metux

Ich denke der grundlegende Aspekt von OOP (bzw. OOD) ist ein ganz anderer:

Die strikte Kapselung von Zustand und Operationen in das Objekt hinein - der innere Zustand ist von außen nicht erfahrbar, aber auch nicht relevant.

Objekte operieren eigentlich autonom auf sich selbst, in sich selbst, und kommunizieren lediglich mittels Nachrichten über definierte Schnittstellen miteinander.

Implementationstechnisch äußerst sich dies uA. dadurch, daß man stets das Objekt selbst aufruft, um eine Operation durchzuführen,

also obj.doSomething() statt doSomething(obj).

Selbst Klassen und Vererbung sind hier eher ein optionales Feature. In einigen Scriptsprachen, zB. Javascript, kann man die Methoden auch im Konstruktur an die konkrete Objekt-Instanz binden.

Im Grunde genommen sollte man das vielleicht sogar in Subjektorientierung umbenennen.

Wesentliche Pluspunkte der OOP sind wohl eher Dinge wie Polymorphie, Vererbung etc.

Polymorphie hat nicht zwingend etwas mit OOP zu tun. Das gibts auch im prozeduralen, vorallem aber in der funktionalen Paradigmum.

Für die Praxis ist das doch ohnehin nur für größere Datenmengen relevant. Also warum mißt Du das Ganze nicht auch mit hinreichend großen Datenmengen, sodaß sich die Rechenzeit im Rahmen von Minuten oder länger bewegt ?

Schau doch mal in den git sources nach.

Nunja, das Schema ist zunächst die formale Beschreibung der Datenstrukturen.

Allerdings gibts in der SQL-Welt auch das Kommando "CREATE SCHEMA" - hier ist eigentlich ein Namespace gemeint (an dem aber auch access controls hängen können).

"Katalog" ist IMHO eher die technische Sicht, hier werden Informationen über die Datenstrukturen, udgl. gespeichert (meist sind das auch lediglich Tabellen, auf die man aber nicht direkt zugreift). Der Begriff stammt noch aus der pre-SQL-Welt.

Die Datenbank ist dann das "große Ganze", historisch sogar oft an eine eigene Server-Instanz gebunden, heutzutage aber meist eher ein rein logisches Konzept (ähnlich eines Namensraums).

AFAIK gibts für diese Begriffe keine allgemeingültige exakte Definition, sondern immer stark von Datenbank-Konzept und den konkret verwendeten Produkten abhängig.

Bei PostgreSQL siehts grob skizziert so aus:

* Datenbank: der "große" Container. Hier liegen alle Objekte (tables, sequences, indices, ...) drin.

* Eine Client-Connection ist stets an eine bestimmte Datenbank gebunden

* User werden global, außerhalb der einzelnen Datenbanken gemanaged (an die rohen Daten kommt man Normalfall nicht direkt ran)

* Schema: Namensraum innerhalb einer Datenbank, an den auch access controls gebunden sein können

* Katalog: interne Management-Daten (zB. physische Storage der einzelnen Relations, Users, etc, etc)

* der Katalog ist nicht direkt zugreifbar, einige Informationen werden aber in einem spezielles Schema in allen Datenbanken eingeblendet

Mysql handhabt das AFAIK so:

* Datenbank: organisatorischer Container, innerhalb dessen die einzelnen Relationen liegen

* Katalog-Daten (incl. User, Access controls, etc) in einer speziellen Datenbank

* kein separates Namensraums-Konzept (CREATE SCHEMA), stattdessen sind aber alle Datenbanken von einer Client-Connection direkt erreichbar

* IOW: was PostgreSQL in Datenbank und Schema separiert, ist hier in einem Konzept vereint.

All das gesagte bezieht sich jedoch auf Relationale bzw. Tabellarische Datenbank-Konzepte.

Bei Hierachie-Datenbanken (zB. LDAP) beschreibt das Schema zunächst nur die logische Struktur, eher vergleichbar mit Constraints aus der Relationalen Welt. (je nach konkreter Implementation wären auch mehrere Schemata parallel denkbar). Ähnlich bei Graph-Datenbanken.

Gibts dafür irgendwo eine git-repo ? Vielleicht find ich mal die Zeit, etwas tiefer reinzuschauen.

Ich würd das noch ein wenig weiter denken: gleich in ein Ticket-System integrieren.

