Läuft jetzt auch auf allen Blogs auf diesem Server.
Author: Florian Tischner
Florian Tischner, born 1985 in Bonn, Germany. Lived 5 years in Spain and 2 years in France. Studied Applied Computer Science. Likes Free Software. Currently working for a large international consulting company.
“warning” “\xdcberpr\xfcfung Photolizenzen” (sollte wohl “warning” “Überprüfung Photolizenzen” heißen) tauchte heute Morgen im Access-log vom Apachen auf. Gekommen ist das von einer dynamischen IP-Adresse der T-Com. Der Schweinehund von Crawler macht sich noch nicht einmal die Mühe, die robots.txt auch nur abzurufen, sondern liest einfach mal direkt das Stammverzeichniss.
Ich habe das Gefühl, dass der Crawler noch ganz am Anfang der Entwicklung ist; jedenfalls hoffe ich das für den Auftraggeber: Der Crawler folgt zwar normalen HTTP-Weiterleitungen, folgt aber keinen Links. Eingebetette Bilder lädt er auch nicht runter. Er identifiziert sich nicht eindeutig und scheinbar gibt es vom Urheber keine Internetseite, die erklärt, wer dafür verantwortlich ist und was genau er macht.
Ich werde das mal im Auge behalten; wenn der wiederkommt und mehr runterläd, gibt es ‘ne Beschwerde beim T-Com Abuse.
What is jwchat? Jwchat
is a full featured, web-based Jabber™ client.
It uses the HTTP-POLL method to connect to a jabber-server. It is written in Javascript, which is quite nice because you do not open a glaring security-hole by installing it.
I am not going to explain how you set up ejabberd or apache2; there are tons of tutorials for that out there.
- Go to the jwchat download-page and download it. Extract it to somewhere where the webserver can read it; i put it in /usr/share/jwchat. Alternatively you can just aptitude install jwchat.
- Edit the config.js you can find in jwchat/www . There are two things you want to edit:
-
- The SITENAME. Just put in your servername.
- The httpbases a bit further down. This is the relative path where jwchat will try to contact the jabber-server. Put in anything you want; the default makes sense, though.
- Now comes the part where the jwchat-documentation fails us: we have to configure the apache2 to proxy all requests which go to the httpbase over to the jabber-server. jwchat proposes the following configuration:
DocumentRoot /var/www/jwchat
Options +Indexes +Multiviews
AddDefaultCharset UTF-8
RewriteEngine on
RewriteRule http-poll/ http://127.0.0.1:5280/http-poll/ [P]While this works, it adds a burden to the user: his firewall needs to allow outgoing connections to port 5280. It is way better to keep all connections on one port so that jwchat works in heavily locked-down environments like libraries, universities and schools. This can be achieved by mod_proxy.
- First you have to enable mod_proxy_http and mod_proxy. You can do that by calling a2enmod proxy proxy_http
- Once this is done, put this somewhere into one of your (virtual)host configurations:
ProxyRequests Off
ProxyPass /http-poll/ http://127.0.0.1:5280/http-poll/
ProxyPassReverse /http-poll/ http://127.0.0.1:5280/http-poll/
Allow from all
Alias /jwchat /usr/share/jwchat/www
Options +Indexes +Multiviews +FollowSymLinks
AddDefaultCharset UTF-8
Now the users can go to $example.com/jwchat and use their jabber-accounts without having to install a client.
It is important to note that the username and password are transmited as plaintext; this is dangerous and stupid. Not only will you die, it will also hurt the whole time you’re dieing.
Edit: I was wrong: Jwchat uses DIGEST-MD5. While it is better than nothing, SSL is way more secure, seeing as the IETF is in the process of deprecating DIGEST-MD5 because of the bruteforceability.
Never use jwchat over an unencrypted connection. Be smart and put that whole configuration into an SSL-enabled host. You don’t lose any functionality but gain important security.
Mir ist gerade aufgefallen, dass ich seit Januar nichts mehr über meine Arbeit berichtet habe. Ich bin echt erstaunt wie schnell die Zeit vorbei gegangen ist : seit ziemlich genau drei Monaten arbeite ich für Accenture in München. Das Team, in dem ich bin, ist immer noch toll. Es macht Spaß mit so vielen motivierten und ergebnissorientierten Menschen zu arbeiten! Wir ziehen hier Alle am selben Strang und keiner versteckt sich hinter irgendwelchen Zuständigkeiten.
