Wenn einer eine Reise tut...
Marc Ruef | 04.07.2005

Ja ja, auch ich hab mal zur Abwechslung Urlaub. Und zwar hab ich diesen - insgesamt zwei Wochen - mit Björn in Schweden verbracht. Dass ich mich deshalb weniger im Forum herumgetrieben und Postings verfasst habe, ist deshalb nicht verwunderlich. Schweden ist schön, in der Tat - Und zwar in jeder Hinsicht, so dass Computer und das Internet schnell zwangsweise an Zweitrangigkeit gewinnen. (Okay, ich habe zwar meinen Laptop mitgenommen und Björn hat mir einiges in Punkto objekt-orientierter Programmierung, PHP und SQL beigebracht...)

Eine Absenz birgt aber auch stets Gefahren in sich; vor allem, wenn man eine gut besuchte Sicherheits-Seite betreibt. Da wir in Stockholm leihweise das Apartement eines Kollegen beziehen konnten und dieser einen Breitband-Internet-Anschluss (8 MBit synchron!) hatte, konnte ich doch zwischendurch im Web nach dem Rechten sehen. Unter anderem ist mir ein von ports moderiertes Posting aufgefallen. Ein vermeintlicher Russe bezog sich darauf auf ein Advisory (http://www.computec.ch/mruef/publikationen/advisories/e107_v0.617_multiple_vulnerabilities.txt), das ich kurz vor meiner Abreise an die bekannten Sicherheits-Mailinglisten (z.B. Bugtraq) geschickt habe. In meinem Schreiben wies ich auf eine Vielzahl an noch immer existierenden oder neu hinzugekommenen Fehlern im open-source CMS hin.

Der Russe nutzte in seinem Posting auf meiner Seite eine neue Cross Site Scripting-Schwachstelle, die mir bis dato nicht bekannt war. In einem etwas höhnischen Tonfall verwies er darauf, dass er solche "Hacks" schon viel länger kenne und machen könne, weder ich. Und ich soll ihm ein Email schreiben, falls ich mich dafür interessiere, wie er es macht.

Nun ja, regelmässige Besucher meiner Seiten wissen, dass ich mich nicht gerne um die Produkte/Projekte anderer Leute kümmere. So hüte ich mich stets davor, selber irgendwelche Workarounds bei Problemen in Lösungen umzusetzen, die ich einsetze. Dafür gibt es ein Projekt-Team oder einen Hersteller. Selbiges habe ich meinem neuen Freund dann auch per Mail mitgeteilt: Er solle sich mit den Entwicklern von e107 in Verbindung setzen oder halt ein übliches Posting auf Bugtraq und co. umsetzen. Die Diskussion samt Ausnutzung einer Schwachstelle in meinem Forum ist ein eindeutiger Verstoss gegen die Richtlinien, die besagen, dass nur Dinge im öffentlichen Interesse der Seiten-Besucher gepostet werden sollen.

Nun ist etwas mehr als eine Woche vergangen, ich bin wieder in der hitzigen Heimat und habe nichts mehr von meinem vermeintlichen Mitstreiter gehört. Um zwei Dinge werde ich mich also voraussichtlich in den kommenden Tagen kümmern müssen: Die restlichen Bugs in e107 doch noch selber fixen (Juhuu!) und eine Analyse seines Angriffs durchführen, um das Problem den Entwicklern mitteilen zu können. Kommt es mir nur so vor, oder hab ich nach dem Urlaub plötzlich mehr Arbeit, weder zuvor?

Ansonsten kann ich zu Schweden nur noch sagen, dass die Leute nett, die Mädels süss, der Alkohol (vor allem Whisky) zu teuer und die Öffnungszeiten von Bars in der Regel zu kurz sind. Ich denke, dass ich durchaus mal wieder Richtung Norden reisen werde...