Stellwag.eu

Endlich ist es soweit und Typo3 ist in der Version 4.0 freigegeben. Und ich dachte schon, die Release Candidates (RC) nehmen kein Ende mehr . Wenn ich etwas Zeit neben meiner Diplomarbeit finde, werde ich die neue Version nochmal ausgiebig testen!

Seit vorgestern steht der 2. Release Candidate (4.0rc2) von Typo3 4.0 zur Verfügung. RC2 wartet mit diversen Bugfixes auf sich. In spätestens einer Woche soll das Release erscheinen. Typo3 4.0rc2 kann hier heruntergeladen werden.

Wie ich gerade auf ContentSchmiede gelesen habe, ist Typo3 4.0 RC1 gestern freigegeben worden. Das OpenSource ECMS (Enterprise Content Management System) wartet mit vielen Verbesserungen auf sich, wie man aus dem ChangeLog unschwer erkennen kann.

Bereits vor einigen Wochen hatte ich die Version 4.0beta2 auf typo3.6c696e7578.de angetestet.

Lt. einem Advisory des Neo Security Team lässt sich WordPress (DE) 2.0.1 und ältere Versionen für Cross-Site-Scripting-Attacken missbrauchen. Dabei findet JavaScript in Kommentaren Verwendung. Anfällig sind alle WordPress-Installationen, bei denen Kommentare nicht moderiert werden.

(Weitere Informationen auch bei Heise.)

UPDATE 2006-03-02 13:15:
Ich habe gerade die sicherheitsrelevanten Zeilen in wp-comments-post.php geändert. Da es z.Z. noch keinen offiziellen Patch gibt, überschreibt einfach die bestehende PHP-Datei im root-Verzeichnis (“/”) durch den Patch (2.0.1.1). Danach stehen dem Kommentator keine HTML-/JS-Tags mehr in der Kommentarfunktion zur Verfügung.

ANMERKUNG 2006-03-02 14:23:
Wenn – nach dem Einspielen des obigen Patches – ein solcher Exploit versucht wird, wird dieser zwar als Kommentar, entsprechend mit gequoteten Sonderzeichen, in die Datenbank geschrieben, taucht aber weder im FE, noch im BE auf! Also ab und zu mal in die Datenbank mittels z. B. phpmyadmin schauen .

UPDATE 2006-03-02 19:20:
Jetzt habe ich _alle_ sicherheitsbedenklichen PHP-Files gepatchet und entsprechend kommentiert. Die alten Files müssen einfach nur mit denen im Patch (2.0.1.2) enthaltenen, neuen Dateien (18) überschrieben werden. Das ist alles, der obige Patch 2.0.1.1 ist auch in 2.0.1.2 enthalten. Weiteres Customizing ist nicht notwenig! (PATCHED & TESTED BY STELLWAG.US)

UDPATE 2006-03-02 20:41:
Bei den obigen Patches 2.0.1.{1,2} wurden aufgrund folgender Zeilen Umlaute defekt dargestellt.

Der Patch 2.0.1.3 behebt diese Unstimmigkeit mit Hilfe der Verwendung von htmlspecialchars(). Alle oberen Bugfixes sind im 2.0.1.3er auch enthalten . Danke an WolliW für den Hinweis!

UPDATE 2006-03-02 21:24:
So, jetzt funktioniert es aber! Weitere Informationen weiter unten . Kumulativer Patch (2.0.1.4).

Man kennt es noch, das lästige Georgel des vergangenen Jahrtausend! Auf unspektakulären, privaten Homepages blinken duzendweise GIF-Bilder und eine krebserzeugende “Musik” ertönt im Hintergrund. Aber warum hat man diese Vorstellung immer so negativ im Hinterkopf?

Nun gut, die blinkenden GIF-Bilder kann man noch verstehen! Das liegt einfach an der Reizüberflutung, die dadurch ausgelöst wird . Aber warum keine “angenehme”, zum Thema passende Hintergrundmusik in die eigene Homepage integrieren? Warum eigentlich nicht?!

Ich habe mir gedacht, ich integriere so ein Feature einfach mal auf meiner Blog-Seite, um zu sehen, was man/frau so darüber denkt. Mein Ziel ist es, die alten Vorstellungen dieses Features zu widerlegen und zu zeigen: “Es geht auch anders!”

