metux

Ich denke der grundlegende Aspekt von OOP (bzw. OOD) ist ein ganz anderer: Die strikte Kapselung von Zustand und Operationen in das Objekt hinein - der innere Zustand ist von außen nicht erfahrbar, aber auch nicht relevant. Objekte operieren eigentlich autonom auf sich selbst, in sich selbst, und kommunizieren lediglich mittels Nachrichten über definierte Schnittstellen miteinander. Implementationstechnisch äußerst sich dies uA. dadurch, daß man stets das Objekt selbst aufruft, um eine Operation durchzuführen, also obj.doSomething() statt doSomething(obj). Selbst Klassen und Vererbung sind hier eher ein optionales Feature. In einigen Scriptsprachen, zB. Javascript, kann man die Methoden auch im Konstruktur an die konkrete Objekt-Instanz binden. Im Grunde genommen sollte man das vielleicht sogar in Subjektorientierung umbenennen.

Polymorphie hat nicht zwingend etwas mit OOP zu tun. Das gibts auch im prozeduralen, vorallem aber in der funktionalen Paradigmum.

Für die Praxis ist das doch ohnehin nur für größere Datenmengen relevant. Also warum mißt Du das Ganze nicht auch mit hinreichend großen Datenmengen, sodaß sich die Rechenzeit im Rahmen von Minuten oder länger bewegt ?

Schau doch mal in den git sources nach.

Nunja, das Schema ist zunächst die formale Beschreibung der Datenstrukturen. Allerdings gibts in der SQL-Welt auch das Kommando "CREATE SCHEMA" - hier ist eigentlich ein Namespace gemeint (an dem aber auch access controls hängen können). "Katalog" ist IMHO eher die technische Sicht, hier werden Informationen über die Datenstrukturen, udgl. gespeichert (meist sind das auch lediglich Tabellen, auf die man aber nicht direkt zugreift). Der Begriff stammt noch aus der pre-SQL-Welt. Die Datenbank ist dann das "große Ganze", historisch sogar oft an eine eigene Server-Instanz gebunden, heutzutage aber meist eher ein rein logisches Konzept (ähnlich eines Namensraums). AFAIK gibts für diese Begriffe keine allgemeingültige exakte Definition, sondern immer stark von Datenbank-Konzept und den konkret verwendeten Produkten abhängig. Bei PostgreSQL siehts grob skizziert so aus: * Datenbank: der "große" Container. Hier liegen alle Objekte (tables, sequences, indices, ...) drin. * Eine Client-Connection ist stets an eine bestimmte Datenbank gebunden * User werden global, außerhalb der einzelnen Datenbanken gemanaged (an die rohen Daten kommt man Normalfall nicht direkt ran) * Schema: Namensraum innerhalb einer Datenbank, an den auch access controls gebunden sein können * Katalog: interne Management-Daten (zB. physische Storage der einzelnen Relations, Users, etc, etc) * der Katalog ist nicht direkt zugreifbar, einige Informationen werden aber in einem spezielles Schema in allen Datenbanken eingeblendet Mysql handhabt das AFAIK so: * Datenbank: organisatorischer Container, innerhalb dessen die einzelnen Relationen liegen * Katalog-Daten (incl. User, Access controls, etc) in einer speziellen Datenbank * kein separates Namensraums-Konzept (CREATE SCHEMA), stattdessen sind aber alle Datenbanken von einer Client-Connection direkt erreichbar * IOW: was PostgreSQL in Datenbank und Schema separiert, ist hier in einem Konzept vereint. All das gesagte bezieht sich jedoch auf Relationale bzw. Tabellarische Datenbank-Konzepte. Bei Hierachie-Datenbanken (zB. LDAP) beschreibt das Schema zunächst nur die logische Struktur, eher vergleichbar mit Constraints aus der Relationalen Welt. (je nach konkreter Implementation wären auch mehrere Schemata parallel denkbar). Ähnlich bei Graph-Datenbanken.

Gibts dafür irgendwo eine git-repo ? Vielleicht find ich mal die Zeit, etwas tiefer reinzuschauen.

