Glorf.it

Glorf IT

Bedenkliches aus dem IT-Alltag

29. Oktober 2010 um 20:19

500 CDs?

500 CDsAls ich mal wieder bei Pearl die Neuheiten durchstöberte blieb ich bei einem ausgefallenen Angebot hängen: 500 Musik-DVD werden als Paket für knapp 130 Euro angeboten! Das ist ja ein Albtraum – warum bieten sie das nicht als wenige DVDs mit MP3s an?

29. Oktober 2010 um 18:11

PowerPivot

Wer einmal PowerPivot ausprobieren möchte, der könnte sich über diese Links freuen:

28. Oktober 2010 um 20:17

IE6 und IE7 Detection-Script

Im Artikel "IE6 und IE7 Detection Script zur Einbindung auf der eigenen Webseite" beschreibt Kay Giza wie und unter welchen Bedingungen man das "IE6 und IE7 Detection Script" in die eigene Webseite einbinden kann. Einen kurzen Abriss, was es damit auf sich hat, gab ich im Artikel "Immer noch weg mit dem IE6" wieder: Alte Internet-Explorer-Versionen erkennen und zum Update oder Umstieg bewegen… Erfreulicherweise geht die Initiative von Microsoft aus. 🙂

22. Oktober 2010 um 17:55

SDR – Software Design Review

Auf der Suche nach Informationen zu den von Microsoft durchgeführten Software Design Reviews (SDR) stieß ich auf eine Mauer des Schweigens. Eigentlich komisch, denn bei uns werden Reviews sehr häufig durchgeführt und wir sind stolz darauf… Abseits der Microsoft-Seiten stieß ich auf den kurzweiligen Artikel Understanding Microsoft SDR's von Aaron Skonnard.

21. Oktober 2010 um 18:24

Datenbankenverschlüsselung knacken

Und hier kommt noch etwas zum Thema Security. Das ist aber auch gerade ein Hype-Thema…
Auf soonerorlater.hu wird von László Tóth beschrieben, wie man die Transparent Database Encryption (TDE) bei Oracle knackt. Das ist nun sicher kein Grund zur Schadenfreude, denn Microsoft wird das sicher auch nicht so viel anders machen. Immerhin ist hier Performance das wichtigste Ziel – mit den üblichen Nebenwirkungen.

Das enthält der Vortrag:

  • How to attack the encryption features in Oracle database with DLL injection on Windows and Linux
  • How TDE (Transparent Database Encryption) feature works and demonstration of a toolset that can be used to decrypt the TDE encrypted data
  • An initial analyzes of the security of the Remote Job Scheduling feature

Außerdem steht auch noch der Demo-Code online bereit. Würde mich interessieren, ob den jemand einsetzt…

Was mich allerdings verwundert hat: Auf Seite 12 des Vortrages sieht man, dass ein Admin bei Oracle leicht die Passwörter der Benutzer sehen kann. Das finde ich kritisch, warum wird hier nicht wie üblich mit Hashwerten gearbeitet? OK, auch der Rest des Artikels ist interessant, denn es gibt erstaunlich viele Möglichkeiten. Ich würde mal sagen dieser Vortrag ist der Alptraum von Larry Ellison.

Hier ist der Vortrag als PDF.

21. Oktober 2010 um 18:09

Hintergründe zu SQL-Slammer

Da ich mich in den letzten Monaten mit der dunklen Seite der Security beschäftige, machte mich mein Chef auf den sehr lesenswerten Artikel "The Inside Story of SQL Slammer" von David Litchfield aufmerksam.

Der leider viel zu kurze Artikel beschreibt, wie das damals war und wie der Autor das Problem erstmals entdeckte. Sein Vorgehen deckt sich auch heute mit dem Standard-Vorgehen zum Auffinden von Sicherheitsproblemen: Abstürze oder Fehler provozieren und dann gezielt nachforschen. Mir war unklar, dass der Beispielcode für SQL-Slammer ursprünglich aus einer Demo von David stammt. Das erklärt zum Teil, warum Microsoft nicht gerne möchte, dass für deren Fehler Beispielcode veröffentlicht wird. Denn obwohl es den Patch gab, wurde es einer gigantischer Wurm. Wie sich jetzt zeigt, wurde der Wurm nur dadurch möglich, dass David das Problem entdeckte und veröffentlichte…

Hier steht mehr.

20. Oktober 2010 um 22:26

Oracle engt OpenOffice-Community ein

Oracle hat das Prinzip der Communities offenbar noch nicht so richtig verstanden. Im Heise-Online-Artikel "LibreOffice-Macher sollen OpenOffice-Rat verlassen" kann man nachlesen, dass Oracle diejenigen los werden möchte, die auch bei LibreOffice mitmachen.

