jtb.blog - Coding

Beta-Prüfungen - dotnet

nospam@example.com (Jtb) — Mon, 02 Feb 2009 22:19:47 +0100

Mittlerweile sind die Ergebnisse für zwei Beta-Exams da. Die Prüfungen 071-505 und 071-563 habe ich bestanden Somit bin ich eine Prüfung vom "Microsoft Certified Professional Developer (MCPD): Windows Developer 3.5" entfernt.
Also steht demnächst 70-536 an.. Die Prüfung ist quasi der Grundlagen-Teil, der somit kein Problem sein sollte. Außerdem behandelt es den Stoff von dotnet 2.0..
Jetzt habe ich für einen Voucher mehr Verwendung

Aus Fehlern lernen

nospam@example.com (Jtb) — Sat, 31 Jan 2009 18:25:33 +0100

Manchmal kann man sich wirklich nur an den Kopf fassen..

Problemstellung: Fehlerrückmeldungen von MSSQL auslesen und entsprechend handeln.

Lösung: auf den Text "Eine vorhandene Verbindung wurde vom Remotehost geschlossen" prüfen.

Da kann man schon diskutieren.. Aber dann später merken, dass es auch englische Meldungstexte gibt und die Fehlerbehandlung umbauen, so dass auch "An existing connection was forcibly closed by the remote host" erkannt wird - ohne Worte.

Overnight Contest an der FH

nospam@example.com (Jtb) — Sun, 25 May 2008 11:34:59 +0200

Bei uns am Fachbereich Informatik findet gerade der Overnight Contest statt - veranstaltet von einem ehemaligen Studenten. Aufgabe ist es im Team über Nacht ein komplettes Spiel zu programmieren.
Den Teil Overnight haben die Teilnehmer jetzt hinter sich und die ersten Resultate sehen vielversprechend aus.

Mein Favorit ist derzeit ein Bomberman-Clon. Nichts besonderes? Doch: diese Implementierung läuft im Browser über JavaScript und bietet Multiplayersupport über einen selbstgeschriebenen Webserver in Perl.

Bug in der dotnet RichTextBox?

nospam@example.com (Jtb) — Fri, 14 Sep 2007 22:09:02 +0200

Ich glaube, ich bin da auf einen echten Bug im dotnet Framework gestoßen. Wenn man die ReadOnly Property von False auf True wechselt, ändert sich zwar auch die Property BackColor (klar, die Box soll ja grau werden um den Benutzer zu zeigen, dass er da nichts tippen kann) aber die visuelle Darstellung auf dem Display ändert sich nicht. Interessanterweise ist die Darstellung korrekt nachdem man einfach die Windows-Sitzung sperrt (Windows-Taste + L) und sich dann wieder anmeldet.
Jetzt bin ich mal gespannt, wie Microsoft auf meinen Support-Call reagiert. Reproduziert werden konnte das Verhalten vom Support-Techniker schon..

Aber diese Fehler wurde auch schon mal vor ein paar Monaten gemeldet und reproduziert

Fehlerbehebung

nospam@example.com (Jtb) — Fri, 24 Aug 2007 17:32:08 +0200

Ich weiß manchmal einfach nicht, wie manche Entwickler drauf sind.

Wenn ich eine einfache Software von einer Homepage runterlade, dann kann ich doch erwarten, dass jeder Fehler der bekannt ist und behoben werden konnte auch in dem Download schon gefixt ist.

Komischerweise sehen das manche anders: der Download auf der Projekt-Seite ist fehlerhaft und im Forum steht dann die neue Version.
Aber anstatt den Download zu fixen kommt als Kommentar:

QUOTE:

Use the converter file from this topic. The one on the download page are out of date.

Was soll das?
Ich kann ja verstehen, dass man manchmal eine Zwischenversion bauen will, aber dann gehört zum einen ein Hinweis darauf direkt unter den Download-Link oder in die Doku. Zum anderen sind über acht Monate reichlich Zeit um einen neuen Converter rauszubringen.