Ich würd das noch ein wenig weiter denken: gleich in ein Ticket-System integrieren. Eingehende Faxe werden ins Ticketsystem oder DMS geladen und dann ein entsprechendes Ticket aufgemacht. Wird das Ticket für eine gewisse Zeit nicht angefaßt (bei Redmine zB. whining), kommen weitere reminder und das Dokument auf den Drucker geworfen. Ließe sich ganz gut mit Redmine, Hylafax und etwas script-magic realisieren.

Als Freelancer hab ich eigentlich recht gute Erfahrungen mit Hays gemacht, vorallem wenn man größere internationale Kunden möchte. Vielleicht manchmal etwas bürokratisch, aber dennoch hinreichend verläßlich, und laden einen auch gern mal zum Essen ein ;-) Nunja, man sollte natürlich wissen, daß die ordentliche Margen einkalkulieren. Da muß man halt gut verhandeln und sich nicht gleich auf alles einlassen. Stimmt wohl, zumindest wenn man sich in engen Spezialgebieten bewegt. Wobei es dann vielleicht sogar sinnvoller wäre, direkt für ein entsprechend spezialisiertes Systemhaus zu arbeiten.

Könnte noch xtivate empfehlen. Vorallem im Bereich Storage und Netzwerkausrüstung recht stark.

Also geht's Dir weniger um den Produktiveinsatz, sondern eher den Spaß am Hacken ? Gut, dann wären meine weiteren Argumente (die mir noch im Hinterkopf schlummern) an der Stelle obsolet.

Setzt allerdings vorraus, daß auf dem Zielsystem die entsprechende Extension im PHP eingebaut ist. Das ist aber nicht überall so einfach herstellbar. (zB. wenn man nur beschränkten Zugriff darauf hat).

Was genau soll denn das Tool denn letzlich können ?

Hallo Leute, bekommt man eigentlich Notify-Mails auch bei eigenen Postings/Replies ? Ich wunder mich nämlich schon eine Weile, warum ich öfters Notifies bekomme in diversen Threads bekomme, in denen sich augenscheinlich garnichts tut - abgesehen von meinen eigenen Postings ;-) cu

Abgesehen davon: warum eigentlich so etwas altmodisches wie svn ? ;-o

Bereits der Akt des Angriffs impliziert eine Manipulation des Beweismittels. Bildlich gesprochen: das Siegel ist gebrochen. Man kann prinzipiell nicht mehr sicherstellen, daß hier das angegriffene System nicht manipuliert wird, denn eine solche Manipulation ist anschließend nicht mehr nachweisbar. So lassen sich ganz bequem Beweise herstellen. Äußerst naiv. Oh, da gibts viele Szenarien. Beispielsweise um falsche Spuren zu legen, oder gar eine noch größere Operation zu vertuschen. Da fiele mir zB. sofort das Massacker von Winnenden ein. Das reicht schon, wenn hier Existenzen auf dem Spiel stehen. AFAIK werden solche Überwachungsmaßnahmen von Executivorganen (BKA, VS, etc) durchgeführt (mit oder ohne richerlichen Beschluß). Damit macht man bereits den Bock zum Gärtner. Nur kurz, um etwaige Mißverständnisse auszuräumen: Zweck einer Verfassungsklare ist es, die Verfassungsmäßigkeit einer Rechtsnorm zu überprüfen, nicht die Verfassung selbst ;-o Übrigends: in DE haben wir regelmäßig Verfassungsklagen. Die aktuell prominenteste ist wohl jene gegen das ESM-Ermächtigungsgesetz. Leider sieht bei uns die Praxis anders aus: die Untersuchungsrichter sind derart überlastet und unter Druck, daß ein großer Teil der Überwachungsmaßnahmen ohne echte Prüfung abgesegnet wird. Abgesehen davon führt die Executive diese Maßnahmen auch ohne richterlichen Beschluß durch. Das hat ja unser Bundesfinanzminister, damals noch Innenminister, schon ganz offen auf Pressekonferenzen Kund getan. Oh, das sollte aber gerade den gewöhnlichen Bürger sehr stark interessieren. Schließlich ist das ein gewichtiger Indikator dafür, ob man es nicht ggf. mit verfassungsfeindlichen Politikern zu tun hat. Ich habe leider keine Microsoft-Produkte im Einsatz, kann also grad nicht explizit nachprüfen, ob diese von sich aus allein irgendwas in den Dokumenten loggen. Allerdings bin ich mir sicher, daß Tools wie catdoc keinerlei Änderungen im Original durchführen, ebensowenig wie mein Texteditor, auch LO tut das nicht. Ohnehin würde das beim nächsten `git diff` sofort auffallen. Summa summarum: ja, es gibt durchaus einzelne Office-Produkte, die derartiges mitloggen und stillschweigend Dokumente verändern. Aber es gibt bereits mehr als genügend ganz andere Gründe, diese überhaupt nicht zu verwenden. Was genau willst Du damit sagen ?