Deswegen hab ich mir erlaubt ^^ einen kleinen Flash-Player rechts unten zu implementieren, der automatisch eine GEMA- und lizenzfreie MP3-Hintergrundmusik abspielt. Auf Wunsch kann die gestreamte Musik natürlich auf Knopfdruck deaktiviert werden. Und in Zeiten von Breitband-Internetverbindungen sollte auch die Größe kein Problem sein .

Mich würde mal das Feedback interessieren. Schreibt hemmungslos (als Kommentar oder Ping-/Trackback) hier rein, was euch daran (nicht) gefällt! Ich bin gespannt!!!

UPDATE 2006-02-23 17:15:
Dank der Feedbacks habe ich die Hintergrundmusik jetzt default auf OFF gestellt.

Jetzt wo ich ein bisschen Erfahrungen sammeln durfte, möchte ich diese natürlich niemanden vorenthalten. Darum heute die Antwort auf die Frage:

Ist Serendipity wirklich besser als WordPress?

Zuerst möchte ich einmal auf die Versionen eingehen, die hier verglichen werden. Bei WordPress habe ich z.Z. die Version 2.0.1 im Einsatz, was die gerade aktuelle darstellt; während ich bei S9Y 0.9.1 im Koffer habe. Es gibt von Serendipity zwar schon die Version 1.0, allerdings handelt es sich hierbei um die erste Beta-Version, die ich mir nicht antun wollte .

Zuerst einmal möchte ich WP unter die Lupe nehmen. Hier liegen die Vorteile klar auf der Hand:

• Aufgeräumtes BE – verstärkt nochmals durch das Adminitration-Design: Tiger
• Mehr Plugins als bei S9Y
• Eine sehr große Community
• Erstellung von normaler Websites möglich (CMS-Funktionalität)

Die Nachteile sind allerdings auch nicht weit her:

• Wenig Themes und Plugins werden standardmäßig mitgeliefert.
• Relativ umständliche Integration von Plugins.
• Posts können nicht explizit in Vorschau und erweiterten Eintrag aufgeteilt werden.
• Umständliche Integration von Bildern in den RTE-Editor.
• Trackback-Links müssen manuell angegeben werden.

Bei S9Y sind die Vorteile vielleicht erst auf den zweiten Blick erkennbar, aber spätestens wenn man ein paar Posts geschrieben hat, weiß man, was man an Serendipity hat:

• Viele Plugins und Themes werden standardmäßig mit der Distribution ausgeliefert.
• Die Mediendatenbank ist eng mit dem RTE-Editor verknüpft. Über eine Art Assistent lässt sich darin fast jedes Medium einfachst integrieren.
• Trackback-Links werden automatisch erkannt.

Doch selbst S9Y hat durchaus seine Macken und Mängel:

• Die automatische Trackback-Link Erkennung funktioniert manchmal nicht .
• Rare Informationen über das System
• Keine Erstellung von “normalen” Web-Seiten möglich
• Keine Verwaltung einer Blogroll mgl. Es gibt allerdings Workarounds, die jedoch nicht das Gelbe vom Ei sind

Fazit:

Auch wenn vieles Geschmackssache ist, haben S9Y-Bloger IMHO ein besseres Blogger-Leben . Allerdings nehmen sie die beiden semantischen Tagebuch-Systeme, des neuen WWWs 2.0, nicht viel! Mein Traum wäre auf jedenfall eine Kombination aus beiden Systemen.

Nachdem ich auf dem Webspace von 6c696e7578.de nur ein memory_limit von 8M habe, Typo3 aber mindestens 16M des guten Arbeitsspeichers fordert, bin ich nur auf Serendipity (S9Y) umgestiegen – sozusagen!

Ich habe mir gedacht, ich realisiere alles in Form eines Weblogs, angefangen vom Impressum bis hin zu den Howtos.

Weiterführende Informationen:

• 6c696e7578.de (ONLINE)
• stellwag.us (The Never Ending Story: Typo3 and Safe-Mode)
• stellwag.us (6c696e7578.de erreichbar!)
• stellwag.us (Blog-Gemeinschaft inspiriert 6c696e7578.de)
• stellwag.us (echo linux|hexdump -C|awk ‘{print $2$3$4$5$6}’.de)

Immer wieder das elendige Problem mit Typo3 und dem Safe-Mode! Generell würde es ja keine Probleme machen, diese Kombination, wenn wenigstens die Ownerships der angelegten Dateien/Ordner korrekt erstellt werden würden (oder man wenigstens das Recht hätte, den Owner zu ändern).