Dokumentation ohne Sinn - Teil 1

nospam@example.com (Jtb) — Tue, 24 Apr 2007 16:56:02 +0200

Das passiert, wenn man eine Dokumentationspflicht hat:

/// <summary>
/// Konstruktor ohne Parameter. Ist Private.
/// </summary>
private AnsichtTree()
{
}

Migration mod_fastcgi -> mod_fcgid

nospam@example.com (Jtb) — Tue, 13 Feb 2007 03:57:46 +0100

Nachdem Gentoo so freundlich war mod_fastcgi aus Portage zu schmeissen, habe ich vor ein paar Tagen mich endlich mal hingesetzt und den "Nachfolger" mod_fcgid zu installieren.
Aber irgendwie bin ich nicht so glücklich. Zum einen ist die Doku nicht gerade berauschend (hey, ich bin Doku im Stil von Apache httpd gewöhnt und erwarte auch solche) und zum anderen habe ich das Gefühl, dass jetzt php-Instanzen nicht aufgeräumt werden wenn sie länger nicht gebraucht wurden.
Früher liefen einfach wesentlich weniger Instanzen - jetzt laufen immer über 100 Instanzen und somit ist die RAM-Situation auch ein wenig angespannter

Ich glaube, da muss ich irgendwo noch am richtigen Parameter drehen - aber an welchem?

Webtasks

nospam@example.com (Jtb) — Fri, 09 Feb 2007 22:34:11 +0100

Meine ehemalige Uni hat ein nettes System im Probebetrieb gestartet: Webtasks
Idee hinter dem System ist, dass angehende Stundenten kleine Programmieraufgaben und Wissenstests online lösen können. Zwar noch stellenweise recht buggy, aber vom Ansatz her wirklich geil.

Interessant für fortgeschrittene Programmierer ist hierbei die eingehende Analyse des System bzw der Absicherung
Viel Spaß beim Lesen der folgenden Seiten Bei den ersten Aufgaben bekommt man auf der Weboberfläche immer die Möglichkeit den Methodenrumpf einzugeben - Anfang und Ende der Methode ist vorgegeben.
Nachdem man also seinen Sourcecode eingeben hat, fällt schnell einiges auf:

Die Entwickler von Webtasks haben das Schlüsselwort System gesperrt. Somit fallen viele schädliche Funktionen wie beispielsweise exit(int) weg. Aber leider auch echt nützliche Funktionen wie arraycopy

Aber als erfahrener Sicherheitsspezialist sollte man wissen, dass ein Sperren von Usereingaben aufgrund einer Blacklist immer aufwändig und häufig fehlerhaft ist.

So bietet sich dank Reflection ein Weg trotzdem auf alle System-Funktionen zuzugreifen:

CODE:

try
{
Class c = Class.forName("java.lang.System");
}
catch (Exception e)
{
// Errorhandling
}

Aber es wurden so auch nette Klassen wie beispielsweise Runtime übersehen, vergessen oder ignoriert

Eine komplette Übernahme des Servers wird aber vom strikt eingestellten SecurityManager verhindert - jeglicher Zugriff auf Kommandos, Dateizugriffe allgemein sowie Sockets ist gesperrt.

Aber es gibt ja noch mehr Optionen zu "stören". Beispielsweise alle Rechenzeit durch eine Endlosschleife bzw Rekursion ohne Abbruchbedindung aufzubrauchen. Ein Verbrauch der Speicherressourcen ist erstmal nicht möglich da die Java-VM beim Starten feste Speichergrenzen übergeben bekommen hat.
Bei den ersten Versuchen zeigt sich, dass die eingesetzten Java-Unittests Zeitlimits gesetzt haben - eine Endlosschleife wird nach 30 Sekunden abgebrochen. Auch eine simple Rekursion wird entdeckt und verhindert: "Rekursiver Aufruf verboten!"

Da erstmal nicht klar ist, wie die Rekursion entdeckt wird (der gesamte Sourcecode liegt ja nicht vor - mehr dazu aber später), kann man einfach eine s.g. unchecked Exception werfen und sich über die Ausgabe des Compilers freuen:

CODE:

|*Append.java:53: unreachable statement*
semaphore = false;
^
1 error

Ah, eine Semaphore
Und wir wissen nun nicht nur den Dateinamen sondern auch noch den Variablenname der Semaphore sowie der Type

Also können wir die Rekursionssperre einfach außer Kraft setzen - vor dem rekursiven Aufruf setzt man einfach semaphore auf false. Der Wille wurde gezeigt, aber wirklich ernst muss man diese Sperre nicht nehmen