In Terminal/Server-Umgebungen völlig normal. (für sowas wurde ja Xwindow ursprünglich auch mal entwickelt ...) "eh nur die gespeicherten Daten" finde ich ein wenig untertrieben ... Abgesehen von DDOS hält sich der praktische Nutzen von solchen Botnets doch eher in Grenzen. Klar. Aber das sind idR. sehr spezifische Attacken, bei denen sich der Angreifer zunächst gut über die Zielsysteme informieren mußte. Und statistisch sind diese (im Gegensatz zur öffentlichen Wahrnehmung) nicht sonderlich signifikant.

Hast Du schon eine lokale URL, also via file:/// probiert ?

Nun, so wenige sind das schon lang nicht mehr. Es gibt durchaus auch größere Konzerne, die viele Desktop-Systeme auf GNU/Linux-Basis betreiben. Und auch unter den SOHO-Nutzern steigt die Verbreitung stetig, auch unter nicht-technikaffinen Nutzern. Nun, im Server-Umfeld ist es sehr weit verbreitet, vorallem bei Internet-Infrastruktur, Web-Applikationen, usw, usw. Und gerade da wäre der Nutzen eines Angriffs deutlich größer. Theoretisch steigt zwar mit der Menge an insgesamt existierenden Code auch die Menge an insgesamt existierenden Fehlern. Allerdings wird nicht jede Software überall eingesetzt. Bei tatsächlich erkannten Lücken sorgt aber die Diversität dafür, daß die Chance, tatsächlich verwundbare Systeme zu finden, im Vergleich zu stark homogenen Umgebungen rapide sinkt. Nehmen wir allein mal den Kernel: da sind im Feld tausende verschiedene (binäre) Versionen im Einsatz. Ich hab zB. auf meinen Systemen >10 verschiedene Kernel(source)-Versionen im Einsatz, jeweils in unterschiedlichen buildconfigs. Hinzu kommt, daß gerade hier sehr viele Leute drauf schauen und solche Bugs recht schnell gefunden und gefixt werden (die Mehrzahl der User verwendet Mainline-Distros, die solche Fixes idR sehr schnell, teils auch intra-day einbringen, und dann werden die Systeme mit dem täglichen Update repariert). In der Praxis ist das Fenster, um verwundbare Systeme im Feld zu finden, äußerst schmal. Bei den meisten Mainline-Distros verschmalert sich das Fenster dadurch noch weiter, daß diese idR. keine bleeding-edge, sondern etwas "abgehangenere" Versionen ausliefern, bei denen solche Bugs mit hoher Wahrscheinlichkeit bereits gefunden und gefixt sind. Die bloße Existenz einer verwundbaren Softwareversion sagt noch lange nichts darüber aus, ob diese auch tatsächlich im Feld verwendet wird. (Ich hab übrigends mal verschiedenste Systeme mit Kerneln aus dem Zeitraum ausprobiert, kein verwundbares darunter gewesen) Ganz so einfach ist es nun auch wieder nicht. Traditionellerweise läßt man in der *nix-Welt die verschiedenen Services unter ihren eigenen Usern, mit minimalen Rechten, ggf. auch im Jail, laufen. Damit ist die Schadwirkung zunächst auf den jeweils kompromittierten Service limitiert (es benötigt dann weitere Exploits, um mehr anzurichten).

