Beiträge von phil

Zitat von Mac

Wir haben keinen Grund, um zu Spenden aufzurufen, bevor wir sowas machen, können wir auch mal einen Tag ohne Forum leben.

Sorry, wenn das in meinem Posting nicht ganz deutlich gewerden ist. Es geht ja nicht nur darum, daß der jetzige Server zu schwachbrüstig für einen Heise-DoS auf das Forum ist, sondern auch darum, daß die jetzige Hardware für was ganz anderes gedacht ist. Ich will euch da jetzt auch nicht mit zu vielen Hintergründen langweilen, aber es ist fraglich, ob ich ab 2005 noch Admin von der Maschine und/oder dem Netz, in dem sie steht, bin.

Von daher fände ich es sauberer, wenn Firefox einen eigenen Server bekommt (erstmal egal, wo die Hardware herkommt oder wer sie bezahlt). So einen Server kann man dann auch weitaus flexibler unterstellen, z.B. bei mir im RZ oder bei einem Hoster. Der derzeitige Server kann nicht einfach verlagert werden, weil da in der Hauptsache ganz andere Dinge als Firefox drauf laufen.

Phil

Zitat von AnHu

Wie wäre es denn z.B., wenn man das Forum auf einen eigenen Server macht, dann wäre das Problem nicht mehr so groß.

Klar, kann man auch machen. Auf welchen Server? Und wo steht der? Und wer bezahlt den Traffic?
Phil

Hallo,
als Admin des Server wollte ich auch mal was dazu sagen.
Erstmal: Es ist super, daß hier Leute darüber nachdenken, wie man die Last verteilen kann - Mirrors sind immer eine gute Idee und IMHO ist die derzeitige Situation ein absoluter Glücksfall. Bei den Traffic-Mengen (ohne nennenswerte Mirrors) hätte jeder andere Provider den Server längst dicht gemacht.

Aaaaber: Es sind mitnichten die Downloads, die den Server das letzte Mal so belastet haben, es ist einzig und allein das Forum. D.h. selbst wenn wir jetzt 10 brauchbare Mirrors beschaffen, dann hilft das dem Server rein gar nichts, wenn doch wieder Tausende gleichzeitig auf das Forum zugreifen wollen.

Ich hatte bei den letzten großen Anstürmen den Server praktisch die ganze Zeit genau im Auge, und wenn das Forum abgeschaltet war, dann hat der Server locker 250 parallele Downloads bei einem load von ca. 0.3 weggesteckt. War das Forum aktiv, dann ging der load bis auf 80(!) hoch und der Server war praktisch unbenutzbar.

Vielleicht noch mal was zu den Hintergründen des Servers: Die Machine war dazu gedacht, ein paar private Homepages von ein paar Studenten im Wohnheim zu hosten und dafür war und ist sie perfekt geeignet. Atopal hatte dann nachgefragt ob wir Firefox hosten können und die exponentiell ansteigende Beliebtheit dieses Browsers macht dem Server doch zu schaffen - zumindest wenn die Heise-Horden einfallen.
Ich bin gerade am überlegen, ob wir den Firefox-Server auslagern können, d.h. eine neue Maschine dafür beschaffen und das Ding von den anderen Diensten trennen.Mein Wunschtraum wäre ja eine 19"-Kiste, dann könnte ich auch hoffentlich meine Kontakte spielen lassen und die direkt im Rechenzentrum der Uni statt im Wohnheim unterstellen.

Haltet ihr es für realistisch, zu Spenden aufzurufen, um ein wenig Hardware einzukaufen? Andere Projekte (Wikipedia, Self-HTML etc.) haben auf diesem Weg gigantische Summen für Hardware bekommen - wir bräuchten nur einen Bruchteil davon.

Viele Grüße,
Phil

Hallo,
ja, heute fanden ein paar Wartungs-Arbeiten am Server statt, u.a. neue Versionen von phpBB, Apache, PHP und Linux-Kernel. Weitere Arbeiten sind für die nächste Zeit von meiner Seite aus nicht geplant.
Phil

Zitat von bugcatcher

Sicherlich. Sicherlich. NICHTS ist fehlerlos.

Doch, Beispiele hatte ich genannt. Inwiefern das für die Praxis relevant ist, ist eine andere Frage. Aber auch sonst gibt es Software, die _beweisbar_ korrekt ist. man SPARK (http://www.sparkada.com/spark.html)
Phil

Zitat von bugcatcher

Des weiteren. Ein geheimgehaltener Quelltext der über die Zeit wächst (bei Microsoft über Jahre auf eine enorme Grösse), bei dem sammeln sich die nie gefundenen Fehler und Lücken und ermöglichen unter umständen auch rückwirkende Lücken, so dass die neuen Programmzeilen zwar sicher sind, aber sie von "unten", also der Basis auf der sie aufgebaut wurden, angegriffen werden können.