Viele Firmen behaupten ja, eine flache Hierarchie zu haben; Accenture macht das auch. Aber bei Accenture wird das auch wirklich gelebt. Leistung und Wissen zählen für die Arbeit – die Hierarchie macht sich hauptsächlich durch die unterschiedlichen Aufgaben bemerkbar (als kleine Leuchte muss ich eher wenig Urlaubsanträge und Leistungsbewertungen verarbeiten). Ich arbeite z.B. regelmäßig direkt mit dem Chef vom Chef meines Chefs zusammen. Im Team ist mein fachlicher Input genau so wichtig wie seiner (mit der Außnahme dass er in einigen Bereichen weitaus mehr Erfahrung hat als ich 😉 ).
Die Stimmung im Team ist wirklich toll, nur das Stressniveau gefällt mir nicht ganz. Ich mag die Phasen, in denen es wenig Stress gibt, nicht 😉
Naja, vielleicht stimmt das nicht ganz; konstant hoher Stress ist unangenehm. Aber ich bin vom Typ her eindeutig mehr der Macher als der Verwalter von Arbeit, und die ganzen Verwaltungs-Tasks die in einer stressigen Projektphase liegen bleiben wurden von uns gerade erledigt, da wir letzte Woche unseren ersten Meilenstein (erfolgreich!) erreicht haben. Keine Frage, Dokumentation ist wichtig und die Prozess- und Infrastrukturverbesserungen werden unsere Arbeit noch effektiver machen. Aber letztendlich macht es mir mehr Spaß meine technischen Skills unter Beweis zu stellen statt aufzuschreiben wie ich sie bisher eingesetzt habe.
Trotzdem bereue ich es nicht eine Sekunde hier angefangen zu haben; der Anspruch, mich konstant zu verbessern und jeden Tag etwas neues zu lernen, ist genau das, was ich brauche!
WordPress 2.5 up and running
So, mal wieder ein WordPress-Release eingespielt. Wird Zeit dass ich die löchrige PHP-Anwendung mit etwas sicherem ersetze…
Sollten irgendwelche Probleme auftreten: Mailt mich einfach an.
Die Jungs von K&M-Elektronik können mir mal den Buckel runterrutschen. Die Erfahrung die ich mit denen in den letzten zwei Wochen gemacht habe bringt mich dazu, dort so schnell nichts mehr zu bestellen.
Angefangen hat es eigentlich wie jedes Mal wenn ich größere Mengen Geld verbrenne sinnvoll in Elektronik umsetze: Erst mal das System planen und dann einen vernünftigen Shop suchen. Ich gehe da nach einem relativ einfachen Muster vor: auf den einschlägigen Seiten (hardwareschotte, heise und geizhals) nach dem teuerstem Produkt der Bestellung suchen, die Anbieter nach dem Preis sortieren. Dann nicht den billigsten auswählen, sondern den ersten mit einer fast perfekten Bewertung. In meinem Fall waren das die Helden von kmelektronik.de.
K&M-Elektronik ist ein Anbieter mit mehreren Filialgeschäften und mit einem sehr guten Ruf. Ich habe die gewählt um sicherzugehen dass ich mein Zeug schnell bekomme und ich nicht ohne Gegenleistung mein Geld loswerde.
Bestellt habe ich am 25.03. um 07:20 eine ganze Menge Hardware im Gesamtwert von um die 1600€. Bezahlt habe ich direkt per Kreditkarte; die haben also das Geld in dieser Sekunde gehabt. In einem guten Shop würde jetzt ein Mitarbeiter losstiefeln, ein Paket packen und noch am selben Tag abschicken.
Bei K&M ist das leicht anders. Als ich um 17:00 noch keine Meldung außer der automatischen “Sie haben eine Bestellung abgesetzt”-Mail bekommen habe wurde ich ungeduldig. Die wirklich netten Menschen an der Service-Hotline meinten nur lakonisch “Die Zahlung muss von der Buchhaltung erst freigegeben werden; dass dauert mindestens einen Tag”. Dies ist der Punkt bei dem bei mir absolute Unverständnis besteht: bei einer Kreditkartenzahlung bekommt der Händler das Geld wirklich in derselben Sekunde in der der Auftrag reingeht. Das liegt in der Natur der Kreditkarte. Was macht da die Buchhaltung noch?
