Hier nun Teil zwei der Wissenserhaltungsmaßnahme:
Was viele nicht wissen ist, dass man sich bei seinem Iserv-Server auch ganz bequem über die URL einloggen kann.
Man tippt in die Adresszeile seines Browsers einfach diese URL
http://dein-iserv/idesk/?login_act=vorname.nachname&login_pwd=tollespasswort
oder hier die Variante mit SSL:
https://dein-iserv/idesk/?login_act=vorname.nachname&login_pwd=tollespasswort
und schon ist man eingeloggt. Das mag zwar im ersten Moment sinnlos erscheinen. Es ist sogar gefährlich, da so das Passwort im Klartext im Verlauf des Browsers gespeichert wird. Doch führt man den Gedanken weiter, bietet es einem die Möglichkeit, relativ einfach eine Brute-Force-Attacke durchzuführen. Bei einem Brute-Force-Angriff wird versucht jede mögliche Kombination von Buchstaben, Zahlen und Sonderzeichen zu bilden und diese als Passwort zu verwenden. Dieser Vorgang ist jedoch sehr Zeitaufwendig und verspricht nur selten Erfolg. Ich sehe hier eigentlich keine großartige Schwachstelle in dem Idsek-System, denn die Passwörter müssen eine Mindestlänge haben und auch nicht in einem Wörterbuch vorhanden sein. Das macht den Idesk relativ sicher. Zum Glück. Aber ich finde es ist dennoch eine praktische Information. Vielleicht Programmiere ich irgendwann mal ein Programm, das den Umgang mit Iserv einfacher macht…
Ich distanziere mich natürlich von jedem Versuch, der unternommen wird Schaden an einem Idesk-System zu verursachen! Kiddys, wenn ihr “hacken” wollt, dann kann ich euch nur raten, lest euch erstmal das hier durch http://www.ccc.de/hackerethics?language=de.
In meinem alten Blog habe ich ein paar Artikel über das -nennen wir es mal- Content Management System meiner Schule geschrieben. Diese Beiträge zum allgemeinen Verständnis wollte ich dann doch nicht verkommen lassen. Deswegen gibt es hier, die überarbeitete Version von „Ist das wirklich alles; oder da muss doch mehr sein“
Das Erkennen von Sicherheitslücken ist meiner Meinung nach einer wichtigsten Punkte während der Produktionsphase einer Software, aber auch danach muss ständig Ausschau nach Sicherheitslücken gehalten werden. Es ist aber auch wichtig, das Benutzer über potentielle Gefahren informiert werden um das Schadensrisiko zu minimieren. Frei nach dem Motto, wer seine Fehler kennt, weiß mit ihnen umzugehen.
Deshalb denke ich, das es wichtig ist, den Menschen zu zeigen, das es nicht immer gut ist, ohne nachzudenken irgendwelche Programme, von denen man noch nie was gehört hat, aus dem Internet zu laden und zu installieren. Es ist wichtig, das Bewusstsein für Sicherheit im Internet zu stärken.
Jedoch ist es auch spannend versteckte Möglichkeiten und Verwendungszwecke in Programmen zu finden, die so vom Autor nicht gedacht waren. Richtig, denn mit vielen Programmen, kann man wesentlich mehr machen, als einem das normale Interface oder GUI weiß machen möchte. Auch hier ist es von großer Bedeutung, diese Möglichkeiten jedem Benutzer der Software zugänglich zu machen.
Als Beispiel bietet sich eben das CMS unserer Schule an. Wir haben wie viele andere Schulen auch ein Schulnetzwerk. Dieses Schulnetzwerk basiert auf der sich wohl in ferner Zukunft als Standard etablierende Software-Sammlung rund um die proprietäre “Iserv-Distribution”.
Doch viele der Benutzer wissen bei Weitem nicht alles. Sie sehen nur eine langweilige Oberfläche im Browser, vorzugsweise dem IE 7.0 und haben keine Ahnung, was man alles anstellen kann, wenn man nur will. Ich werde hier keine großartigen “Hacks”, oder auch “Hackzzzzz” oder anderen Kram zeigen, der Verboten ist. Außerdem möchte ich betonen, dass ich auf keinen Fall irgendwelchen Schaden anrichten möchte, oder den Server lahmlegen oder sondergleichen. Dazu reichen meine Kenntnisse in diesem Gebiet bei Weitem auch nicht aus. Dies sollte aber auch niemand sonst wollen.
Neulich hatte ich mal wieder eine ganz verrückte Idee. Wäre es nicht möglich, mit einem normalen Walky Talky Daten zu übertragen? Die Teile haben bekanntlich ja eine ziemlich große Reichweite und sind verhältnismäßig günstig. Dazu müsste man “nur” ein Walky Talky so umbauen, dass man mit der Soundkarte Töne in bestimmten Frequenzen und Längen senden kann. Diese würden dann vom Empfänger wieder in Buchstaben oder Daten umgewandelt. Soweit so gut. Aber nachdem ich dann Google gefragt habe, ob schon jemand vor mir diese Idee hatte, musste ich leider feststellen, dass schon jemand um 1960 die Idee hatte. Ein passendes Programm gibt es auch schon. Es nennt sich Packet Radio. Die Recherche ergab außerdem noch, dass es illegal ist, die Frequenzen die man mit einem normalen Walky Talky benutzen kann, für etwas anderes als Sprachfunk zu verwenden. Aber das soll mich nicht davon abhalten, mir Gedanken darüber zu machen, wie z.B ein Verbindungsprotokoll für so ein Vorhaben aussehen müsste. Es gibt ja sicherlich Frequenzen auf denen so was erlaubt ist. Sonst wäre Packet Radio auch verboten. Für diese Frequenzen brauch man dann wahrscheinlich eine Amateurfunklizenz. Also nochmal für alle zum mitschreiben, alle Ideen und Gedanken sind theoretischer Natur und man sollte nicht versuchen Funk-Frequenzen illegal zu verwenden.