Die meisten anderen Firmen hätten hier vermutlich die Flucht nach vorne angetreten und versucht den neuen Fork zu umarmen. Oder wenigstens wichtige Mitarbeiter als Brücke zu behalten, um die Interoperabilität zu gewähren und durch den Ideenaustausch eine gegenseitige Befruchtung zu ermöglichen. Damit hätte Oracle auch gleich verlorenes Vertrauen gut machen machen können. Oracle denkt aber in Konkurrenz bzw. Wettbewerb und vergrault die Community damit noch mehr. Das verstehe ich einfach nicht.

Wer die grundsätzliche Art der Softwareentwicklung in einer Open-Source-Community verstehen will, dem empfehle ich den Klassiker auf dem Gebiet "The Cathedral and the Bazaar". Inzwischen ist man freilich schon wieder etwas weiter, aber die grundsätzlichen Regeln gelten immer noch: die (zeitweilige) Vielfalt der Entwicklungslinien ermöglicht eine breitere Akzeptanz. Die Ideen werden teilweise parallel erprobt, erhalten unmittelbares Feedback durch Beteiligung der "Kunden" während der Entwicklung, aber nicht Linien alle setzen sich durch. Das ist wie bei einem Basar bei dem alles bunt durcheinander zu gehen scheint und viele Dinge gleichzeitig und weitgehend unkoordiniert passieren. Beim Bau einer Kathedrale hingegen gibt es Architekten und genaue Pläne. Deswegen wird eine Kathedralensoftware auch irgendwann mal fertig, während Basar-Software nie fertig ist, sondern in kleineren Schritten immer weiter entwickelt wird.

Mittlerweile bauen aber immer weniger Firmen nach dem Kathedralenmodell Software. Dank agiler Vorgehensmodelle (z.B. Scrum) können einige gute Ansätze aus dem Basarmodell auch von Entwicklern in "proprietären" Softwareschmieden eingesetzt werden. Der damit einhergehende Verständniswandel von Softwareentwicklung und Beteiligten ist aber in den Köpfen der Oracle-Manager offenbar noch nicht angekommen…

18. Oktober 2010 um 20:15

SQL-PASS Franken: Treffen in der Meistersingerhalle

SQL-PASSUnd wieder ist es einen Monat her, dass wir uns zum Thema Hacker und SQL Server trafen. Diesmal wird es gigantischer: Das Treffen findet in der Meistersingerhalle anlässlich der Konferenzen "databasepro Powerdays" und "prio.conference" statt. Aber keine Sorge: Eintritt wird weiterhin nicht fällig. Erstaunlich? Aber wahr! Der übliche Apres-PASS findet auch dort statt.

OK, das Thema morgen lautet: "Business Intelligence-Dashboards mit SharePoint 2010". Hier die Beschreibung:

Sharepoint 2010 ist zu einem mächtigen Business Intelligence-Werkzeug herangewachsen. Zur Datenanalyse können die Excel-Services und PowerPivot für interaktive Pivottables sowie Sparklines in SharePoint integriert werden. Mit den PerformancePoint Services, früher ein eigenes Produkt, können BI-Dashbaords zentral in einem Portal zur Verfügung gestellt werden. So lassen sich beispielsweise Key Performance Indicators (KPIs) über mehrere Aggregationsstufen hinweg beliebig berechnen und grafisch darstellen.

Frau Fritsch wird in ihrem Vortrag anhand eines Business Intelligence-Cockpits zeigen, welche Möglichkeiten die Integration von Microsoft Business Intelligence-Anwendungen in SharePoint für Unternehmensleitung und Controlling bietet.

Referenten Information:

Frau Fritsch berät seit vielen Jahren Unternehmen beim Aufbau von Lösungen mit SharePoint. Sie unterstützt sie dabei für die verschiedensten Lösungsszenarien – angefangen von Mitarbeiterportalen über Lösungen zur effizienten Abwicklung von QM- und Dokumentenmanagementlösungen bis hin zu BI-Dashboards.

In ihren Schulungen vermittelt sie das kaufmännische, konzeptionelle und technologische Wissen zu SharePoint und unterstützt Unternehmen bei Projekten.

Der Termin ist am Dienstag, den 19.10.2010, ab 18:30 Uhr in der Meistersingerhalle Nürnberg (Münchener Straße 21).