Eingehende Faxe werden ins Ticketsystem oder DMS geladen und dann ein entsprechendes Ticket aufgemacht.

Wird das Ticket für eine gewisse Zeit nicht angefaßt (bei Redmine zB. whining), kommen weitere reminder

und das Dokument auf den Drucker geworfen.

Ließe sich ganz gut mit Redmine, Hylafax und etwas script-magic realisieren.

Wozu genau braucht man (in einer VoIP-Umgebung) ein spezielles Anlagentelefon ?

hmm, ich glaube man muss unterscheiden zwischen wirklichen headhuntern und drittklassigen it-verchecker-buden wie es computer futures, hays oder progressive sind.

Als Freelancer hab ich eigentlich recht gute Erfahrungen mit Hays gemacht, vorallem wenn man größere internationale Kunden möchte.

Vielleicht manchmal etwas bürokratisch, aber dennoch hinreichend verläßlich, und laden einen auch gern mal zum Essen ein ;-)

generell waere ich halt vorsichtig, gerade auch was das gehalt betrifft - die versuchen dich natuerlich zu druecken, weil das ihre provision ist.

Nunja, man sollte natürlich wissen, daß die ordentliche Margen einkalkulieren. Da muß man halt gut verhandeln und sich nicht gleich auf alles einlassen.

ich persoenlich wuerde generell eher einen kleinen personalvermittler bevorzugen, der aber auf ein bestimmtes themengebiet richtig spezialisiert ist und auch ahnung davon hat. die mangelnde fachkompetenz ist bei den grossen oftmals doch ein problem.

Stimmt wohl, zumindest wenn man sich in engen Spezialgebieten bewegt. Wobei es dann vielleicht sogar sinnvoller wäre, direkt für ein entsprechend spezialisiertes Systemhaus zu arbeiten.

Könnte noch xtivate empfehlen. Vorallem im Bereich Storage und Netzwerkausrüstung recht stark.

Weil ich wissen will, wie's funktioniert.

Also geht's Dir weniger um den Produktiveinsatz, sondern eher den Spaß am Hacken ?

Gut, dann wären meine weiteren Argumente (die mir noch im Hinterkopf schlummern) an der Stelle obsolet.

Hast Du Dir mal den Link zu PHP SVN durch gelesen !? Man kann via PHP das Log direkt auslesen und braucht nicht mit Konsolenbefehlen "rum hantieren". PHP stellt somit einen vollständigen SVN Client bereit, den man nur via Code steuern muss.

Setzt allerdings vorraus, daß auf dem Zielsystem die entsprechende Extension im PHP eingebaut ist.

Das ist aber nicht überall so einfach herstellbar. (zB. wenn man nur beschränkten Zugriff darauf hat).

Das Tool soll auch Admin-Funktionalitäten übernehmen können.

Was genau soll denn das Tool denn letzlich können ?

Hi,

Och, da gibt es einiges...

- digitaler Headsetanschluss

Ist ja nix besonderes. Jedes halbwegs aktuelle Smartphone hat USB eingebaut.

- Möglichkeit, Tastenerweiterungsmodule anzuschließen

- Großes Display

- Ordentliches Freisprechen/Lauthören

- Integrierter Anrufbeantworter

- Ggf. sind das sogar VoIP-Endgeräte, die dementsprechend mehr kosten

Was davon können die gängen VoIP-Phones für 50,- nicht ?

70k Listenpreis - wie schon geschrieben, bei Siemens ist das im Prinzip genauso: erst einen utopischen Listenpreis ansetzen, der 500% Marge beinhaltet, um dann 60% Preisnachlass zu geben und trotzdem noch eine sehr gute Marge haben.

Ergo: selbst mit dicken Preisnachlaß um Faktor 3 überteuert. Okay, so hatte ich das bereits vermutet.

Hallo Leute,

bekommt man eigentlich Notify-Mails auch bei eigenen Postings/Replies ?

Ich wunder mich nämlich schon eine Weile, warum ich öfters Notifies bekomme in diversen Threads bekomme, in denen sich augenscheinlich garnichts tut - abgesehen von meinen eigenen Postings ;-)

cu

Kurze Zwischenfrage: was können die Telefon denn so tolles, daß sie 150,- kosten dürfen ?