Okay, diese Version hatte ich wohl auf allen meinen Systemen übergangen und den Exploit wohl nicht mitbekommen. Andererseits ist natürlich die Wahrscheinlichkeit, ein reell angreifbares System vorzufinden, in der Opensource-Welt allein schon aufgrund der großen Diversifität deutlich geringer als zB. bei Windows. Richtig, Flash sollte man ohnehin nicht benutzen (auch aus ganz anderen Gründen). Meine Aussage bezog sich allerdings darauf, daß ActiveX an sich bereits ein erhebliches Risiko darstellt - auch wenn man allgemeine Programmierfehler subtrahiert - es ist schlicht ein architekturelles Problem. (abgesehen davon halte ich bereits die Grundkonzepte von OLE/DCOM/ActiveX auch schon aus ganz anderen Gründen für keinen guten Ansatz).

Der Weg über den Abteilungsleiter ist wohl der pragmatischste Ansatz. Alternativ könnte man auch über andere Authentifizierungsmethoden, zB. Biometrie nachdenken, jedoch sind auch die fälschbar.

Nun, eine erfolgte Online-Durchsuchung bedingt stets eine Kompromittierung des angegriffenen Systems. Damit ist die Integrität/Echtheit der Beweismittel bereits grundsätzlich infrage zu stellen. Das Verfassungsgericht ist sehr maßgeblich. Es sagt nämlich im Zweifel, welche Normen überhaupt rechtmäßig sind. (nicht jedes Gesetz verwirklicht auch tatsächlich das Recht). Man kann Beweise aber auch noch viel einfacher herstellen, als den meisten bewußt ist, und zwar so daß sie nicht von einem echten Beweis unterscheidbar sind. Aha, wie genau soll das gehen ? Wo kommt konkret die Information her ?

Sofern Du das plain-http-transport verwendest, brauchst Du kein Git dort installieren.

Okay. Warum nimmst Du nicht einfach einen beliebigen Webspace ?

Interessant. Wenn die dort technisch etwa das gleiche verstehen wie hierzulande, dann hätte das die Konsequenz, daß die dort keinen Rechtsstaat mehr haben. Ich müßte nochmal nachlesen, was das BVerfG genau dazu gesagt hat. Schäuble jedenfalls hat damals klar gesagt, daß man es die ganze Zeit ohne Rechtsgrundlage gemacht hat. Ungeachtet der Gesetzeslage (was man ja mal ganz klar vom Recht unterscheiden muß), gibt es hier - mal ganz abgesehen davon, daß der Richtervorbehalt in der Praxis eh nur Makulatur ist - das gravierende Problem der sicheren Beweiskette. Es läßt sich eben in der Praxis nicht sicherstellen, daß die bei einer Online-Durchsuchung erhobenen Beweismittel nicht gefälscht sind. Und wir wissen ja alle, wie hochgradig kriminell unsere Operation Gehlen ist. Im Grunde genommen müßte man, bei jeglichem Eindringen (bzw. Verdacht darauf), bereits zum eigenen Schutz vor evtl. juristischer Verfolgung, sofort Strafanzeige erstatten. Man kann ja leider nie wissen, was mit dem befallenen System sonst noch getrieben wurde. Andererseits könnte einem der Angreifer das Leben an der Stelle auch sehr schwer machen, indem er einfach strafbares Material wie zB. KiPo hinterläßt. In der Theorie korrekt. Allerdings kann die Praxis leider auch anders aussehen, denn schließlich gelten hier ja schon mind. 27 verschiedene Rechtsordnungen. Und wir hatten ja auch schon Urteile, denen besonders radikale, mit unserem GG nicht vereinbare religiöse Weltanschauungen zugrunde lagen.

hmm, sieht so aus, als ob er sowohl statische als auch dynamische crtl linken will.