Der Eintritt ist natürlich immer noch frei, auch Nicht-Mitglieder sind herzlich eingeladen. Bitte dennoch bei Michael Deinhard unter M.Deinhard(ät)newelements.de oder Klaus Oberdalhoff unter kob(ät)sqlpass.de anmelden, damit Ihr auch reingelassen werdet…

Mehr Infos hier.

18. Oktober 2010 um 18:50

Gezielte DAU-Ansprache als Kunden

Wer sieht sich selber gerne als DAU? Und wen spricht Werbung an, die religiöse Minderheiten in diesen Zusammenhang stellt? Das alles sind Fragen auf die MeinTelefonbuch eine Antwort hat. Den Text mit der Feature-Beschreibung lasse ich mal weg. Diese Werbung sah ich heute in der PC-Welt 11/2010:
Die Beschreibung ist sehr klein und unangenehm zu lesen. Der erste Absatz enthält ein paar Wörter anhand derer man gleich erkennen kann, ob man ein DAU ist, zum Bleistift: Messenger-Daten, Social-Network-Profile, Synchronisationsfunktion.

Ja, das ist Zielgruppen gerechte Werbung: Ein PC-Neuling lässt sich sicher gerne beschimpfen. Und ein Profi verwendet sicher gerne Software, die sich an Einsteiger richtet. Da merkt man, dass ich von Marketing keine Ahnung habe, denn ich verstehe es nicht… 😉

18. Oktober 2010 um 17:56

Strafanzeige gegen EasyCash: illegale Datenübermittlung?

Wegen einer weiteren Zimmerstreich-Aktion kam ich erst heute dazu die letzten Nachrichten zu sichten. Was ich da über EasyCash lese, lässt mich erschaudern: Wenn ein Unternehmen das 40% aller EC-Kartenzahlungen für Einzelhändler abwickelt diese Daten 2 Jahre speichert und dann zur Auswertung des Kaufverhaltens nutzt, dann sind wir ja wirklich fast im Überwachungskommerz angekommen:

Der Handelskette seien von Easycash Loyalty Solutions insgesamt 14 verschiedene Auswertungsformen angeboten worden, heißt es weiter, darunter das "Umsatzverhalten der Bestandskunden", eine "Messung der Passantenfrequenz aller Straßen im Umkreis von 5 km je Filiale" sowie eine "Liste der Unternehmen, bei denen die Kunden vor und nach dem Besuch des Marktes einkaufen". Das Angebot enthält laut NDR Info auch Hinweise darauf, dass EC-Kartendaten mit denen von Kundenkarten verknüpft werden sollten: Die Hamburger Firma biete der Handelskette an, auszuwerten, wie viel Geld Kundenkarteninhaber bei Konkurrenzfirmen ausgeben und "wie hoch der Anteil an Kunden ist, die im Kundenkartensystem inaktiv sind […], jedoch nach wie vor noch über EC-Karten einkaufen".

EasyCash bestreitet die Vorwürfe und überlegt nun die Journalisten zu verklagen. Unterdessen hat die nordrhein-westfälische Datenschutzbehörde – auf die sich der NDR als Informationsquelle beruft – Strafanzeige gegen Easycash gestellt.

Ich denke, dass schon die mehrjährige Speicherung von personen-bezogenen Kontobewegung verboten sein sollte. Davon ging ich bisher aus, aber das scheint ja sogar legal zu sein. Erst die Weitergabe der Daten scheint strafbar zu sein. Das halte ich für falsch: Wenn die Zahlung abgewickelt wurde, dann sollten die Daten gelöscht werden müssen. Ich werde jetzt mal darauf achten, ob man an den Kassen erkennen kann, ob EasyCash genutzt wird. Die Liste der Referenzkunden bei EasyCash ist jedenfalls nicht sehr ausführlich, wenn man bedenkt, dass angeblich 70 000 Firmen Ihre Zahlung über EasyCash abwickeln:

Zu den Unternehmen, die Paymaster in ihren Webshops nutzen, gehören unter anderem A.T.U Autoteile Unger, der Kino-Riese cinestar – der die Bezahlung in seinem Online-Fanshop und -Gutscheinshop über Paymaster abwickelt –, das Rocker-Shopping-Portal Deutschrock und die Internet-Anzeigenseite das Inserat.

Outdoor- und Trekking-Experte Globetrotter, die Seetours-Tochter AIDA Cruises, das berühmte Traditionsunternehmen Steiff und die erfolgreiche Tee-Kette Teegschwendner vertrauen dem Online-Zahlsystem von easycash ebenfalls.

Hier stehen noch ein paar: Siemens Casino Card, engbers, REWE, Volkswagen Bank, Tripsdrill, Robert Ley, WMF und die Polizei in Brandenburg.