Aber viel besser wird es, wenn man bemerkt, dass die Eingabe nicht auf den Methodenrumpf eingeschränkt ist. Man kann die vorgegebene Methode einfach per geschweifte Klammer schließen und eine neue Methode anfangen. Somit ist die vorgegebene Rekursionssperre endgültig sinnlos - immerhin wirkt sie nur auf eine Methode

Da das System scheinbar noch im Beta-Status ist, gibt es einige Aufgaben die nicht korrekt funktionieren. Durch einen Glücksfall gibt es eine Aufgabe, die den Sourcecode ausspuckt:

CODE:

01 /**hide**/public class Rotate_Right {
02
03   private static boolean  semaphore  = false;
04
05   public static void main(String[] args) {
06     int[] input = { 0, 1, 2, 3, 4, 5 };
07     int steps = 2;
08
09     // Test
10     printArray("Input: ", input);
11     System.out.println("Input: " + steps);
12     printArray("Output: ", studentsMethod(input, steps));
13   }
14
15   public static int[] demoMethod(int[] array_in, final int steps) {
16     // sempahore lock
17     if (semaphore == false)
18       semaphore = true;
19     else {
20       System.out.println("Rekursiver Aufruf verboten!");
21       return null;
22     }
....

Hier erkennt man nochmal deutlich, dass die Semaphore nutzlos ist.

Aber dennoch bringt uns die Rekursion nicht weiter - das System verträgt das ohne weiteres. Aber die Spielkiste hat ja noch mehr zu bieten. Analysieren wir zuerst wie die Unittests nach 30 Sekunden abgebrochen werden und versuchen ein Thread.sleep(1000000);
Ergebnis:

CODE:

ZEITÜBERSCHREITUNG:
Der Test wurde nach 30 Sekunden automatisch abgebrochen, da seine Ausführung zu lange dauerte.

Ok, der Unittest holt sich also den Thread und beendet ihn einfach. Aber wie sieht es mit einem Thread aus? Dank anonymen Threads ist die schnelle Erzeugung kein Problem:

CODE:

new Thread(new Runnable() {
    public void run() {
      try {
int i = 0;
     while (true) {
i++;
        }
      }
      catch(Exception ex) {}
    }
  }).start();

Und schon wird nichts mehr abgebrochen und der Webbrowser lädt Ewigkeiten

Fazit: externen Java-Code zu kompilieren und auszuführen kann unschön werden. Nur ein sinnvoll gesetzer Sicherheitsmanager schützt dann den Server vor einem Angreifer. Wer böswillig Ressourcen verbrauchen will, schafft dieses wenn keine zusätzlichen Sicherheitsmaßnahmen getroffen werden. Ein Blacklisten der Benutzereingaben wird sehr wahrscheinlich leicht umgangen werden können bzw müsste sehr umfangreich sein.
Externer Benutzercode sollte in einer eigenen Klasse gesetzt werden. Ansonsten sind Sicherheitsmechanismen in derselben Klasse aufgrund fehlender Sicherheit nutzlos.

Generics - mühsame Umstellung

nospam@example.com (Jtb) — Thu, 11 Jan 2007 20:08:31 +0100

Generics in C# sind eine schöne Sache. Wenn man jedoch ein altes Projekt auf Generics umstellen will, merkt man schnell, dass das einige Arbeit ist.
Zwar kann eine Klasse erheblich schrumpfen (extremes Beispiel: von 294 Zeilen auf 40 runter), aber dafür muss man erstmal feststellen, welche Methode jetzt rausfliegen kann. Gerade wenn es dann um Sichtbarkeiten bei abgeleiteten Klassen geht, muss man ständig nachschauen

Größtes Manko was mich jetzt in C# noch stört: keine Covariant return types...

Versionsverwaltung

nospam@example.com (Jtb) — Fri, 22 Dec 2006 01:27:23 +0100

Es ist doch wirklich immer wieder dasselbe. Irgendwie können Entwickler nicht mehr Versionen umgehen.

Sei es nun ein Addon für World of Warcraft - hier im Beispiel CTRaidAssist oder ein CMS wie Joomla.

CTRA: es wurden immer neue Updates rausgebracht ohne die Version zu erhöhen. Aktueller Stand ist Version 1.621 Update 8. Einfach überprüfen wer seine Version nicht aktualisiert hat (zum Beispiel mit /raversion) ist damit nicht möglich

Joomla: die aktuelle stabile Version ist 1.0.11 - veröffentlicht am 28.08.2006. Diese Version enthält aber einen Bug, dass man Mambots nicht editieren kann. Der Hotfix ist im Forum seit dem 29.08.2006 zu finden..

