Author Archives: Linus Neumann

Patch: Urgent security fixes for Nextgen Gallery Public Uploader

2 Replies

The NextGen Public Uploader Plugin for WordPress allows users to upload images to the server. Of course, these are supposed to be moderated before publication. However, the moderation queue has grave security issues, as I had to learn the tough way:

Uploaded files are saved in /wp-content/gallery/galleryname/ or a similar path, which the malevolent user can easily find out by looking at the moderated & published images’ path. Unfortunately, this is a public directory, and no measures are taken to prevent the uploaded images to be distributed by the web server.

As the uploader knows the filename, they know the file’s complete URL under which the web server will be happy to serve files regardless of their moderation status. You can see where it goes from there. Think twitter or anonymous image boards.

I have written a quick patch that adds a random hash to the filename in order to prevent the uploader from bypassing moderation.

ngg-random-hash.patch can be downloaded here (applies to current version 1.6.).
Alternatively, you can just replace your /wp-content/plugins/nextgen-public-uploader/inc/class.npu_uploader.php with this version.

ATTENTION: This is only a quick fix. The following issues should be addressed additionally before I would even consider activating the plugin:

  1. The plugin should automatically make sure that there is an empty index.html file in the upload directory to prevent directory listing on poorly configured servers.
  2. The chmod-function should be used in oder to actively prevent access to unmoderated content instead of relying on security by obscurity.
  3. Uploader’s IP & timestamp of the upload should be documented in the database in a manner that allows for integration wordpress anti-spam function.

Until these issues are addressed, I have no other choice than to urgently discourage the use of this plugin.

Junge Union Wuhletal distanziert sich von Guttenberg

3 Replies

Um Karl Theodor zu Guttenberg wird es immer einsamer. Nicht nur nahm kaum jemand an pro-Guttenberg Demonstrationen am Wochenende teil, nein, es kommt noch schlimmer:

Die Junge Union Wuhletal distanziert sich sogar ausdrücklich von Solidaritätskundgebungen pro Guttenberg:

Das dort gezeigte Banner, welches u. a. die Aufschrift “Junge Union Wuhletal” enthält, ist kein Erzeugnis unseres Kreisverbandes und wurde nicht von unseren Mitgliedern und auch nicht in unserem Namen präsentiert.

Hier noch ein Vollbild-Screenshot.

Whistleblowing: die Frage ist nicht ob, sondern wie

Leave a reply

Für die Heinrich-Böll-Stiftung habe ich über die Veranstaltung “Whistleblowing, WikiLeaks und die neue Transparenz” geschrieben. Es ging um den Versuch, ethische Richtlinien für das Whistleblowen und Leaken zu formulieren (bzw. warum das nicht möglich ist), um Verantwortung für die Veröffentlichungen und – ein Thema das meist vergessen wird – Schutz für Whistleblower.

Die Diskussion zwischen Constanze Kurz, Daniel Domscheit-Berg und Konstantin von Notz war insbesondere deswegen sehr erhellend weil Details über die neue Plattform Openleaks bekannt wurden, die auch für Nahestehende eine Überraschung waren.

zum Artikel “Whistleblowing: die Frage ist nicht ob, sondern wie”.

zu meinen bisher 38 Leaking-bezogenen Artikeln bei Netzpolitik.org (Stand heute, ich war selber überrascht über das Suchergebnis)

Und, weil ich es besonders wichtig finde, hier geht es zum Bradley Manning Support Network.

Rechtsfreie Zone Internet

5 Replies

In Eurowebs jüngster Pressemitteilung wird ein Ausschnitt meines Impressums zitiert. Jörg Olaf Schäfers setzt das unvollständige Zitat bei Netzpolitik.org wieder in den rechten Zusammenhang. Hier der relevante Ausschnitt:

[…] Vielmehr wollte das Unternehmen auf die zum Teil dreisten Ansichten einiger Markteilnehmer im Internet öffentlichkeitswirksam aufmerksam machen. Denn die Gleichgültigkeit einiger kennt kaum Grenzen. So findet sich zum Beispiel im Impressum eines Blogs die Aussage:

Sie planen eine Abmahnung? […] darauf hinweisen, dass bei mir absolut nichts zu holen ist, und ich nur auf einen willkommenen Grund warte, in den Genuss der Freiheit zu kommen, die mit einer Privatinsolvenz einhergeht […] „.