Name: walkyfish-Protokoll
Probleme:
1.-schlechte Signalqualität und Rauschen erschweren die Auswertung des Signals
2.-es kann immer nur ein Teilnehmer zur Zeit sprechen
3.-durch “Fremdfunk” kann eine Kommunikation gestört werden
4.-jeder kann alles hören
Lösungsansätze:
0.-als Grundlage wird das UDP-Protokoll genommen
1.-es wird eine Prüfsumme mitgesendet um eine fehlerhafte Übertragung zu erkennen
2.-man könnte einen Zwischenspeicher einrichten, der sobald die Leitung frei ist, gesendet wird. So hat man zwar
nicht das Problem behoben, aber seine Symptome gelindert. Man könnte zu dem die Paketgröße sehr klein wählen um
zu verhindern, dass lange Wartezeiten auftreten
3.-das lässt sich leider nicht verhindern, aber die Prüfsumme könnte auch hier hilfreich sein
4.-man könnte zusätzlich zu der Prüfsumme auch eine Verschlüsselung implementieren, die es verhindert, dass
Teilnehmer die nicht das Passwort kennen Pakete entschlüsseln können. So könnte man gezielt mit bestimmten
Frequenzteilnehmern kommunizieren.
Soweit die Probleme und die ersten Überlegungen, weitere werden sicherlich folgen. =)
Gute Nacht.
So, morgen ist es so weit. Meine SmartFTP-Trial Version läuft ab und eine Alternative muss her. Eigentlich mag ich mein SmartFTP, aber kaufen will ich es dann doch nicht und Cracken kommt für mich nicht in Frage.
Doch welches Programm soll man nehmen?
FTP-Clienten gibt es ja wie Sand am Meer, aber ob die auch alle was taugen?
Ich werde einfach mal ein paar ausprobieren. Nach einer kurzen Suche mit Google wird mir Filezilla als Client angepriesen. Nach dem 3,61 MB großen Download läuft das Setup auch ohne Probleme ab und ich kann den Clienten starten. Nachdem dann alle Einstellungen wie Passwort, Benutzername und Server getroffen wurden kann ich mich problemlos einloggen und bekomme eine schöne Übersicht der Dateistruktur auf dem Server. Die Bedienung ist auch sehr intuitiv und alle Einstellungen sind leicht zu finden. Wobei ich sagen muss, das SmartFTP noch ein wenig übersichtlicher gestaltet war.
Nachdem ich so ein bisschen durch die Ordner navigiert bin, werde ich den Eindruck nicht los, dass FileZilla wesentlich schneller zwischen den Ordnern hin und her wechseln kann.
Fazit:
So, ich glaube an dieser Stelle muss ich erstmal gar keine Alternativen zur Alternative ausprobieren, denn Filezilla macht mich wunschlos glücklich. Deswegen ist Filezilla jedem zu empfehlen der ein paar Euros sparen möchte und dennoch einen super FTP-Clienten braucht.
Download Filezilla: http://www.filezilla.de/download.htm
Downlaod SmartFTP: http://www.smartftp.com/download/
Pünktlich zum ein tausendsten Besucher auf meiner alten Seite, wollte ich nun verkünden, dass moutfish doch ein Blog wird. Jetzt kann man sich natürlich fragen, warum und wieso?
Die ganze Problematik mit den Artikeln und was rechtlich nun erlaubt und was nicht, hat mich einfach genervt. Außerdem hab ich für den Webspace auch Geld bezahlt und wollte den auch gerne nutzen. Nun kann man sich denken:“Oh manno, schon wieder ein Blog? Gibt doch schon so viele!“ – richtig, das stimmt. Ja, es ist auch nur wieder ein Blog. Nein ich hab keine Ahnung, wie lange ich das durchhalten werde. Einen stark durchdachten Plan habe ich auch noch nicht. Jedoch weiß ich, dass hier weniger Beiträge privater Natur veröffentlicht werden, sondern eher welche die sich mit dem PC, Linux, dem Wardriven, Software und anderen Dingen rund um den Computer befassen. Es kann aber auch passieren, dass sich Artikel aus ganz anderen Sparten hier erscheinen.
Wieso ich das mache?
Das weiß ich selber auch noch nicht ganz so genau. Ich hab einfach ein starkes Bedürfnis mein (halb?)Wissen mit anderen zu teilen. Außerdem macht es mir mehr Spaß zu schreiben wie ich es will. Die alte Seite war so an einen formalen Schreibstiel gebunden, was für eine Person wie mich, die so eine Seite als Hobby betreibt, einfach nicht durchzuhalten war, weil es keinen Spaß gemacht hat. Mal schauen, wie lange ich es durchhalte zu bloggen, ist ja auch immer eine Frage der Motivation. Aber nun hab ich erstmal genug geschrieben. Es werden selbstverständlich alle alten Artikel von Moutfish.de übernommen. Die Mühe soll nicht umsonst gewesen sein!
Dies war ein „0815 ich muss mich für meinen Blog rechtfertigen Post“.
Schönen Tag noch =)
KategorienAllgemein Tags: Blog
