[Metalab] neues [netznetz.net] -> neue abendunterhaltung, neuer hack

Thomas Klausner domm at cpan.org
Fri Mar 31 12:04:41 CEST 2006 

Hi!

On Fri, Mar 31, 2006 at 11:22:54AM +0200, Bernd Petrovitsch wrote:

> Wenn "offene Platform fuer verschiedene beiteiligte developerInnen"
> impliziert, da?? die Kiste drunter *inh??rent und/oder potentiell*
> unsicher ist, dann sollte man sie besser nicht ans Internet h??ngen (oder

Ein wenig historischer Background:

- Anfang August laedt parasew (5uper.net) mich ein, beim sog.
  SummerSprint mitzumachen, bei dem ein Prototyp fuer ein
  SocialSoftware-Voting-Geldvergabe-Dings entstehen soll
  Ein paar Tage Intensiv-Hacken in Payerbach/Reichenau (mit gratis Essen
  & sogar ein wenig bezahlung (mehr symbolisch) klingt nett, die
  Projektidee auch, ich fahr also hin.

- In Reichenau stellt irgendjemand eine Kiste hin, teilt das root-passwd
  aus (die Kiste haengt NICHT am Internet), und das happy hacking geht
  los.

- bzw zeigen sich bald div. theoretische Probleme (zB das immer noch
  ungeklaerte Person/Projekte/Lables-und-Punkte-Gewichtungs-Problem)

- wir werde nicht mal ansatzweise fertig (u.a. auch wegen einer sehr
  laestigen Darmgrippe, die fast alle Anwesenden ein paar Tage in die
  Knie zwingt)

- zurueck in Wien wird der Server ans Netz gehaengt (steht im uebrigen
  irgendwo im MuQua, relativ leicht zugaegnlich)

- Es war immer geplant, die fertige App entweder bei der Stadt Wien oder
  bei sonst jemand unbeteiligtem (Notar?) zu hosten.

- Im Dezember wird klar, dass die Stadt Wien zu teuer ist.

- Ausserdem wird beim Parliaments of Art das ganze (kaum vorhandene)
  Konzept wieder umgeworfen.

- Stress bricht aus.

...

und ab dann duerftet ihr es kennen...

Ich persoenlich find die ganze Security-Debatte eher uninteressant. Fuer
die Sicherheit des Servers zu sorgen ist nicht mein Job. Niemand hatte
Zeit/Interesse dafuer/daran. Also ist es, wie es ist.

Das mit dem XSS haett ich schon verhindern koennen (war mir auch
bewusst, dass das geht). Aber wenn man auf ein so bewegliches Ziel wie
Mana hinentwicklet, hat man definitv andere Sorgen (und ich dachte
schon, der ORF ist ein komplizierter Kunde...)

(Andererseits haett ich eh nur einen Filter im Input-Parsing aktivieren
muessen, der das JS raushaut. Hab ich nicht. Sorry.)


-- 
#!/usr/bin/perl                               http://domm.zsi.at
for(ref bless{},just'another'perl'hacker){s-:+-$"-g&&print$_.$/}

More information about the Metalab mailing list