Aber neue Version: keine Spur. Eigentlich wollte ich Joomla mal ausprobieren, aber das versaut mir gleich schon die Freunde am System (ohne Modifikation am Mambot ist der Editor nicht benutzbar wenn man ein Theme mit schwarzem Hintergrund benutzt). Als Einstieger in ein neues System braucht man dann ein weniger länger um sowas zu finden.. In meinen Augen quasi verschwendete Zeit. Das dann auch noch der Hotfix nur für registrierte Benutzer verfügbar ist, ist nur das i-Tüpfelchen

Update: es geht immer weiter. Gerade wollte ich WoWRoster installieren. Die Version 1.7.1 kam am 4 Juli 2006 raus und wurde am 22 Oktober nochmal aktualisiert. Im Downloadbereich dieser Version steht schon extra fett: "Don't forget to check up on any patches for WoWRoster!". Im Forum muss man sich dann durch fünf "Patches" durchklicken und diese installieren..

Thunderbird löscht ungefragt Mails

nospam@example.com (Jtb) — Fri, 24 Nov 2006 12:12:03 +0100

Ich habe vor zwei Tagen eine Mail in Thunderbird vermisst und jetzt darf ich bei Heise lesen, dass Thunderbird ungefragt Mails löscht

Hier das Problem bei mir - eine Mail scheint zu fehlen:

Wenn man nach der Mail anhand des Betreffs sucht, wird sie gefunden:

Nachdem ich die MSF-Datei gelöscht habe, funktioniert der Ordnerinhalt wieder..

Im Bugreport wird leider immer nur von Yahoo-Group-Mails geschrieben. In diesem Ordner liegen aber keine Yahoogroup-Mails und die letzte Mail von einem Yahoo-Absender stammt von 2005..

Aber die Tatsache, dass der Bug nicht sofort gefixt werden soll, stimmt mich irgendwie trauig. Als Entwickler muss man doch ein Gefühl dafür haben, dass kein Benutzer Daten verlieren will.

Seid freundlicher zu den Maschinen und auszulieferender heißer Kaffee

nospam@example.com (Jtb) — Sun, 24 Sep 2006 15:22:09 +0200

Sowas müssen sich die Leute gedacht haben, die sich die Konfigurationsstruktur von Tomcat ausgedacht haben.
Die ganze Konfiguration baut auf XML auf (solange eine Anwendung sich nicht denkt, weitere Einstellungen über eine Properties-Datei zu machen). Eigentlich eine nette Idee - so kann der Server die Datei leichter parsen. Nur für den Menschen wird die Datei sehr leicht kaum noch lesbar. Es gibt zwar eine Administrationsoberfläche, aber die erwies sich bei meinen Versuchen mit Tomcat dieses Wochenende als unbrauchbar. Ich wollte ja eigentlich mal jboss ausprobieren, aber jboss ist leider unter Gentoo stable gerade nicht installierbar und mir wurde von der Benutzung in Gentoo im #gentoo-java Channel abgeraten. Aber zurück zu Tomcat. Für die gerade erwähnte Administrationsoberfläche muss man sich erstmal von Hand einen User angelegen. Dessen Passwort steht dann erstmal im Klartext in der Datei. Gehashte Passwörter unterstützt Tomcat nicht in einer Passwortdatei - das klappt nur mit einer Datenbank (per jdbc) bzw Verzeichnisdienst wie LDAP. Ein nicht zu unterschätzender Aufwand. Denkt man sich nun, dass man ja die Passwortdatei nur vom Serveruser (also beispielsweise tomcat) lesbar/schreibbar machen kann, wird man von der Administrationsoberfläche sanft auf den Boden der Wirklichkeit zurückgeholt: ändert man einen User, wird die Datei wieder world-readable gemacht
Bei den verfügbaren Webanwendungen, die ich mir angeguckt habe, wurde in der Installationsdokumentation immer die Konfiguration in XML angegeben - also muss ich als Administrator meine Konfig jetzt in einem Format tippen, was eigentlich dafür gedacht ist, maschinenlesbar zu sein

Aber ansonsten hat die Adminoberfläche so einige Tücken. Ich finde es zwar schön, dass man sich mit ein paar Klicks einen Vhost anlegen kann, vermisse aber dann die Zuordnung von Prioritäten. Weiterhin kann man scheinbar keinen Alias mit einem Wildcard erstellen (also *.domain.tld um alle Subdomains abzufangen). Bzw der Alias wird ohne Fehler erstellt und zeigt keine Wirkung. Wenn schon kein Alias erlaubt ist, dann müsste eigentlich die fehlerhafte Eingabe abgefangen werden.