Auch der ehemalige Inhaber der Domain nerdcore.de zeigte eine erschreckende Gleichgültigkeit, als er trotz mehrmaliger gerichtlicher Beschlüsse die Regeln des Rechtsstaates vorsätzlich ignorierte. […]

Hierzu stelle ich fest: Das Zitat ist aus dem Zusammenhang gerissen. Der vollständige Text lautet:

Sie sind mit dem Inhalt dieses Blog nicht einverstanden, fühlen sich verleumdet, oder ihre Rechte verletzt? Bitte melden Sie sich doch bei mir. Ich räume Ihnen mit großer Freude das Recht zur Gegendarstellung ein, und werde nachweislich falsche Behauptungen im Interesse meiner geeehrten Leserinnen und meines tadelloses Leumunds umgehend entfernen und/oder korrigieren. Es könnte theoretisch sogar sein, dass ich mich bei Ihnen entschuldige, denn mehr als ein bisschen ärgern will ich Sie sicherlich nicht, geschweige denn, Ihnen finanziellen, psychischen oder gar physischen Schaden zufügen.

Sie planen eine Abmahnung? Im Moment ist dies eine moderne Methode, schnelles Geld zu machen, und ich kann Ihnen das nicht verübeln. Jedoch sollte ich Sie darauf hinweisen, dass bei mir absolut nichts zu holen ist, und ich nur auf einen willkommenen Grund warte, in den Genuss der Freiheit zu kommen, die mit einer Privatinsolvenz einhergeht. Im Sinne einer rationalen und schnellen Problemlösung scheint mir Option I, der höfliche Kontakt, eine bessere Wahl. Man behauptet manchmal von mir, man könne besser mit mir reden, als man erwartet habe.

Ich wehre mich entschieden dagegen, meine Abmahnungskritische Position, in der ich mich für gütliche Einigungen ausspreche, von Euroweb durch verfälschendes Zitieren instrumentalisieren zu lassen.

Ich habe Euroweb aufgefordert, mir das Recht zur Gegendarstellung einzuräumen.

Infos zu Euroweb, Webstyle, Viscomp, Maxclip, Maxworker & European Website Company

5 Replies

Die Firma Euroweb, zu deren Unternehmensgruppe auch die Firmen Webstyle, Viscomp, Maxclip, Maxworker, sowie die  European Website Company gehören, ist regelmäßig in den Medien, weil ihre Kunden sich betrogen fühlen.

Gerade ist das Interesse an der Firma wieder entflammt, weil die Domain des Blogs nerdcore von Euroweb im Rahmen eines Rechtstreits gepfändet wurde. Bei Nerdcore wurde zuvor mehrmals Kritik an der Geschäftspraxis geäußert.

Informationen über die Firmen sind  rar, weil nur wenige Blogger sich noch trauen, darüber zu berichten – und ein nicht vernachlässigbarer Teil der Berichterstatter geäußert hat, schon seine Abmahnung kassiert zu haben oder anders dazu bewogen worden zu sein, die Beiträge zu entfernen. Im Lichte der jüngsten Ereignisse tauchen aber wieder neue Berichte auf, die noch nicht aus dem Netz geklagt worden sind:

Eine große Sammlung an kritischen Schriften gibt es bei konsumer.info.

Hier findet sich ein nicht verifizierter Insider-Bericht einer anonymen Person, die sich als ehemaliger Vertreter für die Firma ausgibt. Und hier apelliert Robert Basic an den gesunden Menschenverstand der Kunden. Beides sehr lesenswert.

Vorsicht bleibt geboten:  Was zu gut klingt, um wahr zu sein, ist nach Vertragsunterzeichnung zu wahr, um gut zu sein.