By the way: für den Preis von 70k hätt ich jetzt spontan vermutet, daß da noch ein paar DSLAMs dabei sind ;-o

Abgesehen davon: warum eigentlich so etwas altmodisches wie svn ? ;-o

Durch die Durchsuchung allein bzw. durch die Sicherstellung von beweiserheblichen Dateien ist meiner Ansicht nach die Echtheit kaum infrage zu stellen,

Bereits der Akt des Angriffs impliziert eine Manipulation des Beweismittels. Bildlich gesprochen: das Siegel ist gebrochen.

Man kann prinzipiell nicht mehr sicherstellen, daß hier das angegriffene System nicht manipuliert wird, denn eine solche

Manipulation ist anschließend nicht mehr nachweisbar. So lassen sich ganz bequem Beweise herstellen.

da das ja i.d.R. von entsprechenden unparteiischen Fachkräften durchgeführt wird, die keinen persönlichen Nutzen von einer Verfälschung haben.

Äußerst naiv.

Das ist vergleichbar mit einer gewöhnlichen Beweismittelsicherung, bei der auch so gut wie nie Beweise "untergeschoben" werden, wieso sollten denn ein Ermittler z.B. die Tatwaffe mitbringen und dann als aufgefunden erklären?

Oh, da gibts viele Szenarien. Beispielsweise um falsche Spuren zu legen, oder gar eine noch größere Operation zu vertuschen.

Da fiele mir zB. sofort das Massacker von Winnenden ein.

In sofern schon aber wen interressiert das, doch nur die beiden Prozeßgegner.

Das reicht schon, wenn hier Existenzen auf dem Spiel stehen.

Schon der IT-Gutachter nimmt die Gesetzeslage wie sie ist und in einem gewöhnlichen Strafprozeß hat das entsprechende Strafgericht in jedem Fall eine Autonomie in Sachen Beweiswürdigung und dafür den entsprechen IT-Gutachter.

AFAIK werden solche Überwachungsmaßnahmen von Executivorganen (BKA, VS, etc) durchgeführt (mit oder ohne richerlichen Beschluß).

Damit macht man bereits den Bock zum Gärtner.

Eine Verfassungsklage kommt nur in den seltensten Fällen vor (Die ist ja auch sehr teuer und kann nur von wenigen zugelassenen Anwälten durchgeführt werden) und generell läßt sich sagen, die Verfassung ist wie sie ist und wird es wahrscheinlich auch bleiben.

Nur kurz, um etwaige Mißverständnisse auszuräumen: Zweck einer Verfassungsklare ist es, die Verfassungsmäßigkeit einer Rechtsnorm zu überprüfen, nicht die Verfassung selbst ;-o

Übrigends: in DE haben wir regelmäßig Verfassungsklagen. Die aktuell prominenteste ist wohl jene gegen das ESM-Ermächtigungsgesetz.

Es gilt also die StPO und da muss und wird der zuständige Untersuchungsrichter im Vorfeld schon prüfen ob ein genügender Grund für eine Durchsuchung vorliegt.

Leider sieht bei uns die Praxis anders aus: die Untersuchungsrichter sind derart überlastet und unter Druck, daß ein großer Teil der Überwachungsmaßnahmen ohne echte Prüfung abgesegnet wird.

Abgesehen davon führt die Executive diese Maßnahmen auch ohne richterlichen Beschluß durch. Das hat ja unser Bundesfinanzminister, damals noch Innenminister, schon ganz offen auf Pressekonferenzen Kund getan.

Was das BVerfG in Sachen Gesetzentwürfe sagt, ist doch eher für den Gesetzgeber und den Bundespräsidenten ausschlaggebend und nicht für den gewöhnlichen Bürger.

Oh, das sollte aber gerade den gewöhnlichen Bürger sehr stark interessieren. Schließlich ist das ein gewichtiger Indikator dafür, ob man es nicht ggf. mit verfassungsfeindlichen Politikern zu tun hat.

Aus den, den Dateien angefügten Informationen. Guck doch mal unter Datei-Eigenschaften von z.B. einem Microsoft-Word-Dokument!

Ich habe leider keine Microsoft-Produkte im Einsatz, kann also grad nicht explizit nachprüfen, ob diese von sich aus allein irgendwas

in den Dokumenten loggen. Allerdings bin ich mir sicher, daß Tools wie catdoc keinerlei Änderungen im Original durchführen,

ebensowenig wie mein Texteditor, auch LO tut das nicht. Ohnehin würde das beim nächsten `git diff` sofort auffallen.

