bestellt hat. Antwort: Wenn alle Subdomains auf das gleiche Root-Verzeichnis zeigen und man ein Wildcard-Zertifikat besitzt, macht das kein Problem. Wenn man hingegen Subdomains auf ein anderes Root-Verzeichnis zeigen lassen will (wie abwegig!), soll man für jede einzelne Subdomain Setup-Gebühren blechen!. Sorry, das finde ich absolut nicht mehr lustig. Das ist eine Farce erster Güte. Das ist lachhaft. Das ist einfach nur schlecht.

Ich habe jetzt deswegen nachgefragt, ob sie ihren Kunden nicht einfach ermöglichen könnten, ihre beschissene Apache-Config-Datei selber zu pflegen (z.B. über die “supertolle” konsoleH). Ganz ehrlich: Ich hoffe, so einen riesigen Fehler wie mit Hetzner werde nie wieder machen!

Fehlerhafte Grüße, Kenny

Langsam tut es einfach nur noch weh, was man bei Hetzner alles zu sehen kriegt. Wenn ihr auch nur halbswegs an Webdesign interessiert sein solltet, dann haltet euch lieber vom Webmail-Interface von Hetzner fern!

Nein, das Problem ist nicht, dass das ganze auf Horde basiert. Das Problem ist, dass Hetzner daran rumgefrickelt hat und ein sogenanntes “MailAdmin”-Modul einsetzt, das ich bisher noch nirgendwo anders gesehen habe – zum Glück.

Hetzner MailAdmin

Dieser MailAdmin gibt den Leuten die Möglichkeit, ihr Passwort zu ändern und E-Mail-Forwardings einzurichten. Soweit ganz nett. Um das ganze für den hMailServer zu realisieren, musste ich damals schon tief in die Trickkiste greifen.

Wirklich gut gelungen ist dieses Ding allerdings nicht. Versucht man nämlich mal, sich dort auszuloggen, kommt man zuerst auf diese wunderschöne, Vertrauen erweckende Seite, die einem zu verstehen gibt, dass der Logout erfolgreich war.

MailAdmin-Logout

Wenn man danach versucht, sich neu einzuloggen, wird man mit einem Login-Screen begrüßt. Man scheint also wirklich ausgeloggt worden zu sein. Wirklich toll!

MailAdmin-Login

Dem geneigten Leser wird aufgefallen sein, dass trotz Logout links immernoch die Menüleiste von Horde zu sehen ist. Und jetzt ratet mal, was passiert, wenn man in dieser Leiste einfach wieder auf den MailAdmin-Button klickt. Genau! Man ist wieder eingeloggt. Tolle Wurst! Damit man überhaupt versteht, warum man diesen Logout-Link unbedingt verwenden sollte und wann es überhaupt Sinn macht, muss man sich die Anwendung erstmal genauer ansehen.

Der MailAdmin-Button macht anscheinend nichts anderes, als die Adresse mail.your-server.de/mailadmin/ aufzurufen. Wenn ihr mich fragt, wird das ganze deshalb gemacht, um das Cookie auslesen zu können, das Horde angelegt hat. Die Seite macht nämlich nichts anderes, als auf die Adresse “www[Zahl].your-server.de/admin/?form_login=[Mailadresse]&form_passwd=[Passwort]&A=checkin&setlang=de” weiterzuleiten. Die Informationen [Zahl], [Mailadresse] und [Passwort] wurde wahrscheinlich anhand der Informationen im Cookie aus irgendeiner Datenbank gefischt.

Warum ich denke, dass die Informationen aus dem – von Horde angelegten – Cookie verwendet werden? Ganz einfach: Weil die MailAdmin-Adresse nicht mehr funktioniert, wenn man sich aus Horde ausgeloggt hat.
Ein Problem bleibt dieser ganze zusammengeschusterte Kram allerdings trotzdem. Denn, oh wunder! Die Seite, auf die man weitergeleitet wurde, legt einen Cookie und eine Session an. Dank dieser beiden Dinge kommt man durch direktes Aufrufen an die Admin-Oberfläche, obwohl man sich aus Horde ausgeloggt hat!
Wenn man also den MailAdmin aufgerufen hat, muss man sich auch explizit aus beiden Seiten (dem MailAdmin und Horde) ausloggen. Ehrlich gesagt würde es mich wundern, wenn das irgendjemand einfach so macht.

Eingeloggte Grüße, Kenny