CC-Video: Der digitale Briefumschlag

8 Replies

John F. Nebel und ich haben uns ohne jegliche filmerische Erfahrung daran begeben, ein kleines Lehrvideo zu basteln, das das Prinzip von Email-Verschlüsselung erklären soll. Wir hoffen, damit unseren Beitrag zur Verbreitung von GPG leisten zu können.

Dank der Erstveröffentlichung auf Netzpolitik.org hat das Video in wenigen Stunden sehr viel mehr Click erlangt, als wir es uns erhofft hatten. Jetzt muss die Crypto-Charme-Offensive weitergehen. Wie einige Leser in den Kommentaren bemerken: Das Crypto-Setup ist immer noch zu kompliziert für den Massenmarkt. Das soll sich ändern. Ich pflege ja schon seit einiger Zeit hier die GPG easy install scripts, jedoch muss ich mir wohl eingestehen, dass shellscripts vielleicht nicht die Idealvorstellung von Nichtnerds in Sachen Usability sind.

Deshalb hier unser Aufruf an die Communities und an begabte Hacker, die uns helfen wollen: Das Ziel soll kein anderes als one-click-install inkl. Key-Generation, Plugin-Installationen, Upload der Keys auf den Keyserver, Backup der Keys usw. sein. Für alle Plattformen. Dazu brauchen wir natürlich auch noch viel, viel mehr Propaganda.

Also, meldet euch bei uns, wenn ihr Lust habt, irgendwas beizusteuern. Crypto is sexylf-evident.

Das Video ist unter CC-BY-Lizenz und wir würden uns freuen, wenn ihr helfen würdet, es zu verbessern und zu verbreiten. Große Freude würde es uns auch bereiten, wenn ihr durch eine Übersetzung für die gute Sache der Krypto eintreten wollt. Dazu findet ihr hier die IT-Version. Wir haben zum Beispiel schon einmal eine alemannische Version eingesprochen:

Ein kleines bisschen statistischer Hintergrund zur ARD/ZDF-Onlinestudie 2010

2 Replies

Das folgende ist eine Ergänzung zur Zusammenfassung der ARD/ZDF-Onlinestudie, die ich drüben bei Netzpolitik.org gepostet habe.

Auffällig ist, dass die Stichprobe 2010 mit 1.806 Personen nur noch ein Bruchteil der der Stichprobe von 1997, die mit 15.431 Personen die bisher größte war, ausmacht – obwohl sie nun einen größeren Bevölkerungsanteil abdeckt: Diese Mal wurde nicht nur die deutsche, sondern die gesamte deutschsprachige Bevölkerung über 14 Jahren mit aufgenommen (ca. 70,57 Mio Menschen), weshalb gerade der interessante Vergleich mit den Vorjahren mit Vorsicht zu genießen sei. Das ist eigentlich kein Problem, sondern eher interessant: Man nimmt für die Veränderungswerte einfach nur den “deutschen” Anteil, und kann durch diese Trennung direkt auch schön ausweisen, welchen Effekt die Aufnahme der deutschsprachigen hatte. Das tun die Autorinnen auch an einigen Stellen, jedoch nicht generell – vermutlich, weil sie wissen, dass ihre Stichprobe dafür dann doch ein bisschen klein geraten ist.
Continue reading

Another little “fix” for WordPress’ flattr-Plugin (untitled posts)

2 Replies

If you decide to publish a post without title, it will be un-flattr-able using the flattr-Plugin for WordPress, as the flattr-API cannot (yet?) deal with an empty title.
Possible solutions equal those I described for the empty-excerpt-problem.

1. Give the post a title – like you should have done in the first place.

– OR –

2. ‘fix’ the plugin by pasting the following code in line 179 of flattr. php (Version: 0.9.11):

// In case post has no title...
if (strlen($cleaner($params['title'])) < 1) { $params['title'] = "Untitled Post"; }

This will give untitled posts the title “Untitled Post” if you really insist on publishing untitled posts.

a little bugfix for the flattr-plugin for WordPress (Errors occuring for image or video only posts)

3 Replies

Update: Here’s another little fix for untitled posts

So, I decided to install the flattr-plugin for WordPress.
In settings, I decided my general category for posts is written/text – because it usually is.

