PHP/CGI Sicherheitsproblem

Wie Heise gestern berichtete (http://www.heise.de/newsticker/meldung/Gefahr-durch-offene-PHP-Luecke-1567433.html) gibt es eine wunderschöne Sicherheitslücke im Bezug auf CGI und PHP. So führt der Aufruf:

http://localhost/index.php?-s

dazu das der Quellcode der Webseite ausgegeben wird. Das ist natürlich unpraktisch wenn dort Konfigurationsvariablen enthalten z.B. die Zugangsdaten für eine Datenbankverbindung. Zur Lösung des Problems gibt es drei Varianten:

  • PHP Version mit dem Bugfix einspielen
  • Rewrite Anweisung in die .htaccess
  • Wrapper welcher vor dem PHP-CGI aufgerufen wird

Die erste Variante scheidet aus, da der aktuelle Bugfix leicht umgangen werden kann. Die zweite Variante (einzutragen in eine „.htaccess“) sieht so aus:

RewriteEngine on
RewriteCond %{QUERY_STRING} ^[^=]*$
RewriteCond %{QUERY_STRING} %2d|\- [NC]
RewriteRule .? - [F,L]

Die dritte Variante setzt einen Wrapper vor den eigentlich Aufruf und filtert die entsprechenden Anweisungen heraus. Dazu ändert man in der „httpd.conf“ die Zeile:

Action  application/x-httpd-php /cgi-bin/php-cgi.exe

in

Action  application/x-httpd-php /cgi-bin/php-cgi-wrapper.exe

und startet den Apache Server neu. Der Quelltext des Wrappers sieht dabei so aus:

#include <process.h>

#define PHP_ORIG "php-cgi.exe"

int main(int argc, char **argv)
{
    if(argc>1) argv[1]=0;
    _execv(PHP_ORIG, argv);
}

Das ganze kann hier auch als fertiges Visual Studio Projekt oder gleich als ausführbare Datei heruntergeladen werden.

Weitere Informationen gibt es unter:
http://www.kb.cert.org/vuls/id/520827
http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/
http://www.heise.de/newsticker/meldung/PHP-patcht-schnell-aber-nicht-gruendlich-1567906.html

Panning auf Webseiten bei iOS Geräten verhindern

Auf iOS Geräten verschiebt sich die Webseite wenn man über ihr Ende hinaus scrollt. Dieses „Panning“ ist allerdings manchmal unerwünscht und soll deswegen abgeschaltet werden. Dies geschieht mittels:

document.ontouchmove = function(e){
             e.preventDefault();
}

Danach kann man nicht mehr über die Webseite hinaus scrollen.

Weitere Informationen gibt es unter:
http://stackoverflow.com/questions/3548014/how-to-disable-enable-then-disable-again-scrolling-in-ipad-iphone-with-e-preve

Wie viel Liter?

Da steht man vor seinem Aquarium und möchte/muss ganz spontan wissen wie viel Wasser sich in selbem befindet. Also wird mit dem Lineal nachgemessen, das Volumen ermittelt und spätestens dann festgestellt das man den Kies vergessen hat abzuziehen oder ähnliches. In diesem Fall hilft die Volumenberechnung welche unter http://www.zierfischforum.at/volumsberechnung.php zu finden ist. Neben dem einfachen Rechteckaquarium lassen sich auch Delta- oder Panoramaaquarien berechnen. Dort werden auch die Glasstärken, die Wasserverdrängung des Kieses und andere Dinge mitberechnet und einzeln ausgewiesen.

RSS Reader App für iOS

Auf Android benutzte ich die App „Newsrob“ um meine RSS Feeds zu lesen. Natürlich sollte sich diese auch mit dem Google Reader synchronisieren, damit man die gleichen Feeds nicht immer und immer wieder ließt. Nachdem ich für iOS einige Apps (unter anderem „Mobile RSS“) ausprobiert hatte, bin ich dann bei „Mr. Reader“ gelandet.

Mr. Reader in der Artikelübersicht

„Mr. Reader“ unterstützt dabei verschiedene Dienste wie „Read It Later“, „Readability“ und „Instapaper“ als Mobilizer. Daneben sind alle möglichen Dienste angeschlossen um Artikel „weiterzuleiten“:

  • Artikel per EMail
  • Buffer
  • Facebook
  • Instapaper
  • Read It Later
  • Tumblr
  • Twitter
  • URL kopieren

Daneben gibt es auch noch eine ganze Menge anderer Dienste welche auch unterstützt werden. Der Support funktioniert schnell und hilfsbereit. Wer also noch auf der Suche nach einer RSS Reader Anwendung ist, sollte sich „Mr. Reader“ anschauen. Das ganze kommt im übrigen aus Berlin ;)

Tieraufnahmen mal anders

Wenn man Tiere fotografieren möchte, so gibt es dazu sicherlich einige Wege. Problematisch wird es bei Tieren welche den Fotographen zum fressen gerne haben. Da böte es sich an (neben einem Teleobjektiv), die Kamera doch einfach auf ein ferngesteuertes Auto zu schrauben und dann mal ganz nah an das Tier heranzufahren. Und wie das immer so ist, gibt es so etwas wirklich. Es hört auf den Namen „BeetleCam“ deren Aufnahmen man sich unter http://www.burrard-lucas.com/beetlecam/2011-project/lion-cub-gallery ansehen kann. Ziemlich beeindruckend.