In meiner Phantasie sehe ich einen Prozess, der das mehrfache Ausdrucken, unterschreiben, stempeln, scannen und abheften verschiedener Formulare beinhaltet. Anders kann ich mir diese Verzögerung nicht erklären.
Aber so schlimm war das eigentlich nicht; vor Samstag wäre ich sowieso nicht zu Hause gewesen.
Dienstag Nachmittag bekomme ich die Bestätigung dass ein Paket für mich gepackt wurde und unterwegs ist. In dem Paket waren auch zwei Grafikkarten(Artikelnummer 17639; Preis :150€ Produkt: Sparkle 9600GT RETAIL).
Als die Lieferung dann endlich bei mir ankam war die Enttäuschung groß: es wurde die falsche Grafikkarte geliefert:Die Sparkle 9600GT CALIBRE(Artikelnummer 17927). Abgesehen davon dass die Karte 20€ teurer ist ist sie auch noch 3 mal so breit; für den Einbau in ein Shuttle Barebonegehäuse absolut unbrauchbar.
Das kann mal passieren. Wir alle sind Menschen; wir alle machen Fehler. Ich habe beim Support angerufen und die Situation erklärt. Der Supportmensch (wieder wirklich freundlich; die Hotlinemitarbeiter bei K&M gehören zu den besseren der Branche) erklärte mir dass ich die Karte zurückschicken muss (logisch) und die richtigen Karte erst versendet wird wenn die falsch gelieferten bei denen angekommen ist (leicht Verständlich, aber bei einer Bestellung von um die 1600€ so auf Sicherheit bedacht zu sein ist leicht kundenunfreundlich).
Da ich nicht vorhatte nochmal 2 Wochen zu warten habe ich die Grafikkarte noch einmal bestellt. Ich habe direkt beim Support angerufen und darum gebeten dass meiner Bestellung eine Notiz hinzugefügt wird damit ich diesmal auch wirklich die richtige Karte bekomme.
Heute kam das Paket an. Schon wieder ist die falsche Karte geliefert worden. Wieder weigert sich der Support die richtige Karte direkt rauszuschicken.
Ich habe wirklich die Schnauze voll. Wenn ein Laden es trotz Hinweis darauf, dass im Warenwirtschaftssystem was falsch eingestellt ist, denselben Fehler zwei Mal macht meide ich Ihn in Zukunft.
via Nerdcore
Der Marketing-Bereich scheint eine sehr heterogene Gruppe von Menschen anzuziehen. Auf der einen Seite gibt es die wirklich guten Marketing-Abteilungen und Firmen, die ehrliche Kommunikation mit ihren Kunden haben wollen. Daeben gibt es noch die klassischen Gruppierungen, die einfach nur Einbahnstraßen-Werbung machen möchten. Am anderen Ende der Skala finden wir Internet-“Kommunikationsfirmen”.
Im Bereich Internet tummeln sich anscheinend die richtig schwarzen Schafe. Da wird gespammt was die Systeme hergeben, gegen Bundes- und Landesdatenschutzgesetze verstoßen, Persönlichkeitsrechte verletzt und massiv schwarze/böse SEO-techniken angewendet (z.B. Linkfarmen, Linkkäufe oder massives spammen von Links). Firmen die solche schwarzen Schafe engagieren müssen damit rechnen dass Ihr guter Name in den Dreck gezogen wird, negative Geschichten über sie im Internet verbreitet werden und google die Firmenpräsenz mit Straf-abwertungen belegt.
Für uneingeweihte mittelständische Firmen ist das ein großes Problem, da sie keinerlei Chance haben im Vorraus zu erkennen ob die von ihnen engagierte Firma zu den bösen gehört.
Eine Firma, die das diese Tage schmerzlich erfahren muss ist ein Bestattungshaus aus Berlin. In seinem Namen wurde anscheinend an alle Leute, welche das Bestatterblog in der Blogroll hatten, folgende Email versendet:
Sehr geehrte Damen und Herren,
auf Ihrer Internetplattform veröffentlichen Sie unter folgender Adresse Links auf
verschiedene Seiten rund ums Thema Bestattung:
http://www.florianhaas.netWir würden uns freuen wenn Sie Editiert-Bestattungen.de als wertvolle Ergänzung mit
in diese Liste aufnehmen würden:Bestattungen Berlin
Editiert Bestattungen in Berlin ist Ihr freundlicher Ansprechpartner für Erd-, Feuer und
Seebestattungen.Gerne nehmen wir auch Ihre Webpräsenz in unser Bestatungsverzeichnis mit auf:
http://www.editiert-bestattungen.de/Bestattungs-Katalog/Dieses ist auf einer besucherstarken Domain publiziert und wird Ihnen viele
interessierte Besucher bringen. Nutzen Sei einfach das Formular um Ihre Seite
hinzuzufügen.Wir würden uns über eine Zusammenarbeit mit Ihnen freuen.