Gibt man einen Vhost im Browser ein, den es nicht gibt, wird der Browser nur eine leere Seite anzeigen - erst ein Blick in die Header der Antwort ergibt:

CODE:

HTTP/1.x 400 No Host matches server name www.domain.tld

Diese Fehlermeldung kommt übrigens auch, wenn man keinen Context für den Vhost eingerichtet hat - sehr angenehm zum testen
Wieso man in der Adminoberfläche weniger wesentlich weniger Attribute angeben kann als möglich, will ich garnicht wissen.

Sehr schamant fand ich auch folgenden "Bug": man lad eine WAR-Datei hoch, die dann vom Tomcat entpackt werden sollte. Dieser macht es nicht und äußert sich im Log nur, dass er das Verzeichnis WEB-INF nicht finden kann. Was irgendwie logisch ist, wenn nichts entpackt wurde.
Lösung: tomcat hatte nicht die Schreibrechte auf den Ordner, so dass die WAR-Datei nicht entpackt werden konnte. Es kam aber kein Fehler dazu, so dass ich lange rumsuchen musste
Ich vermute einfach mal, dass dort das Ich-Muss-Alle-Exceptions-Fangen Paradigma von Java zugeschlagen hat..

Bei meiner Installation einer anderen Java-Software kam es zu weiteren Fehlern. Für die Anwendung Roller muss man einen Context anlegen und in diesem die Datenbankverbindung konfigurieren. Das Problem: sobald man den Context anlegt, kommt man in der Administrationsoberfläche nicht weiter - es kam der Fehler "Document base does not exist or is not a readable directory.". In den Logfiles von Roller fand ich aber den Hinweis, dass die Anwendung schon versuchte, die Datenbankverbindung aufzubauen... Also die Konfigurationsdatei des Contexts von Hand editiert und schon funktionierte alles.. Aber zum Thema Logfiles lesen: wenn ich keinen Debugmodus angeschaltet habe, möchte ich keinen über 20-zeiligen Stacktrace bekommen. Da sieht man ja die Fehlermeldung vor lauter Methodenaufrufen nicht mehr!

Weiterhin hat die Adminoberfläche scheinbar Probleme mit einem Context, dessen Appbase manuell gelöscht wurde:

CODE:

HTTP Status 500 - Error retrieving attribute debug

Davon, dass ich in die Administrationsoberfläche nach einmaligen Anlegen weder Path noch Docbase ändern kann, will ich garnicht erst reden

Danke, mir reicht's erstmal mit Tomcat

CODE:

# emerge -C tomcat

Wann ist endlich Mono so weit, dass ich ASP.Net 2 unter Linux einsetzen kann?
Oder es endlich Dedicated Server Angebote mit genug RAM gibt, so dass man dank Virtualisierung sowohl Linux als auch Windows fahren kann?

Über die Verwendung von Interfaces

nospam@example.com (Jtb) — Tue, 18 Jul 2006 16:26:29 +0200

Mal wieder ein schönes Beispiel zum Thema Programmieren an der Uni. Aufgabe war die Implementierung einer HashTable in Java. Schon die Angabe der verschiedenen Modi der HashTable über Strings brachte mich arg zum stauen (wo es doch in Java 5 so schöne Enumerations gibt und man damit sich kostenlos Schutz durch den Compiler erkauft).
Aber das Beste war die Verwendung eines Interfaces. Man bekam ein Interface namens EntryInterface gestellt und musste nun eine Klasse namens Entry unter Verwendung dieses Interfaces implementieren.
Moment – Warum ist der Klassenname Entry vorgegeben?
Wir haben doch eine schön definierte Schnittstelle und die mitgelieferten Testcases können doch einfach diese nutzen. Dank Interface habe ich ja ein Abstraktionslayer, so dass die reelle Implementierung von EntryInterface niemanden außer dem Entwickler der HashTable-Interna interessieren sollte.
Beim näheren Anschauen der Testcases lief dann auf, dass diese eine Instanz von Entry benötigen:

CODE:

@Test
public void testHomeAdress_DivisionLinear() {
Entry testEntry1 = new Entry();
testEntry1.setKey("Z8IG4LDXS");
testEntry1.setData("OK");

Es hat schon einen guten Grund, warum die HashTable in Java anders implementiert ist. Dort muss man nicht ein Objekt übergeben, sondern direkt Key und Data. Eine Klasse weniger nötig zum Benutzen.
Ein Interface auf eine solche Art zu benutzen ist schon arg komisch. Da gibt es nun wirklich bessere Lösungen..