Summa summarum: ja, es gibt durchaus einzelne Office-Produkte, die derartiges mitloggen und stillschweigend

Dokumente verändern. Aber es gibt bereits mehr als genügend ganz andere Gründe, diese überhaupt nicht

zu verwenden.

Da lässt sich pauschal sagen, die Spezialisten vom Nachrichtendienst lassen es sich bestimmt nicht nehmen ein paar Bytes für ihre Übersichtlichkeit anzufügen und lassen das auch nur ein paar Militärs und Forensiker wissen

Was genau willst Du damit sagen ?

Mag sein, blöderweise surft man am Server nur nicht im Web und fängt sich solche Banner Malware ein, also völlig am Thema vorbei...

In Terminal/Server-Umgebungen völlig normal. (für sowas wurde ja Xwindow ursprünglich auch mal entwickelt ...)

Zumal man es da auch nicht unbedingt auf die Kontrolle der Server an sich abgesehen hat, für Botnetze gibt es genug Windows Computer von Leuten die nicht patchen etc, die wesentlich lohnender sind und auf Servern interessieren nunmal eher die gespeicherten (Kreditkarten)Daten, 2 völlig verschiedene Paar Schuhe.

"eh nur die gespeicherten Daten" finde ich ein wenig untertrieben ...

Abgesehen von DDOS hält sich der praktische Nutzen von solchen Botnets doch eher in Grenzen.

Und Hey Serverhacks in letzter Zeit hat es mehr als genug gegeben, spricht nicht gerade für Deine Aussage, dass das OS vom Prinzip her sicherer sei

Klar. Aber das sind idR. sehr spezifische Attacken, bei denen sich der Angreifer zunächst gut über die Zielsysteme informieren mußte.

Und statistisch sind diese (im Gegensatz zur öffentlichen Wahrnehmung) nicht sonderlich signifikant.

Verwende ich jetzt die erste Variante, was nach meinem Empfinden die logische Wahl wäre, bekomme ich ein "...is not a working copy"... was ja auch stimmt. Verwende ich die zweite Variante, bekomme ich zwar meine gewünschten Infos, muss mich aber anmelden.

Hast Du schon eine lokale URL, also via file:/// probiert ?

Das hat nichts mit Diversität zu tun sondern ist ne simple Kosten/Nutzen Rechnung... kein Mensch nimmt Linux im normalen Desktopbetrieb her, ok ein paar Ausnahmen gibt es, aber das ist wohl eine verschwindend geringe Minderheit

Nun, so wenige sind das schon lang nicht mehr. Es gibt durchaus auch größere Konzerne, die viele Desktop-Systeme auf GNU/Linux-Basis betreiben.

Und auch unter den SOHO-Nutzern steigt die Verbreitung stetig, auch unter nicht-technikaffinen Nutzern.

Lohnt also den Aufwand zu exploiten im großen Stil einfach nicht...

Nun, im Server-Umfeld ist es sehr weit verbreitet, vorallem bei Internet-Infrastruktur, Web-Applikationen, usw, usw.

Und gerade da wäre der Nutzen eines Angriffs deutlich größer.

Im Übrigen ist Diversität eigentlich geradezu eher ein Garant dafür, dass es Sicherheitslücken gibt, da nicht alle Verwicklungen der Software untereinander abschätzbar sind...

Theoretisch steigt zwar mit der Menge an insgesamt existierenden Code auch die Menge an insgesamt existierenden Fehlern.

Allerdings wird nicht jede Software überall eingesetzt. Bei tatsächlich erkannten Lücken sorgt aber die Diversität dafür, daß die Chance, tatsächlich verwundbare Systeme zu finden, im Vergleich zu stark homogenen Umgebungen rapide sinkt.

Nehmen wir allein mal den Kernel: da sind im Feld tausende verschiedene (binäre) Versionen im Einsatz. Ich hab zB. auf meinen Systemen >10 verschiedene Kernel(source)-Versionen im Einsatz, jeweils in unterschiedlichen buildconfigs. Hinzu kommt, daß gerade hier sehr viele Leute drauf schauen und solche Bugs recht schnell gefunden und gefixt werden (die Mehrzahl der User verwendet Mainline-Distros, die solche Fixes idR sehr schnell, teils auch intra-day einbringen, und dann werden die Systeme mit dem täglichen Update repariert).