Da hat closed-source aber kein Monopol drauf. Es haben auch schon sicherheitsrelevante Bugs im Linux-Kernel Jahre unentdeckt geschlummert.

Zitat von rabenvogel

Wenn ich Euch richtig verstanden habe wird bei sicherern Programmen so vogegangen, daß Fehler aufgedeckt und beseitigt werden können und so keine Manipulationenj möglich sind.

Wichtig ist, daß möglichst viele _unabhängige_ Leute drauf sehen. Das schützt vor absichtlichen Manipulationen, aber eine Garantie hat man nie. Borland hat seine Interbase-DB jahrelang mit einer geheimen Backdoor ausgeliefert. Die ist auch nach Veröffentlichung des Codes erst viel zu spät entdeckt worden, eben weil nicht genug unabhängige Leute drauf gesehen haben. https://www.kb.cert.org/vuls/id/247371

Zitat

Tatsächlich war ich der Meinung, je geheimer, umso sicherer. Allein diese Korrektur dieser fehlerhaften Ansicht war es wert , dieses Forum zu nutzen.

Und damit du das noch mal von einem international anerkannten Crypto-Guru nachlesen kannst: http://www.schneier.com/crypto-gram-0205.html
Das ist jetzt sehr auf Kryptographie bezogen, aber läßt sich analog auf Source-Code anwenden. Sowohl in closed-source- als auch in open-source-Software (OSS) existieren Fehler (Exoten wie TeX oder qmail ignoriere ich jetzt mal bewußt, deren Autoren sind einfach keine "normalen" Programmierer sondern spielen in einer ganz anderen Liga). Bei OSS ist im Allgemeinen nur die Chance einfach größer, daß jemandem die Fehler auffallen.
Sieh dir einfach mal an, wieviele Lücken es im IE gibt. Angenommen auf jede endeckte Lücke (trotz nicht vorhandenem Code) kommen 5 weitere, die man durch Code-Review finden könnten, dann sieht das _ganz_ düster aus sollte der Code seinen Weg in die Öffentlichkeit finden.
Phil

Hallo,
du hast (wie leider so viele Menschen) eine falsche Vorstellung, wie man Sicherheit erreicht, und was Sicherheit eigentlich bedeutet.
Viele halten "security by obscurity" für eine gute Idee. Grob gesagt heißt das sowas wie "Sicherheit durch Verschleierung" und meint z.B. folgendes: Ich verschlüssele meine Daten mit einem ganz geheimen Algorithmus, der nur mir bekannt ist. Niemand kann das entschlüsseln, weil niemand die genaue Funktionsweise kennt.

Mit dieser Auffassung kann man ganz brachial auf die Klappe fliegen, wie z.B. D2 vor einigen Jahren gemerkt hat. Sie haben in ihrem GSM-Netz einen geheimen Algorithmus verwendet und kamen sich unglaublich clever vor. Was ist passiert? Der Algorithmus ist irgendwann durchgesickert, Experten haben eine Schwachstelle gefunden und D2 stand mit runtergelassener Hose da.
Was wäre besser gewesen? Einen lange erprobten, von tausenden unabhängigen Experten analysierten Algorithmus zu nehmen. Die Sicherheit einer Verschlüsselung darf nicht auf der Geheimhaltung des Algorithmus sondern ausschließlich auf der Stärke des Algorithmus und dem Schutz der verwendeten Schlüssel basieren. Der Feind kennt den Algorithmus sowieso, jedenfalls ist davon bei Sicherheits-Analyse auszugehen.

Etwas ähnliches kriegt grade Microsoft zu spüren. Bei denen basiert die Sicherheit zum Teil darauf, daß der Code nicht allgemein zugänglich ist - und nicht auf der Korrektheit des Codes selbst. Wird der Code veröffentlicht, dann finden die ganzen bösen Jungs die Probleme und können sie sich zu Nutze machen.
Bei OpenSource passiert (oder besser gesagt: soll passieren) das ganze im Vorfeld. Einer programmiert etwas, andere sehen drüber, Programm-Fehler werden schnell gefunden und können von jedem fähigen Programmier gefixed werden. Die Verfügbarkeit von Source-Code führt theoretischerweise zu sehr viel sichererem Code, eben weil alles unter den Augen der Öffentlichkeit geschieht.

Phil

Hallo,
ich bin der Administrator vor dem Server.

Der Tag gestern war extrem belastend für den Server. Schlimm waren gar nicht die vielen Downloads sondern das Forum wegen dem ganzen mySQL- und PHP-Kram. Atopal hat völlig richtig entschieden, daß das Forum erstmal deaktiviert wird.

Ich habe gestern fast ununterbrochen den Server beobachtet und ein paar Mal umkonfiguriert, damit der überhaupt noch Anfragen bearbeitet. Das ganze ist nur eine kleine, alte Kiste mit zwei Celeron 400 und 256 MB RAM und war am Anfang auch nicht für Firefox gedacht, sondern nur als Webserver für ein paar Studenten-Seiten.

