Bananas Development Blog: Archives

Wordpress, so nicht!

Current versions of WordPress are vulnerable to a stored XSS. An unauthenticated attacker can inject JavaScript in WordPress comments. The script is triggered when the comment is viewed.

If triggered by a logged-in administrator, under default settings the attacker can leverage the vulnerability to execute arbitrary code on the server via the plugin and theme editors.

Alternatively the attacker could change the administrator’s password, create new administrator accounts, or do whatever else the currently logged-in administrator can do on the target system.


Money quote:

WordPress has refused all communication attempts about our ongoing security vulnerability cases since November 2014. We have tried to reach them by email, via the national authority (CERT-FI), and via HackerOne. No answer of any kind has been received since November 20, 2014.


WTF?!

WordPress 4.2 Stored XSS

Endlich keine spiegelnde Displays mehr?

Die Entdeckung durch die Beobachtung von Glasflügler könnte es nun endlich möglich machen Displays so zu erstellen, dass diese nicht mehr so lästig das Licht reflektieren.

Das wäre echt ein Traum. Dann könnte man aktuelle Smartphones und Tablets endlich mal im Freien verwenden.

Unregelmäßige Nanostrukturen auf dem durchsichtigen Flügel des Glasflüglers verhindern das Zurückwerfen von Licht – Publikation in Nature Communications – Forscher planen Anwendungen

Nature: Reflexionsarme Flügel machen Schmetterlinge fast unsichtbar

CSS ol mit farbigen Nummern

.list-numbers {
	counter-reset: item;
	list-style: none;
}
.list-numbers li {
	border-left: 4px solid #adc3dc;
	margin-bottom: 5px;
	padding-left: 5px;
	display: block;
}
.list-numbers li:before {
    content: counter(item) ".";
    counter-increment: item;
    color: #004d9a;
	position: absolute;
	left: 2.5em;
	font-size: 110%;
}


Hierbei ist zu beachten, dass die Farbe angepasst werden muss; den Wert für left; sowie die Schriftgröße.

Was die Entwickler der Welt so treiben

StackOverflow - Developer Survey 2015

Every year we run a survey. This year, more developers answered more questions than ever before.

Redet Klartext

DE-CIX erhebt schwere Vorwürfe wegen BND-Abhörung

Klaus Landefeld redet Klartext im NSA-Ausschuss. Der BND überwache seit 2009 den Frankfurter Internetknoten. Trotz schwerer Bedenken habe der DE-CIX die Anordnung akzeptiert.


Mal sehen wie lange der noch im Amt ist...


Den sichersten Schutz gegen eine Überwachung biete jedoch eine Ende-zu-Ende-Verschlüsselung der Dateninhalte. Das sei "das einzige, was hilft. Alles andere ist illusorisch", sagte Landefeld. Wenig sinnvoll sei dagegen das vor allem von der Deutschen Telekom propagierte nationale Routing oder Schlandnet. "Schon jetzt werden 99,9 Prozent der innerdeutschen Verkehre innerhalb Deutschlands geroutet", sagte er. Damit sei ein solches Routing faktisch schon umgesetzt.



Es ist eine Schande, dass unser Grundrecht auf Persönlichkeit so mit Füßen getreten wird.

SELinux to protect you

Fwd: setroubleshoot root exploit (CVE-Request)

So. Yes, thats correct: The SELinux system that is only there to protect you,
passes attacker controlled data to sh -c (https://docs.python.org/2/library/commands.html)
inside a daemon running as root. Sacken lassen...


Ups....

Alter Wein in neuen Schläuchen

Hypertext Transfer Protocol wurde nun endlich nach Jahren mal angepasst. Es gibt nun die Version 2.0

Im Grunde ist das eine tolle Sache und auch keine einfache, aber wenn nun schon zwei Leute dieses System so grundlegend in der Luft zerreissen können, frage ich mich ob wirklich an Alles gedacht wurde.....

Für mich ist da viel zu viel Politik enthalten....

JavaScript Frameworks. Never ending story

A JS framework on every table

...
In the meantime, the latest and greatest JavaScript framework comes around every sixteen minutes.
...


Das denke ich mich auch schon die ganze Zeit. Wie viele Frameworks braucht es denn noch?

Monodraw

Powerful ASCII art editor designed for the Mac.


Powerful ASCII art editor designed for the Mac.

Textfarbe in einem Makefile

Ein klassisches Makefile wird ja zur Übersetzung von Quellcode zu Binaries verwendet.

Mit einem Makefile kann man aber auch andere Dinge automatisieren.
Für meine Zwecke erstelle ich mir Bau-Prozesse zur Erstellung von Veröffentlichungsversionen von Software.

