Bananas Development Blog: Archives

Typumwandlung... Nicht gut

Typumwandlung (englische Version hat mehr Details) hat fast jeden Programmiersprache. Manchmal hat das Vorteile da man schnell mal was zusammenbauen kann.

Leider hat es auch seine Gefahren. Wie hier am Beispiel in PHP zu sehen:

http://3v4l.org/tT4l8

var_dump(md5('240610708') == md5('QNKCDZO'));
var_dump(md5('aabg7XSs') == md5('aabC9RqS'));
var_dump(sha1('aaroZmOk') == sha1('aaK1STfY'));
var_dump(sha1('aaO8zKZF') == sha1('aa3OFF9m'));
var_dump('0010e2' == '1e3');
var_dump('0x1234Ab' == '1193131');
var_dump('0xABCdef' == '     0xABCdef');


Output for 4.3.0 - 4.3.9, 5.0.0 - 5.0.2, 5.2.1 - 5.6.8, php7@20140507 - 20150101, hhvm-3.6.0 - 3.7.0
bool(true)
bool(true)
bool(true)
bool(true)
bool(true)
bool(true)
bool(true)



WTF?

Hier auch die HackerNews Diskussion dazu.

Wordpress, so nicht!

Current versions of WordPress are vulnerable to a stored XSS. An unauthenticated attacker can inject JavaScript in WordPress comments. The script is triggered when the comment is viewed.

If triggered by a logged-in administrator, under default settings the attacker can leverage the vulnerability to execute arbitrary code on the server via the plugin and theme editors.

Alternatively the attacker could change the administrator’s password, create new administrator accounts, or do whatever else the currently logged-in administrator can do on the target system.


Money quote:

WordPress has refused all communication attempts about our ongoing security vulnerability cases since November 2014. We have tried to reach them by email, via the national authority (CERT-FI), and via HackerOne. No answer of any kind has been received since November 20, 2014.


WTF?!

WordPress 4.2 Stored XSS

Endlich keine spiegelnde Displays mehr?

Die Entdeckung durch die Beobachtung von Glasflügler könnte es nun endlich möglich machen Displays so zu erstellen, dass diese nicht mehr so lästig das Licht reflektieren.

Das wäre echt ein Traum. Dann könnte man aktuelle Smartphones und Tablets endlich mal im Freien verwenden.

Unregelmäßige Nanostrukturen auf dem durchsichtigen Flügel des Glasflüglers verhindern das Zurückwerfen von Licht – Publikation in Nature Communications – Forscher planen Anwendungen

Nature: Reflexionsarme Flügel machen Schmetterlinge fast unsichtbar

CSS ol mit farbigen Nummern

.list-numbers {
	counter-reset: item;
	list-style: none;
}
.list-numbers li {
	border-left: 4px solid #adc3dc;
	margin-bottom: 5px;
	padding-left: 5px;
	display: block;
}
.list-numbers li:before {
    content: counter(item) ".";
    counter-increment: item;
    color: #004d9a;
	position: absolute;
	left: 2.5em;
	font-size: 110%;
}


Hierbei ist zu beachten, dass die Farbe angepasst werden muss; den Wert für left; sowie die Schriftgröße.

Was die Entwickler der Welt so treiben

StackOverflow - Developer Survey 2015

Every year we run a survey. This year, more developers answered more questions than ever before.

Redet Klartext

DE-CIX erhebt schwere Vorwürfe wegen BND-Abhörung

Klaus Landefeld redet Klartext im NSA-Ausschuss. Der BND überwache seit 2009 den Frankfurter Internetknoten. Trotz schwerer Bedenken habe der DE-CIX die Anordnung akzeptiert.


Mal sehen wie lange der noch im Amt ist...


Den sichersten Schutz gegen eine Überwachung biete jedoch eine Ende-zu-Ende-Verschlüsselung der Dateninhalte. Das sei "das einzige, was hilft. Alles andere ist illusorisch", sagte Landefeld. Wenig sinnvoll sei dagegen das vor allem von der Deutschen Telekom propagierte nationale Routing oder Schlandnet. "Schon jetzt werden 99,9 Prozent der innerdeutschen Verkehre innerhalb Deutschlands geroutet", sagte er. Damit sei ein solches Routing faktisch schon umgesetzt.