PHP5 wird langsam Standard

nospam@example.com (Jtb) — Sat, 08 Jul 2006 11:07:17 +0200

So langsam muss ich mir überlegen, ob ich nicht die diversen Webserver, die ich warte auf PHP5 upgrade..

Die gerade rausgekommene Version 1.7 von MediaWiki läuft nur noch damit:

MediaWiki 1.7 requires:
* PHP 5.0 or later
Older versions will no longer work

Aber das Problem: bei Debian stable gibt es immernoch nur PHP3 und PHP4
Wenn das weiterhin so bleibt, wird Debian wohl einige User verlieren..

WM-Ende Countdown

nospam@example.com (Jtb) — Sat, 06 May 2006 17:09:26 +0200

Ihr habt kein Bock mehr auf die WM?
Ihr wollt endlich wissen wann der ganze Wahnsinn ein Ende hat?

Für den WM-Hasser gibt es ab sofort den WM-Ende Countdown für den Windows-PC
Einfach runterladen, installieren und starten - ihr werdet immer auf den aktuellen Stand gehalten, wie lange ihr noch aushalten müsst.

Falls an eurem Arbeitsplatz ein WM-Fan vorbeigehen sollte, könnt ihr den Countdown einfach ins Systray minimieren (Doppelklick auf das Fußballicon im Systray).

WM-Ende Countdown Setup
Für die Installation wird das dotnet-Framework 2 benötigt (32bit Variante und 64bit Variante kann man sich bei Microsoft runterladen)

Bitte beachtet, dass dieses Produkt kostenlos ist und ich es ohne jede Garantie anbiete. Installation auf eigenes Risiko! Wer meinen Code validieren will, kann dazu gerne den .Net Reflector nutzen

Folien zum Thema "Code-Injection in PHP und Einbauen eines Public Keys"

nospam@example.com (Jtb) — Wed, 03 May 2006 23:55:34 +0200

Im Rahmen des aktuellen Praktikums füge ich meiner Auswertung vom Hacking-CTF2005 noch ein paar Folien zum Thema Code-Injection in PHP hinzu. Als kleine Bonusbeilage auch ein praktischer Angreif: Einbauen eines Public Keys für SSH

Folien Code-Injection in PHP (PDF)
Folien Code-Injection in PHP (Powerpoint)

Lizenzierung für dotnet-Programme

nospam@example.com (Jtb) — Mon, 06 Mar 2006 15:06:40 +0100

Aufgabe: ein dotNet-Programm soll ein Lizenzmodul bekommen. Features sollen freischaltbar und optional mit Ablaufdatum versehen werden..

Jetzt kann man sich einen Lizenzkey wie von Windows bekannt irgendwie zusammenrechnen und damit einige Nachteile in Kauf nehmen oder man nimmt eine schöne Lösung: Anwendungslizenzen mit digitalen XML-Signaturen

Aber erstmal zu den Nachteilen eines einfachen Lizenzkey:

Speichermenge begrenzt

Key muss zurückrechenbar sein

Ein Vorteil eines Lizenzkeys ist aber seine feste Länge.

Jetzt ein paar Überlegungen:
Warum eigentlich die Informationen verschlüsseln oder hashen? Die Information an sich muss doch nicht versteckt werden - nur ihre Validität muss gewährleistet sein.
Informationen speichert man heutzutage in XML-Dateien. Vorteil: sowohl von Maschine als auch Mensch leicht lesbar - eine beispielhafte Lizenz-Datei könnte z.B. so aussehen:

CODE:

<license>
  <expires>2006-12-31T00:00:00</expires>
<feature>
  <name>MeinFeature</name>
  <expires>2005-12-31T00:00:00</expires>
</feature>
<feature>
  <name>MeinFeature2</name>
</feature>
</license>