Nun hat man in einem Terminal die Möglich Text farblich hervorzuheben. Da ein Makefile einen anderen Syntax ( wie zB. Bash Scripte ) hat muss man da ein wenig umdenken.

More »

Was gibt es heute zum Mittagessen. Neue Rezepte

Auf Was gibt es heute zum Mittagessen gibt es mittlerweile 80+ Rezepte. Ist nicht viel aber die Auswahl ist schon mal da.

Also schaut einfach mal vorbei wenn Ihr eine Idee braucht für das Mittagessen.

PS: Auf dem Smartphone lässt es sich auch anschauen. Es gibt noch keine spezielle App, aber die Ansicht ist optimiert.

NFC Ring und Trigger App. Die Zweite.

Nach ein wenig experimentieren habe ich herausgefunden, dass man mit der Trigger App nicht zwei NFC Tags braucht um zwischen Aktionen hin und her zu schalten.

Am Anfang hat ich die zwei NFC Tags des NCF Rings für jeweils ein Event verwendet. zB. einen für das Anschalten von W-LAN und den anderen für das Auschalten.

Man kann aber bei der Erstellung eines Tasks als Bedingung nur NCF nehmen, einen Task definieren und danach als Switch noch einen Task definieren. Am Ende wird dieses dann auf einen NCF Tag geschrieben. Je nach dem welchen Status der Task hat wird dann einfach zwischen den zwei Tasks hin und her gewechselt.

Eventuell gibt es noch bessere Wege, denn es gibt ja auch die Option toggel. Habe aber damit noch nichts gemacht.

NFC Ring. Trigger App

Bei der Steuerung von Events und Aufgaben mit meinem NCF Ring habe ich gut Erfahrung mit der Anwendung namens Trigger gemacht.
In der Basisversion kostenlos. Ohne nervige Werbung und für die meisten Anwendungen vollkommen ausreichend. Wer alle Features benötigt, der sollte Root Zugriff eingerichtet haben.

Trigger selbst kann natürlich nicht nur Events mit dem NFC Ring abarbeiten, sondern noch viele andere Bedingungen. WLAN, Bluetooth, Akku, Zeit etc.

Cataclysm auf LG Nexus 5

Im Grunde ist dies ja nicht wirklich notwendig, da das Google Nexus 5 ja schön mit Updates versorgt wird. Aber ein wenig mehr funktionalität und ohne OEM Lock hat doch seine Vorteile.

Das Cataclysm ROM ist ein Stock ROM mit wenigen Anpassungen. Wenn man also mit den Grundfunktionen und Google zufrieden ist, aber noch Zusatzfeatures aktivieren will, dann ist dieses ROM das Richtige. Der Entwickler atl4ntis hat sich dazu mal geäußert warum er diese Strategie fährt.


Ich habe folgendes ROM verwendet:

Cataclysm-Dec_24_2014-HAMMERHEAD-Lollipop-5.0.1_Stable.zip
Cataclysm-NightlyUpdate_from_Dec_24_to_Jan_19_2015.zip

Hier ist der Forumsbeitrag im XDA-Developers.com Forum in dem die Dateien auch verlinkt sind.

Was habe ich nun alles gemacht um das ROM zu installieren/flashen:

Da ich noch kein Root und noch ein OEM Lock hatte, befolgte ich folgende Anleitung:
[ANLEITUNG] Tutorial Sammlung - Google Nexus 5 (bootloader unlocken/custom recovery/root)
Also Custom Recovery habe ich CWM genommen.

Da mein Nexus verschlüsselt war mussten die Partitionen via CWM formatiert werden. Ansonsten kann kein ROM Installiert und übertragen werden. Dadurch geht natürlich alles verloren; CWM kann mit der Verschlüsselung nicht umgehen.

Durch das formatieren ist das Smartphone aber in einem Zustand, der es nicht möglich macht Daten via USB und dem Dateiexplorer zu übertragen. Das Gerät wird von Windows als solches einfach nicht erkannt. Es gibt aber eine Möglichkeit die Daten doch noch zu transferieren:

How to: Copy ROM zip file to the freshly wiped device

Mit Hilfe dieser Anleitung war ich in der Lage das ROM und das Update auf das Smartphone zu laden. Danach konnte ich das ROM via CWM installieren.

Reboot und gut war es.

Bisher habe ich keine Probleme. Wie sich die Akkuleistung verhält muss ich erst noch ausprobieren.

PS: Sollte man nicht zufrieden sein, dann kann man es Rückgängig machen.