In der Praxis ist das Fenster, um verwundbare Systeme im Feld zu finden, äußerst schmal. Bei den meisten Mainline-Distros verschmalert sich das Fenster dadurch noch weiter, daß diese idR. keine bleeding-edge, sondern etwas "abgehangenere" Versionen ausliefern, bei denen solche Bugs mit hoher Wahrscheinlichkeit bereits gefunden und gefixt sind.

Die bloße Existenz einer verwundbaren Softwareversion sagt noch lange nichts darüber aus, ob diese auch tatsächlich im Feld verwendet wird.

(Ich hab übrigends mal verschiedenste Systeme mit Kerneln aus dem Zeitraum ausprobiert, kein verwundbares darunter gewesen)

Du musst nicht den Kernel hacken um Schaden zu machen, irgendein random Softwarepaket, das mit entsprechenden Rechten laufen kann oder sich dazu überreden lässt reicht vollkommen aus

Ganz so einfach ist es nun auch wieder nicht. Traditionellerweise läßt man in der *nix-Welt die verschiedenen Services unter ihren eigenen Usern, mit minimalen Rechten, ggf. auch im Jail, laufen. Damit ist die Schadwirkung zunächst auf den jeweils kompromittierten Service limitiert (es benötigt dann weitere Exploits, um mehr anzurichten).

Ok da andere System außer Windows bei dir wohl nur Linux bedeutet reicht ja schonmal der Link um das Gegenteil zu zeigen

Root-Exploit für Linux-Kernel ab 2.6.39 « NEWS « Linux-Magazin Online

oder wir verstehen was anderes unter "Ewigkeiten"

Okay, diese Version hatte ich wohl auf allen meinen Systemen übergangen und den Exploit wohl nicht mitbekommen.

Andererseits ist natürlich die Wahrscheinlichkeit, ein reell angreifbares System vorzufinden, in der Opensource-Welt

allein schon aufgrund der großen Diversifität deutlich geringer als zB. bei Windows.

Selbst wenn wir nur Angriffe über Webseiten betrachten gibt es da sehr viel mehr Möglichkeiten als nur ActiveX oder das "sichere Java". Beispiele wären zum Beispiel Flash oder Javascript Exploits.

Richtig, Flash sollte man ohnehin nicht benutzen (auch aus ganz anderen Gründen).

Meine Aussage bezog sich allerdings darauf, daß ActiveX an sich bereits ein erhebliches Risiko darstellt - auch wenn man allgemeine Programmierfehler subtrahiert - es ist schlicht ein architekturelles Problem.

(abgesehen davon halte ich bereits die Grundkonzepte von OLE/DCOM/ActiveX auch schon aus ganz anderen Gründen für keinen guten Ansatz).

Der Weg über den Abteilungsleiter ist wohl der pragmatischste Ansatz.

Alternativ könnte man auch über andere Authentifizierungsmethoden, zB. Biometrie nachdenken, jedoch sind auch die fälschbar.

Diese Schlußfolgerung verstehe ich nicht.

Nun, eine erfolgte Online-Durchsuchung bedingt stets eine Kompromittierung des angegriffenen Systems. Damit ist die Integrität/Echtheit der Beweismittel bereits grundsätzlich infrage zu stellen.

Maßgeblich ist ja nicht, was das Verfassungsgericht sagt, sonder was die StPO hergibt.

Das Verfassungsgericht ist sehr maßgeblich. Es sagt nämlich im Zweifel, welche Normen überhaupt rechtmäßig sind.

(nicht jedes Gesetz verwirklicht auch tatsächlich das Recht).

@sicheren Beweiskette:

Gerade in der IT-Branche kann man mehr sicher beweisen als den meisten bewusst ist.

Man kann Beweise aber auch noch viel einfacher herstellen, als den meisten bewußt ist, und zwar so daß sie nicht von einem echten Beweis unterscheidbar sind.

So kann an Hand der Dateianhänge ausgelesen werden, wie oft ein Dokument geöffnet, gedruckt, geändert etc. wurde.

Aha, wie genau soll das gehen ? Wo kommt konkret die Information her ?

Was heißt hier beliebigen. Kennst du einen Webspace der Kostenlos ist und Git installiert hat bzw eine Installation von Git zulässt?

Sofern Du das plain-http-transport verwendest, brauchst Du kein Git dort installieren.