Mit freundlichen Grüßen
M. Muster
Editiert-Bestattungen.de———————————————————————–
Impressum gemäß § 6 Teledienstgesetz (TDG)
Firmenname: editiert – Bestattungen
Anschrift: Musterstraße 1
13000 Berlin
Tel: 030 – 393 72 603
Ust-ID gemäß §27a Umsatzsteuergesetz: nicht vergeben
E-Mail: editiertFür den Inhaltlich ist verantwortlich:
editiert
Insgesammt vier Mal hat mich die Email erreicht. Da ich vorher keinerlei Kundenbeziehung mit dem Bestattungshaus hatte verstößt das gegen eine ganze Reihe von Gesetzen:
- Mein Persönlichkeitsrecht ist durch die wiederholte unerwünschte Kommunikation gestört
- Es ist davon auszugehen dass meine Emailadresse bei denen irgendwo gespeichert wird. Das ist ein Verstoß gegen das Bundesdatenschutzgesetz.
- Je nachdem welcher Richter über das Verfahren entscheiden würde wäre es auch noch ein verstoß gegen das Gesetz gegen unlauteren Wettbewerb
Ich habe auf die Email so reagiert wie ich immer auf deutsche Spammer reagiere: ich habe Thoms Fassung von Framstags freundlichem Folterfragebogen (T5F) zurückgeschickt. Das Bundesdatenschutzgesetz sieht zum Glück einige Rechte für Betroffene vor: Auskunftsrecht, Recht zur Korrektur, Recht zur Sperrung und das Recht zur Löschung.
Als Antwort bekam ich heute morgen dann eine Email von der Firma:
sehr geehrter herr haas,
die, von ihnen genannte werbung, die sie unaufgefordert erhalten haben, ist nicht
durch uns zu verantworten.
mit der pflege und optimierung unserer internetpräsend, wurde eine fremdfirma
beauftragt.
wir haben diese firma bereits kontaktiert und darum gebeten, sich mit ihnen in
verbindung zu setzten.
erwarten sie also alle weiteren maßnahmen von unserem partner.
sollte sich dieser binnen 48 stunden nicht mit ihnen in verbindung setzen, dann
verständigen sie uns bitte nochmals.
mit freundlichen grüßen,Max Muster
Ab hier hat die Bestattungsfirma einen Fehler gemacht: auffallend an der Email ist, dass kein Wort des Bedauerns oder der Entschuldigung vorkommt. Pikant ist das weil unabhängig davon, wer letztendlich die Email losgeschickt hat, die Bestattungsfirma verantwortlich dafür ist.
Ich warte jetzt gespannt auf die Antwort des “Partners” (wie kann man jemanden, der dem Geschäft schadet, Partner nennen?).
Edit:
Sehr geehrter Herr Haas,
ich bitte sie vielmals um Entschuldigung für mein vorgehen und versichern Ihnen, dass dies durch mich nie wieder vorkommen wird.
Ich besitze keinerlei Daten von Ihnen außer der Email Adresse, der Homepage URL und Ihrem Namen. Die Daten wurden ausschließlich für den Mailkontakt genutzt und werden nun gemäß Ihrem Wunsch gelöscht, inclusive des gesamten Mailverkehrs mit Ihnen.
Ich versichern Ihnen das Ihre Daten nicht aus Drittquellen bezogen wurden und auch nicht an Dritte weitergegeben werden. Ich versichere Ihnen, dass es nicht mehr zu einer Belästigung durch mich kommen wird.
Bitte verzeihen Sie mir, ich werden in Zukunft keinerlei solcher Experimente wiederholen.
Mit freundlichen Grüßen
Max Musterpartner
Ich habe eine Wohnung in München!
http://www.mrlodge.de/app/3532/de/
Ab Montag bin ich nicht mehr in irgendwelchen Hotels! Whohoo!
!derGrosse: Ich Aha? Lass ma schauen, brauche Kontonummer und Pin
Ohne Worte… von German-Bash