Wohnzimmerhostblogger

Heute mittag vermeldete Heise Online, dass der Apache-Webserver mit einem einzigen Computer außer Gefecht zu setzen ist. An dieser Stelle erst einmal vielen Dank an Benedikt für das "Bekanntmachen" des Links

Das Problem betrifft alle Apache-Versionen (1.3, 2.x). Wir konnten es recht schnell nachvollziehen und haben kurzum auch ein eigenes Tool zum Testen CVE-2011-3192 geschrieben (schlichtweg weil meine Perl-Installation keinen Fork-Manager hat) mit dem es sich auch reproduzieren ließ. Einen offiziellen Patch für Apache scheint es noch nicht zu geben, wenngleich auch einige Lösungsansätze in der Diskussion sind.

Sei es das Schützen des Webservers mittels SetEnvIf:

SetEnvIf Range (,.*?){5,} bad-range=1
RequestHeader unset Range env=bad-range

... LimitRequestFieldSize:

LimitRequestFieldSize 200

... mod_rewrite:

RewriteEngine On
RewriteCond %{HTTP:range} !(^bytes=[^,]+(,[^,]+){0,4}$|^$)
RewriteRule .* - [F]

... oder mod_header: 

RequestHeader unset Range

Alternativ lässt sich das Problem auch über ein zusätzliches Modul beheben, sei es über das, dass wir selbst heute geschrieben haben, oder ein relativ ähnliches von einem Apache-Entwickler.

Wir raten ein entsprechendes Apache-Modul zu benutzen oder das Problem mittels mod_rewirte bzw. SetEnvIf zu adressieren! 

Für einen Kunden schreibe ich gerade ein Angebot über ein wenig Netzwerk-Hardware zusammen. Ein Posten stand mit 1.339,- € in meiner Kalkulation.

Ich konnte nicht widerstehen und habe stillschweigend 2 Euro Rabatt gegeben.

Im Rechenzentrum braucht unser neues Linux-System 3 Sekunden zwischen Starten der virtuellen Maschine und dem per SSH erreichbar sein.

Unglaublich.

Bei uns ist momentan wahnsinnig viel im Umbruch - daher auch die geringe Anzahl an Blogposts in der letzten Zeit. Vieles an Software, die wir einsetzen oder in den letzten 8 Jahren (6 Jahre davon für tiggersWelt.net), ist mittlerweile obsolet - gerade wenn es um die eigenen Komponenten geht hat sich das Denken ein wenig weiterentwickelt und irgendwann kommt der Punkt, wo mal was neues her muss.

Bis dato haben wir auf unseren Servern stets auf eine "richtige" Linux-Distribution gesetzt, darauf aber immer Rückbau betrieben und unsere eigene Software bzw. selbst kompilierte Versionen drüber gespielt. Wenn ich gefragt wurde, was wir denn im konkreten einsetzen passte meist die Antwort "Was eigenes und den Kernel von Distribution X". So wirklich zufrieden gestellt hat mich das nie. Zumal es komisch ist, einen Server zu installieren und gleich wieder bestimmte Komponenten zu deaktivieren oder zu deinstallieren. Ein Build-System habe wir mittlerweile ohnehin vorzuweisen, also warum nicht auch die notwendigen Komponenten wie Kernel oder Compiler selbst bauen, ein wirklicher Overhead existiert hierbei nicht mehr und wir reden eigentlich auch nur von 6 zusätzlichen Software-Paketen.

So habe ich heute die Ehre den ersten "Release-Kandidat" unseres eigenes Linux-Betriebssystems zwischen den Fingern zu haben und testen zu dürfen und es ist toll: Sehr minimal gehalten, das Basis-System (ohne Webserver) kommt mit ca. 20 MB Arbeitsspeicher aus und bootet selbst über Netzwerk binnen weniger Sekunden. Das System konfiguriert sich voll automatisch (sofern gewollt) anhand bestimmter Parameter wie z.B. MAC-Adresse der Ethernet-Interfaces oder UUID den XEN- bzw. VMware-Gastes.