Ich habe akut das Problem bei meinem Webhoster shop-hosting.info, dass dieser standardmäßig PHP4 mit ‘–enable-safe-mode’ seine Hosting-Pakete ausliefert. Auf Anfrage bekomme ich den Safe-Mode jetzt deaktiviert (und mod_rewrite noch aktiviert ). Hoffentlich dauert es nicht so lange…

An folgender Monats-Statisitk kann man erkennen, was WordPress für einen Einfluss auf das Blogging-Verhalten hat:

Daran sieht man auch, dass die Anzahl der Blog-Einträge pro Blogtag (ein Tag, an dem min. 1 Beitrag publiziert wurde) ziemlich konstant ist – jedenfalls über das kumulierte Monat gesehen! Im Dezember 2005 war der schwächste und im Januar 2006 der stärkste Monat. Der Februar 2006 hat keine Aussagekraft, da der Monat noch nicht abgeschlossen ist.

Gerade habe ich mir ein paar Gedanken über die neue Seite gemacht.

“Nun möchte ich einmal die Blog-Gemeinschaft fragen, was ihr an dieser Stelle noch für Anregungen für mich habt und wie man diese umsetzen könnte.”

Meine Notizen sind zwar noch etwas unstrukturiert und an der einen oder anderen Stelle noch nicht passend, aber ich versuche es dennoch einmal, sie als Ansporn zu neuen Gedanken hier zu publizieren:

So, jetzt habe ich mir ein biszchen etwas fuer den 2GB ^^ Auftritt ueberlegt.

Im Grunde soll es so eine Art “Diary for past Linux Tasks” werden. Mit alles was so dazugehoert. D.h. es soll auch als Nachschlagewerk fuer mir taugen, mit einer vernuenftigen Struktur, einer Suche-Funktionalitaet und einem dementsprechende Geekigem Layout. Ich dachte da an so die Art, wie ich es bei http://knowlp.sf.net umgesetzt habe. D.h. fuer Hauptbilder (z.B. Header, Logo, etc.) sollen ausschlieszlich ASCII-Bilder verwendet werden.

Die Umsetztung soll mit Typo3 >= 3.8.1 geschehen.

Verwendete Techniken des Templates*:

- XHTML 1.0
- CSS 2.0

*) Die gesamte Seite soll W3C-konform gestaltet werden.

Auf 6c696e7578.de sollen ausschlieszlich 5-Bit Zeichenkodierungen verwendet werden (ü->ue, ä->ae, ö->oe, ß->sz).

{CUT “Struktur“}
(1) Home – Ueber was geht die Seite?
(2) 6c696e7578 – Was sagt der Name aus?
(3) Linux Diary – Auch Code-Snippets beinhaltet.
(3.1) Howtos
(3.2) News
(3.3) Misc.
(3.4) Linkx – Sortiert nach Kategorieren (Blogs, Own Projects)
(4) Wiki – Mglk. den Benutzern auch was veroeffentlichen zu lassen.
(4.1) Anleitung
(4.2) Wiki-Seiten
(5) Feedback – Art Gaestebuch
(6) Contact – Kontaktforumlar
(7) Impressum – inkl. Lizenz aller Beitraege
{/CUT}

{CUT “Willkommen“}
Herzlich willkommen!

Es mag Sie vielleicht im ersten Eindruck verwundern, was der Name “6c696e7578″ aussagen soll, aber schmoekern Sie ein wenig durch die Definition, dann wird es sicherlich klarer Hier finden Sie alles, rund um mein Linux-Leben. Angefangen von der Diplomarbeit bis zu ein paar Dirty Hacks. Sie haben auch die Moeglichkeit eigene Kurze Tipps oder Kniffe hier
zu publizieren, indem Sie meine Wiki-Seiten nutzen. [...]
{/CUT}

{CUT “Herleitung” (2)}
(HEX) 6c 69 6e 75 78
(BIN) 01101100 01101001 01101110 01110101 01111000
(DEC) 108 105 110 117 120
(ASCII) l i n u x
{/CUT}