Tja, da gibt es ja wohl kein entkommen. Aber was ist die Alternative? Bar zahlen, dauernd Geld abheben und immer ausreichend ausreichend dabei haben? Auch irgendwie nicht. Schon komisch, dass bei Google StreetView viele Politiker laut werden, aber bei dieser Art der Überwachung hörte ich noch keinen Protest seitens der Politik… Schade.

Weitere Details zu den Vorwürfen beim NDR und Heise-Online:

15. Oktober 2010 um 22:29

originelle Einladung oder blinder Alarm?

Neulich bekam ich eine besonders originelle Werbemail. Offenbar hatte der Bearbeiter vergessen den richtigen Text in die Vorlage zu setzen… 😉

Betreff: Herzliche Einladung zur 8. Innovator-Anwenderkonferenz Insight 2010 in Nürnberg

Wenn diese Nachricht nicht korrekt angezeigt wird, klicken Sie bitte:
http://news.mid.de/a.php?sid=13b5g.1t8dht,f=1,u=012f566c1f937b6e3acc745c1ab811a4,n=13b5g.1t8dht,p=3

DATUM 23.09.2010

Herzliche Einladung zur 8. Innovator-Anwenderkonferenz Insight 2010 in Nürnberg

Sehr geehrter Herr Glörfeld,

Ich bin ein Blindtext. Von Geburt an. Es hat lange gedauert, bis ich
begriffen habe, was es bedeutet, ein blinder Text zu sein: Man macht
keinen Sinn. Man wird hier und da aus dem Zusammenhang gerissen. Oft
wird man gar nicht erst gelesen.
————————————————————————

Ich bin ein Blindtext

Ich bin ein Blindtext. Von Geburt an. Es hat lange gedauert, bis ich
begriffen habe, was es bedeutet, ein blinder Text zu sein: Man macht
keinen Sinn. Man wird hier und da aus dem Zusammenhang gerissen. Oft
wird man gar nicht erst gelesen.

————————————————————————

Ich bin ein Blindtext

Ich bin ein Blindtext. Von Geburt an. Es hat lange gedauert, bis ich
begriffen habe, was es bedeutet, ein blinder Text zu sein: Man macht
keinen Sinn. Man wird hier und da aus dem Zusammenhang gerissen. Oft
wird man gar nicht erst gelesen.

————————————————————————

Ich bin ein Blindtext

Ich bin ein Blindtext. Von Geburt an. Es hat lange gedauert, bis ich
begriffen habe, was es bedeutet, ein blinder Text zu sein: Man macht
keinen Sinn. Man wird hier und da aus dem Zusammenhang gerissen. Oft
wird man gar nicht erst gelesen.

————————————————————————

Ich bin ein Blindtext

Ich bin ein Blindtext. Von Geburt an. Es hat lange gedauert, bis ich
begriffen habe, was es bedeutet, ein blinder Text zu sein: Man macht
keinen Sinn. Man wird hier und da aus dem Zusammenhang gerissen. Oft
wird man gar nicht erst gelesen.

————————————————————————

Impressum…

Wer denkt das wäre eine besonders originelle Vorlage, der hat sich noch nicht mit Blindtexten befasst.

PS: Die Veranstaltung war letztes Jahr echt gut, deswegen gehe ich wieder hin, aber nicht als Blindgänger… 😉

15. Oktober 2010 um 21:04

Linux, Apple und Android bei Microsoft

Die Lagerbildung findet tatsächlich nur noch im Marketing oder bei echten Betonköpfen statt. Als ich kürzlich bei einer Microsoft Veranstaltung war, nutzen die gerade nicht aktiven MS-Referenten Ihre Smartphones, um in der letzten Reihe E-Mails zu lesen, und die sahen nicht nach den alten Windows-Mobile-Möhren aus. Einige iPhones konnte ich erkennen und auch ein paar Samsungs. Im Microsoft Company Store stachen mir als erstes die Office-Pakete für MacOS ins Auge, aber auch alle Mäuse waren Mac-kompatibel.

Und nun lese ich, dass Microsoft Linux-Server einsetzt, offenbar allerdings schlecht konfiguriert:

Gut drei Wochen lang war Microsoft unfreiwilliger Gehilfe russischer Krimineller. Diesen war es gelungen, die Kontrolle über zwei Linux-Server auf dem Microsoft-Campus zu übernehmen. Anschließend setzten sie zumindest einen der beiden Server als ihren offiziellen DNS-Server ein. Insgesamt wurden darüber mehr als 1000 Websites verwaltet, berichtete The Register am vergangenen Dienstag.

Quelle: Menschliches Versagen – Microsoft unterstützte Spammer