Ich bin mal gespannt, wann der erste produktive Server damit bestückt wird. Vermutlich wird das noch nicht direkt ein Kundensystem sein, sondern eher sowas wie der Server, der hinter unseren Webseiten (u.a. auch dem Blog hier) steht. Ich bin gespannt =)

Wir waren letzte Woche so frei ein schon länger geplantes Update für unser Webmail einzuspielen.

Neben einem ganz frischen RoundCube gibt es nun auch die Wahl zwischen Hastymail und dem als bekannten SquirrelMail. Auf der neuen "Startseite" gibt es nun nebenbei auch den passenden Link um das eigene Passwort anzupassen.

Im Augenblick bin ich richtig zufrieden aber gleichsam fühle ich mich auch schlecht.

Grund hierfür sind ein paar Preisverhandlungen, die ich im Hintergrund seit ca. einem Monat mit einem Marktbegleiter eines unserer Vorhändler geführt habe. Man hat sich dort richtig Mühe gegeben uns attraktive Konditionen zu machen und uns zum Fortgang von unserem aktuellen Dienstleister zu bewegen, da wir sowieso schon "recht sportliche Preise" (Aussage des neuen Dienstleister) bekommen, wurde sogar bis in die Firmenzentrale im europäischen Ausland telefoniert um die Konditionen für uns absegnen zu lassen. Da fühlt man sich doch gleich richtig geehrt!

Im Gegenzug hat man auch ein schlechtes Gewissen, denn einen langjährigen Geschäftspartner verlässt man nicht so ohne weiteres - und "langjährig" hat bei unserem Alter schon eine große Bedeutung. Drum torkelte ich eben wie ein trauriger Hund in ein Telefongespräch mit unserer Key Account Managerin nachdem ich sie heute morgen vorgewarnt hatte, dass wir ein Angebot mit besseren Konditionen vorliegen haben. Mein schlechtes Gewissen war endlos groß, denn ich war mir nicht sicher, wie sehr man uns bei ohnehin schon fairen Preisen entgegen kommen konnte.

Schlussendlich war es ein kurzes, aber auch sehr sympatisches Gespräch: Die Konditionen wurden postwendend nach unten korrigiert. Wow! Das ist (mit Verlaub) geil!
Ich verhandle grundsätzlich ungern über Preise - auch wenn ich es als Geschäftsmann besser tun sollte, aber ich weiß wie sehr ich mir manchmal ins eigene Fleisch für sowas schneide, da möchte ich es nicht noch bei anderen tun bzw. verursachen. Aber liegt ein Angebot mit besseren Konditionen vor, bin ich dazu gezwungen und es ist ja auch nur fair dem alten Anbieter gegenüber ihm die Chance zu geben uns als Kunden zu halten.

Mein nächster Anruf galt dann dem neuen Anbieter und schon wieder fühlte ich mich schlecht, denn dort hatte man sich bereits im Vorfeld redlich bemüht und ich hatte auch mit recht harten Bandagen gekämpft, doch den Sieg musste ich erst einmal absprechen (wobei ich wohlgemerkt vorgewarnt hatte, noch ein Telefonat zu führen). Man will sich dort nun noch einmal bemühen, wobei mich das Telefonat mit unserem aktuellen Dienstleister so euphorisch gemacht hat, dass ich dort kaum noch Chancen sehe...

Eigentlich sollte ich jetzt vermutlich voller Freude sein. Bin ich auch, aber wie eingangs erwähnt fühle ich mich in gleichem Maße schlecht. In diesem "Spiel" wird es mindestens einen Verlierer geben - und dafür fühle ich mich verantwortlich. 

Helferlein #2 erzählte mir gerade am Telefon, dass heute ein Feiertag ist. Woraufhin ich nur ein

Neeeeeeeeeeeeeiiiiiiinnnnnnn

durchs Büro rief. So ein Mist aber auch! Das erklärt so einiges und bringt meinen ganzen Tag durcheinander...