Den Anspruch Informationen in einer XML-Datei abzusichern erfüllen digitale XML-Signaturen.
Dafür bedient man sich einfach der asymmetrischen Verschlüsslung/Signatur und setzt in dem Fall einfach die Signatur als neues Element in die XML-Datei:

CODE:

<license>
  <expires>2006-12-31T00:00:00</expires>
<feature>
  <name>MeinFeature</name>
  <expires>2005-12-31T00:00:00</expires>
  </feature>
<feature>
  <name>MeinFeature2</name>
  </feature>
<Signature xmlns="http://www.w3.org/2000/09/xmldsig#">
<SignedInfo>
  <CanonicalizationMethod Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" />
  <SignatureMethod Algorithm="http://www.w3.org/2000/09/xmldsig#rsa-sha1" />
<Reference URI="">
<Transforms>
  <Transform Algorithm="http://www.w3.org/TR/2001/REC-xml-c14n-20010315" />
  <Transform Algorithm="http://www.w3.org/2000/09/xmldsig#enveloped-signature" />
  </Transforms>
  <DigestMethod Algorithm="http://www.w3.org/2000/09/xmldsig#sha1" />
  <DigestValue>zy7NouuPtItDJ2H2Ronc66uZH3U=</DigestValue>
  </Reference>
  </SignedInfo>
  <SignatureValue>FkvvXy3 [....] xd8=</SignatureValue>
  </Signature>
</license>

[SignatureValue ist hier gekürzt, da der String sehr lang ist]

Die eigentlichen Informationen bleiben bestehen und können nun ohne die Signaturprüfung fehlschlagen zu lassen nicht mehr verändert werden. Alternativ kann die Signatur auch in eine neue Datei geschrieben werden - dann müssen aber zwei Dateien an den Kunden ausgeliefert werden: Lizenzdatei und Lizenzsignaturdatei.

Vorteile:

UTF8-kompatibel

leichter zu debuggen als ein Aufwändiger Algorithmus für einen "normalen" Lizenzkey

Neue Signatur auch vor Ort beim Kunden erstellbar - der Supporter braucht nur den privaten Key und eine kleine Anwendung

Man kann relativ leicht neue Felder und Attribute hinzufügen - wenn man aufpasst sogar mit Rückwärtskompatiblität

Man kann quasi beliebig viel speichern

Lizenzdatei ist vom Supporter lesbar - er kann sofort sagen, wann Feature xy ablaufen wird

basiert auf Standards

Ein Beispielprojekt für das ganze gibt es bei CodeProject: Using XML Digital Signatures for Application Licensing.

PHP - safe_mode fällt weg

nospam@example.com (Jtb) — Fri, 03 Mar 2006 22:35:21 +0100

Ein großer Umbruch bei PHP: der safe_mode wird demnächst ersatzlos wegfallen (vor einiger Zeit schon beschlossen)!
Im CVS wird schon aufgeräumt: Start nuking safe_mode

open_basedir bleibt aber erhalten - kann zwar auch umgangen werden, aber da dachten die Entwickler sich wohl, dass dennoch Sinn macht.. Jetzt müssen wohl einige ihr PHP-Setup umbauen - ansonsten kann jedes Skript eines VHosts Schaden anrichten. Lösungen sind z.B. fastcgi mit suexec und su_php - damit kann jeder Vhost unter einem eigenen User laufen (und nebenbei noch eine eigene php.ini bekommen)..

Na ja, es bleibt noch ein wenig Zeit (wohl messbar in etlichen Monaten) - auch ich muss noch mein Setup umstellen, auf dem Chaos-Darmstadt-Server habe ich es allerdings schon "richtig" eingerichtet (nach der Anleitung auf debianhowto.de)

Windows Vista Sidebar

nospam@example.com (Jtb) — Sun, 26 Feb 2006 14:41:46 +0100

Nachdem ich schon ein bißchen über die Sidebar in Windows Vista Build 5308 berichtet habe, möchte ich nun ein bißchen auf die Programmierung von Gadgets eingehen..

Eigentlich habe ich mich ja gefreut, ein paar nette Gadgets in dotnet programmieren zu können. Aber bislang scheint es so, als ob man Gadgets nur mit Javascript und (D)HTML programmieren könnte. Auch seitens Microsofts war eigentlich die Möglichkeit von XAML geplant.