I’ve been running this blog for longer than flattr exists, so a total of 323 posts was now equipped with flattr-Buttons. Among these were posts that did not contain any (or just very short) text, but only videos or images. For these, the flattr-Button looked like this:


not good. Fix needed.

This “Error” was due to the labeling as “text”, which causes the plugin to try to create an excerpt for flattr. This, of course, fails. The ‘fix’ for that would be labelling image- or video-only posts appropriately. I am too lazy for that, though. I promise to label my future posts correctly, but I will not work through all my past posts.

So, here’s the fix. In case the excerpt is shorter than 10 characters, this will fill in “This post is textless.” as the excerpt, and the button renders just fine, as you can see here.

Download flattr.php fixed Version
Download flattr Plugin patch
(cd to directory flattr, then do ‘cat /Path/to/flattr.patch  | patch -p1

or do it manually:

1. Open flattr. php (Version: 0.9.11)
2. in line 283 (just before ‘return $excerpt;’), enter:

// If excerpt can not be created because there is no text content
if (strlen($excerpt) < 10)
{
$excerpt = "This post ist textless.";
}

Note: This is of course not perfectly the intended use, as flattr.com apparently wants quite detailed information on what people are looking at and flattr’ing. You have to decide, how much information they need. Apart from that, I believe this little patch is still useful if for any other reason the creation of an excerpt fails, and adds to the stability and fail-safe-ness of the plugin.

Ein Torrent mit Facebook-Daten

9 Replies

UPDATE 23:31h: Da es offensichtlich Missverständnisse gibt: ICH habe den Crawler nicht selber geschrieben! Ich verlinke Ron Bowes von Skull Security. Bitte auch an IHN wenden, wenn ihr ihm helfen wollt!

Da ich ja selber nicht bei Facebook bin, muss ich mir ja überlegen, wie ich trotzdem an die ganzen Daten komme. Ron Bowes hat ein bisschen gecrawlt und das Ergebnis als Torrent bereitgestellt.

Die 2.8GB enthalten:

  • die URL jedes suchbaren Facebook Benutzerprofils
  • den Namen jedes suchbaren Facebook-Nutzers (unique und nummeriert, perfect  zur Datenaufbereitung)
  • verarbeitete Listen, darunter Vorname mit count, Nachname mit count, potentielle Nutzernamen mit count… (leider weiß ich nicht genau, was “count” im Facebook-Universum bedeutet. Dazu müsste ich mir die Daten erst einmal ansehen. Zum Beispiel mit R. Ich vermute aber, dass es die Anzahl der Freunde bezeichnet. UPDATE: Es bezeichnet die Häufigkeit des jeweiligen Namens)
  • das Script zum Crawlen

Als nächstes sollen dann auch die Freunde der suchbaren Nutzer indiziert werden, damit man auch wirklich alle Personen hat. Dazu wird natürlich exponentiell mehr Bandbreite benötigt. Wer solche hat, und einen ssh-Zugang bereitstellen will, kann beim crawlen helfen. Wer nur mal gucken möchte, findet hier den Torrent.

PS: Die Daten sind nicht wirklich soooo besonders privacy-relevant. Ihr habt das ja alles so eingestellt…? Sie helfen nur der kleinen ideologisch verblendeten Minderheit ohne Facebook-Account ein bisschen an der “XXX ist jetzt bei Facebook. Melde dich bei Facebook an, um dich mit XXX zu vernetzen…”-Seite vorbei.

UPDATE 28.07.10 – 12:30h: Ich habe jetzt ein bisschen mit den Daten herumgespielt. Mein erster Eindruck hat sich bestätigt: Besonders privacy-relevant sind sie nicht. Entgegen meiner ersten Vermutung kommt man auch nicht den Startseiten vorbei, man kommt nur schneller dorthin. Ron hat im Prinzip die ‘interessantesten’ Analysen schon gemacht: Wie häufig sind welche Vor-/Nachnamen? Interessant würde es erst, wenn sich die Netzwerk-Daten mit erfassen ließen. Da wäre auch eine teilweise Erfassung schon aufschlussreich.