Ich bin ja ein bekennender gettext-Fan - intern arbeiten wir nur noch damit und schreiben neben dem Source-Code auch alle Programmtexte auf Englisch und übersetzen sie im Anschluss mittels gettext. Auch für WordPress schrieb ich ja einst einen Patch um von der dort verwendeten PoMo-Implementation wegzukommen. Da wir gerade für einen Kunden ein Wordpress installieren, mussten mir heute morgen zwei "TODO"-Einträge in meinem Code auffallen. Die hatte ich total vergessen.

Beide behandelten das Arbeiten mit sog. Kontexten (msgctxt). Mit Kontexten kann man noch einmal zwischen den Übersetzungen differenzieren - je nach Zusammenhang halt. gettext definiert hierfür u.a. die Funktion pgettext() und die ganzen Abarten wie z.B. dpgettext(). Nun besteht allerdings das Problem, dass z.B. die gettext-Bibliothek von PHP diese Funktionen (bzw. Makros) nicht bereitstellt und dementsprechend keine Kontexte zur Verfügung stehen - daher auch die "TODO"s in meinem Code.

Ich habe mir daher die Mühe gemacht einmal ein wenig im gettext-Source-Code zu stöbern und zu schauen, ob man das nicht irgendwie nachbauen kann. Man kann!

Im übersetzten Dictionary besteht der Lookup-Key aus dem Namen des Kontextes, dem ASCII-Zeichen 0x04 und dem eigentlich gesuchten Text. Diesen Key wirft man dann einfach gegen die gettext()-Funktion. Wichtig hierbei ist nur noch zu schauen, ob der Rückgabewert dem Eingabewert entspricht, denn dann sollte man nur den gesuchten Text zurück geben. In PHP sieht das in etwa so aus:

<?PHP

  function pgettext ($Context, $Text) {
    $lookup = $Context . "\x04" . $Text;
    $translation = gettext ($lookup);

    return ($translation == $lookup ? $Text : $translation);
  }

?>

Einen Tick komplizierter wird es beim Arbeiten mit der Plural-Version:

<?PHP

  function npgettext ($Context, $Singular, $Plural, $Number) {
    $lookup = $Context . "\x04" . $Singular;
    $translation = ngettext ($lookup, $Plural, $Number);

    if (($translation == $lookup) || ($translation == $Plural))
      return ($Number == 1 ? $Singular : $Plural);

    return $translation;
  }

?>

Man merke: Der Lookup-Key ist der Kontext und die Singular-Version des Textes, schlägt die Übersetzung "fehl" sollte - zumindest laut Source-Code von gettext - die Anzahl noch einmal in Betracht gezogen werden und der Rückgabewert dementsprechend gestaltet werden.

Soviel zur Dokumentation. Der Wordpress-Patch wurde in den Versionen für 3.1.2 und 3.1.3 bereits angepasst.

Gestern fragte ein Kunde bei Jabber/XMPP an, warum

Als ich heute morgen auf dem Weg zu meinem Frühstück war, schallte mir auf der Treppe ein "Hallo Bernd!" entgegen.

Verwundert guckte ich zu der entsprechenden Person auf und versuchte sie schnell zu erkennen - denn wenn jemand meinen Namen kennt, könnte man auch erwarten, dass ich seinen kenne. In dieser Situation brachte ich allerdings nicht mehr als ein "Kennen wir uns?" (und es war auch berechtigt, denn ich erinnerte mich wirklich nicht) heraus, was mir mit einem "Ja" beantwortet und prompt aufgeklärt wurde: Ich hatte diesen Menschen vor 2 oder 3 Jahren kennengelernt und mittlerweile ist er Kunde bei uns.

So fängt der Tag doch gut an: Persönlich einen Kunden treffen und Frühstück in den Händen tragen

Ich hätte ja irgendwie nicht gedacht, dass der Markt der SMS-Dienstanbieter so umkämpft ist.

Wenn ich aber die Anrufe von diesen Dienstanbietern der letzten Woche zählen wollte, würde ich mit meinen Händen nicht mehr ausreichend weit kommen. Daher: Liebe Dienstanbieter, ihr könnt mir gerne die Angebote direkt per E-Mail zuschicken, über die entsprechenden Staffeln können wir auch gerne reden. Am besten erwähnt ihr auch gleich, dass ihr diesen Blog-Post gelesen habt, dann steigen eure Chancen

Bis dahin ist es leider immer schwer unsere bereits bestehende und funktionierende (!!) Geschäftsbeziehung zu kippen.