Es ist eine Schande, dass unser Grundrecht auf Persönlichkeit so mit Füßen getreten wird.

SELinux to protect you

Fwd: setroubleshoot root exploit (CVE-Request)

So. Yes, thats correct: The SELinux system that is only there to protect you,
passes attacker controlled data to sh -c (https://docs.python.org/2/library/commands.html)
inside a daemon running as root. Sacken lassen...


Ups....

Alter Wein in neuen Schläuchen

Hypertext Transfer Protocol wurde nun endlich nach Jahren mal angepasst. Es gibt nun die Version 2.0

Im Grunde ist das eine tolle Sache und auch keine einfache, aber wenn nun schon zwei Leute dieses System so grundlegend in der Luft zerreissen können, frage ich mich ob wirklich an Alles gedacht wurde.....

Für mich ist da viel zu viel Politik enthalten....

JavaScript Frameworks. Never ending story

A JS framework on every table

...
In the meantime, the latest and greatest JavaScript framework comes around every sixteen minutes.
...


Das denke ich mich auch schon die ganze Zeit. Wie viele Frameworks braucht es denn noch?

Monodraw

Powerful ASCII art editor designed for the Mac.


Powerful ASCII art editor designed for the Mac.

Textfarbe in einem Makefile

Ein klassisches Makefile wird ja zur Übersetzung von Quellcode zu Binaries verwendet.

Mit einem Makefile kann man aber auch andere Dinge automatisieren.
Für meine Zwecke erstelle ich mir Bau-Prozesse zur Erstellung von Veröffentlichungsversionen von Software.

Nun hat man in einem Terminal die Möglich Text farblich hervorzuheben. Da ein Makefile einen anderen Syntax ( wie zB. Bash Scripte ) hat muss man da ein wenig umdenken.

More »

Was gibt es heute zum Mittagessen. Neue Rezepte

Auf Was gibt es heute zum Mittagessen gibt es mittlerweile 80+ Rezepte. Ist nicht viel aber die Auswahl ist schon mal da.

Also schaut einfach mal vorbei wenn Ihr eine Idee braucht für das Mittagessen.

PS: Auf dem Smartphone lässt es sich auch anschauen. Es gibt noch keine spezielle App, aber die Ansicht ist optimiert.

NFC Ring und Trigger App. Die Zweite.

Nach ein wenig experimentieren habe ich herausgefunden, dass man mit der Trigger App nicht zwei NFC Tags braucht um zwischen Aktionen hin und her zu schalten.

Am Anfang hat ich die zwei NFC Tags des NCF Rings für jeweils ein Event verwendet. zB. einen für das Anschalten von W-LAN und den anderen für das Auschalten.

Man kann aber bei der Erstellung eines Tasks als Bedingung nur NCF nehmen, einen Task definieren und danach als Switch noch einen Task definieren. Am Ende wird dieses dann auf einen NCF Tag geschrieben. Je nach dem welchen Status der Task hat wird dann einfach zwischen den zwei Tasks hin und her gewechselt.

Eventuell gibt es noch bessere Wege, denn es gibt ja auch die Option toggel. Habe aber damit noch nichts gemacht.

NFC Ring. Trigger App

Bei der Steuerung von Events und Aufgaben mit meinem NCF Ring habe ich gut Erfahrung mit der Anwendung namens Trigger gemacht.
In der Basisversion kostenlos. Ohne nervige Werbung und für die meisten Anwendungen vollkommen ausreichend. Wer alle Features benötigt, der sollte Root Zugriff eingerichtet haben.

Trigger selbst kann natürlich nicht nur Events mit dem NFC Ring abarbeiten, sondern noch viele andere Bedingungen. WLAN, Bluetooth, Akku, Zeit etc.