Offizielles Statement aus dem MS Gadgets Forum:

Yes, I'm sorry to say that we won't be support WPF (Avalon, or XAML) gadgets in this release of the Sidebar. We really love WPF and are looking at ways to support it in the future, but we think that HTML will be the most interesting to all the existing developers.

Das bedeutet für mich schlagartig, dass die Programmierung von Gadgets uninteressant wird. Ich möchte kein relativ eingeschränktes Sidebar Gadget Object Model, sondern die ganze Mächtigkeit, die mir dotnet bieten kann.
Wahrscheinlich waren diese Entscheidungen auch der Grund, dass die Sidebar erst so spät in die offiziellen Testbuilds Einzug hielt. Auch die standardmäßig ausgelieferten Gadgets sind nicht gerade viele wie man rechts sehen kann..

Das bedeutet für mich effektiv, dass ich die Sidebar wohl wieder deaktivieren werde.

D&D Online - keine Alternative zu WoW

nospam@example.com (Jtb) — Thu, 09 Feb 2006 19:42:58 +0100

Nachdem ich nun ein bißchen D&D Online Beta gespielt habe, bin ich der Meinung, dass D&D Online keine Alternative zu WoW ist (Warnung: alles bezieht sich auf die Beta - es kann sich noch einiges ändern!).
Es fehlt einfach der Daddel-Faktor. Die D&D-Regeln mögen für ein Pen&Paper-Spiel ganz schön sein, aber nicht wirklich für ein MMORG (Massive Multiplayer Online Roleplaying Game). Ehrlich gesagt verstehe ich nicht wie man D&D Online überhaupt ein MMORG nennen kann - es fehlt einfach das "Massive". In der Stadt sieht man natürlich die anderen Spieler, aber es fehlt die Interaktion. Da alle Dungeons instanziert sind, geht man sowieso nur alleine (dazu später mehr) oder mit einer Gruppe rein.
Aufgrund der wesentlich komplexeren Regeln muss eine Gruppe eingespielt sein (z.B.: Dieb muss immer vorgehen). Das Sterben wird in DDO wesentlich stärker bestraft: wenn die Gruppe einen nicht ins Leben zurückholt, wird man in die letzte Taverne zurück teleporiert. Dabei wird der Quest-Status für den Dungeon zurückgesetzt (also alles nochmal neu machen). Man ist also lange Zeit im Dungeon unterwegs, hat eigentlich alle Quests gelöst und stirbt dann am Ende (z.B. durch Ertrinken oder banale Sachen wie Disconnect, Lag oder sonstiges) muss auf die Gruppe hoffen (solange man nicht alleine unterwegs ist). Falls die Gruppe unfair ist, muss sie einen nicht retten - sie bekommen ja die XP..
Der Spielspaß in DDO entsteht durch die Interaktion mit der Gruppe - d.h. der Spielspaß ist nur dann da, wenn man eine gute Gruppe hat. Viele XP-Rusher wie bei WoW machen den Spielspaß dann komplett kaputt.
Irgendwie stört mich auch, dass ich Leben&Mana nur über Heilzauber, Tränke, Resting-Stones und in Tavernen regenerieren kann. Selbst in der Taverne dauert es lange bis man wieder komplett regeneriert ist.

Außerdem benötigt DDO eine hohe Auflösung. Unter 1024x768 ist absolut garnichts zu machen - besser klappt es erst mit 1280x1024. Immerhin sind die UI-Komponenten komplett verschiebbar.
Informationen über Character oder Items werden in einem eigenen Fenster angezeigt - Tooltips werden da viel schöner und platzsparender.

Sehr schön finde ich allerdings den eingebauten VoIP-Client - die Frage ist aber ob das nicht gerade die RP-Atmosphere zerstört.

Ed hat sich auch zum Betatest geäußert und DDO kommt nicht gerade gut weg..

Was mir aber abgesehen vom spielerischen Aspekt sehr gut gefällt, ist die Infrastruktur hinter DDO. Der Launcher ist in dotNet geschrieben (Version 1.1) und spricht auch mit den Servern über Standardprotokolle. Es gibt Webservices zum Login & Abfragen der Serverliste. Jeder Programmierer kann also sehr leicht die Informationen abfragen und z.B. auf die Clan-Homepage einbauen.
Weiterhin wird dadurch das dotNet-Framework verbreitet was mich sehr freut (leider halt die alte Version).