Wenn alles gut läuft, dann kriegt der Server in absehbarer Zeit ein ordentliches Hardware-Upgrade und dann sollten wir die 0.9 besser wegstecken. BTW: Der Server hat gestern mehr als 120 GB rausgejagt und ist trotz einem load von 70(!) brav durchgelaufen.

Phil

Zitat von A.Topal

So eine Liste anzulegen ist eine gute Idee, aber es gibt ein Problem: Je länger die Liste ist, desto mehr Einträge muss Firebird vergleichen, bis er sagen kann, ob das Bild erlaubt ist oder nicht.

Ja, daran habe ich auch schon gedacht und ich mache bei mir daher auch keine Einträge von Seiten, die ich sowieso nicht oder nur selten wieder besuche.
Aber gibt es dann Meßwerte, wieviel diese Vergleiche ausmachen? Ich kann mir kaum vorstellen, daß das bei den heute üblichen Kisten viel ausmacht.

Zitat

Ausserdem schützt dich die Liste nicht vor Flashbannern und anderer gescripteter Werbung. Daher mein Vorschlag:
1. <a href="http://firebird.bric.de/index.php?page=extensions#AdBlock">Adblock</a> herunterladen

Ha, das kannte ich ja noch gar nicht. Sieht gut aus, werde ich mal mit rumspielen. Danke für den Tip.

Zitat

Jetzt dürfte nur noch minimal Werbung durchkommen. Für die wiederum kannst du eine Liste anlegen, die wir gemeinsam erarbeiten können.

Hört sich gut an. Vielleicht könnte man ja auch beides machen, vielleicht möchte sich ja jemand nicht zusätzliche Plugins runterladen. Für solche Leute könnte man ja eine Liste der sagen wir 50 schlimmsten Werbe-Server erstellen. Viele Grüße aus Malaysia,
Phil

Zitat von yoppy

hallöchen, bin heute hier eingestiegen und brauche etwas Hilfe mit dem Werbeblocker. Wo finde ich diesen, wie mache ich das?

Öffne z.B. mal die Seite http://www.spiegel.de/ - da ist ganz oben ein Werbebanner. Da drauf mit der rechten Maustaste klicken und es öffnet sich das Kontextmenü. Dort kann man "Block Images from as1.falkag.de" auswählen und fortan wird man von Werbebannern, die von diesem Server kommen, verschont. Das schöne ist, daß die meisten Banner von dezidierten Servern geliefert werden (Stichwort Doubleclick.net) und somit sehr gut filterbar sind.
Genau darum geht es in meiner Frage: Man könnte eine möglichst vollständige Liste dieser Server zusammenstellen, diese z.B. auf dieser Seite anbieten und fortan würden viele glückliche Firebird-User praktisch keine Werbung mehr ertragen müssen. Pop-Ups können uns ja sowieso egal sein.
Leider hat sich bis jetzt niemand geäußert, ob das überhaupt gewünscht ist. Nochmal: Ich würde das machen, ich will nur ein wenig Feedback haben, ob da ein Bedarf für existiert. Sag doch mal jemand was
Phil

Hallo,
eines der IMHO besten Features von Firebird ist das bequeme Blocken von Werbe-Bannern. Ich habe seitdem ich Firebird benutze meine eigene Liste der Werbe-Server aufgebaut und sehe jetzt bei meinen Streifzügen durchs Web praktisch keine Werbung mehr.
Ich gehe mal davon aus, daß die meisten Firebird-Benutzer ebenfalls Werbung auf den von ihnen besuchten Seiten blocken. Gibt es evtl. schon irgendwo eine Liste, wo die ganzen Server gesammelt drin stehen? Ich habe über Google ein paar Listen gefunden, aber so wirklich vollständig waren die nicht (wird auch sicher schwer).
Falls es sowas noch nicht gibt, wäre es schön, damit anzufangen, und diese Liste an prominenter Stelle (z.B. hier) zu veröffentlichen. Ich erkläre mich auch gerne dazu bereit, die Liste zu pflegen.
Meinungen?

Phil

Hallo,
die Aussage, daß in DNS-Namen keine Umlaute stehen dürfen, ist nicht mehr ganz richtig. Siehe dazu z.B. http://www.ietf.org/proceedings/00…idn-idna-00.txt
FB schickt bei mir eine Anfrage nach http://www.xn--hochstrasse3-.de raus, wenn ich http://www.hochstra%c3%9fe3.de eintippe.
Phil

Hallo,
das ganze ist ein altes Problem mit Apache 2.x und PHP 4.x

http://bugs.php.net/bug.php?id=17098&edit=1
http://nagoya.apache.org/bugzilla/show_bug.cgi?id=9673

Ich war davon ausgegangen, daß das inzwischen behoben ist, aber scheinbar ist das nicht der Fall. Derzeit ist ein workaround konfiguriert, aber ich hoffe, daß es mit PHP 4.3.2 endgültig behoben ist - die Version soll bald released werden.
Phil