Irgendwie lässt mir das Thema "Sicherheit im Webhosting" gerade keine Ruhe, das Mailing von gestern Abend drehte sich auch nur herum...

Wir haben eine Software entwickelt und in unser System integriert, die anhand einer CVE-Datenbank Verzeichnisse auf unseren Webserver scannen und erkennen kann, ob sich dort Software befindet, die mit bekannten Sicherheitslücken behaftet ist. In Zukunft sollen Kunden bequem auswählen können, ob die Software regelmäßig bestimmte Domains prüfen und Warnungen verschicken soll, wenn sie etwas findet.

Bis dahin brauchen wir noch ein paar Testfälle! Darum möchte ich mit diesem Posting Kunden suchen, die Webhosting bei uns haben und gerne mal Ihren Webspace durchgescanned hätten. Vorher aufräumen ist ungern gesehen, nachher (bei Bedarf) umso lieber
Wer Interesse hat, darf sich gerne per E-Mail bei mir melden.

Nachtrag (19:29): 5 Kunden getestet, 16 potentielle Sicherheitslücken auf 14 Domains gefunden - der Dienst ist mehr als nur notwendig. 

Wir haben heute Abend aus gegebenem Anlass ein kurzes Mailing an unsere Webhosting-Kunden verschickt.

Neben einer recht beachtlichen Anzahl der Rückmeldung a la "Ups, Danke für den Hinweis!" kamen gerade einmal 5 E-Mails mit ungültigem Empfänger zurück.
Ich hätte mir zwar gewünscht, dass es keine Rückläufer gegeben hätte, aber nimmt man mal die Anzahl der E-Mails, die wir da rausgeschickt haben, als Bemessungsgrundlage könnte man auch behaupten "es hätte keine Rückläufer gegeben". Finde ich super! Wir haben kürzlich für einen unserer Kunden ein Mailing mit ähnlichem Umfang abgewickelt - dort kamen 12% der E-Mails als Rückläufer zurück und waren somit eine echte Größe.

Sofern es meine Freizeit es in den vergangenen Wochen zuließ - und das war echt selten - habe ich mich daran gemacht einen abstrakten Gateway zu basteln, d.h. ich habe ein Stück Software geschrieben, das eine einheitliche API bereitstellt um einen IM-Gateway für XMPP zu bauen. Ich habe sowas ja schon mal für ICQ gebaut, das war mir aber zu sehr spezifisch bzw. zu wenig für andere Zwecke anpassbar.

Einen ersten Testfall habe ich gestern Abend bei einem schönen Glas Wein gleich mal ausprobiert:
Ich habe den Gateway gegen eine abart von Skype-Library laufen lassen und war doch prompt im Stande Präsenz-Informationen auszutauschen und über Skype zu chatten.

Bevor jetzt aber jeder schreit "Wir haben einen Skype-Transport!" - ein paar Nachteile hat die Sache dann doch: Ich kann mich nur mit "Skype for Business"-Accounts verbinden, "Skypen" bzw. Telefonieren geht natürlich nicht, es kostet Lizenzgebühren, die Zukunft von Skype ist ungewiss - besonders was das Linux-Umfeld angeht - und irgendwie fühle ich mich auch nicht sonderlich danach es Open Source zu machen. Es wird wohl mehr eine private Spielerei bleiben. Aber trotzdem erwähnenswert :) 

Vor zwei Jahren hatte ich es schon einmal hier im Blog:

Jabber-Präsenz API

Und es hat doch tatsächlich so lange gedauert bis ich mich dazu hab überreden lassen, es für alle Jabber/XMPP-Nutzer bei uns zugänglich zu machen.

Auslöser war wie so häufig das einfache Nachfragen eines Kunden, ob es sowas bei uns gibt und dann das herausfordernde "Geb mir kurz mal 10 Minuten" - und es hat tatsächlich nur 10 Minuten gedauert. Wesentlich anstrengender war es dann das ganze noch ins Wiki zu schreiben.