Was seine Methode ausmacht, ist eher die Effizienz, mit der sie die Daten gesichert hat, denn die numerischen IDs sind nicht fortlaufend.

Der nächste naheliegende Weg, den Infopool zu vergrößern, wäre nun mit den numerischen IDs der URLs (http://www.facebook.com/people/-Aab-Abby-Abswift/100000682157768) über http://graph.facebook.com/100000682157768 noch das Geschlecht und das locale-Setting abzugreifen. Die werden da sehr parser-freundlich dargestellt, ich denke aber, dass Facebook nach nicht allzu vielen Zugriffen darauf von einer IP selbstverständlich blocken wird – hat es schon jemand probiert?

PPS: Zum Thema noch Alexander Lehmanns aktueller Facebook-Film für Extra3.

Der Kampf um die Zukunft der Idee

1 Reply

Digitale Vernetzung verändert nicht nur Informationsaustausch, Öffentlichkeit und Privatsphäre, sondern entzieht auch etablierten politischen und wirtschaftlichen Struk- turen die Grundlage. Aktuelle Debatten über die Regulation des Netzes zur Krimina- litätsbekämpfung sind ein Aufbäumen tradierter Herrschaftsverhältnisse in dem Versuch, das dezentrale Netz einer zentralen Kontrolle zu unterwerfen, um strukturelle Macht zu bewahren und zu stabilisieren. Die Einschnitte werden als konsensfähige Schutzmaßnahmen, z.B. gegen Terrorismus und Kindesmissbrauch inszeniert, bleiben allerdings wirkungslos sowohl im Hinblick auf ihr angebliches, als auch ihr tatsächliches Ziel.

Der Kampf um die Zukunft der Idee (1MB .pdf, 20 Seiten)

Fixed: GPGmail Snow Leopard Update 10.6.3

4 Replies

If you are using GPGmail and experiencing Problems after the  Mac OS X Update to 10.6.3 as of March 30, 2010, download this file and copy it to ~/Library/Mail/Bundles to fix the error message (something like -[MimePart getNumberOfAttachments:isSigned:isEncrypted:]: unrecognized selector sent to instance 0x11b200f60) occuring when decrypting Emails. Enjoy.

“Im Kleinen sind wir sehr lebendig” – Feature über Marxloh im Deutschlandradio

Leave a reply

Gerade kam im Deutschlandfunk das Feature “Im Kleinen sind wir sehr lebendig” – der Anfang hat mich sehr gefreut, denn auch ich habe einmal (kurz) in Marxloh am Pollmann-Eck gewohnt.

Leider driftet das Feature im Verlauf etwas auf die von der Merkez-Moschee absolut unabhängigen Probleme der katholischen Kirche Marxloh bei der Opfer-Akquise ab, die ja überhaupt nichts mit Marxloh zu tun haben. Diese Probleme hat die Kirche zu Recht überall in Deutschland, und das ist auch gut so. Klar, dass man da mit ein bisschen Neid auf die gut besuchte Moschee nebenan schaut – die wie die Kirche Manifestation einer rückständigen Gesellschaftsordnung ist, aber paradoxer-, jedoch unnötigerweise auch Symbol für die “Toleranz” “der Marxloher”.

Denn neben all dem Gefasel von “Enklave”, “die Menschen sind hier ohne wegzuziehen in die Fremde geraten, […] haben ihr innere Beheimatung verloren.” und “Sie sind hierher gekommen, und Sie müssen sich integrieren”, lässt sich in Marxloh eine Welt erkennen, wie sie nunmal sein sollte. Eine, in der die Menschen sich nicht über so einen Unsinn wie Religion zerstreiten, sondern sich auch mal für “die anderen” interessieren, um sie besser zu verstehen – sei es auch notgedrungen.

Schade, dass man das als das “Wunder von Marxloh” bezeichnen muss, und nicht als schlichte Selbstverständlichkeit. Hier geht’s zum dennoch hörenswerten Feature.

(Als schlichte Selbstverständlichkeit versteht aber hoffentlich jede(r) den Protest gegen die Deppen von ProNRW.)