Saturday, 16. August 2008ZauberlehrlingSo, die Einbindung von OpenStreetMap in den Geocounter ist fertig. Der vorerst letzte störende Bug -- ein Popup, das bei jedem anklicken einen halben Zentimeter grösser wurde und nie kleiner -- ist beseitigt. Das dumme dran ist nur, ich bin nicht gescheiter geworden. Üblicherweise programmiert man ja sowas, hat danach irgendwas nützliches oder hübsches und ausserdem weiss man das nächste Mal, wie es geht. Dieser Effekt ist völlig ausgeblieben, ich stehe genauso da wie vorher und staune wie ein Kind, dass das Einfügen magischer Worte wie " AutoSizeFramedCloud = Open Layers. Class(OpenLayers .Popup. FramedCloud, ...); OpenLayers. Feature .prototype .popupClass = AutoSizeFramedCloud; " die Grösse des Popups dauerhaft gleich bleiben lässt, ohne zu wissen, was diese gerahmten Wolken eigentlich sind. Dafür kann ich jetzt sehr gut irgendwelche JavaScript-Stücke zusammenstöpseln, die ich irgendwo gefunden hab.Ich konnte leider auch kein Einsteigertutorial oder so zur OpenLayer- und OpenStreetMap-API finden. Alles was ich weiss, hab ich aus anderer Leute Quellcodes geklaut und ausser "Schau in meinen Quellcode, was da steht funktioniert, warum weiss ich nicht" kann ich auch kein Wissen weitergeben. Zum Glück ist das alles JavaScript und Ajax, das läuft bei den Besuchern im Browser, nicht bei mir auf dem Server. Ich hätte ja Angst, einen vom eigenen Programmierer so unverstandenen Haufen Code irgendwo ausserhalb der Sandkiste eines gutgewarteten Browsers auszuführen ;) Mehr über Zauberlehrlinge erfährt man bei ASP: ... Thursday, 7. August 2008NAT-Router frisst Zufall
Ich hab mir heute mal die Auswirkungen der Nameserver-Patche angesehn, die die letzten paar Wochen rauskamen. Bei den Lücken, die damit geflickt werden sollen, gehts im Wesentlichen darum, noch ein bisschen mehr Zufall in die Abfrage einer Namensauflösung zu bekommen, also das was abläuft, wenn ich im Browser "www.google.de" eingebe und der Browser erfährt, dass er sich zur IP-Adresse "72.14.215.99" verbinden soll.
Damit sich da kein anderer als mein "offizielle" Nameserver und die zuständigen Nameserver für ".de" und "google.de" einmischen, wird eine Zufallszahl zusammen mit der Anfrage losgeschickt und nur Antworten als "echt" gewertet, die auch diese Zufallszahl wieder zurückliefern. Ein Angreifer, der keine Ahnung von meinem Zufallsgenerator hat, wird also keine korrekte Antwort liefern können und mir nicht heimlich seine Homepage (oder Mailserver oder Nameserver ...) unterjubeln können. So dachte man sich das zumindest bisher. Inzwischen weiss man, dass die Zufallszahlen nicht reichen. Zumindest nicht, wenn man das Opfer (oder seine Mitnutzer des gleichen Nameservers) dazu bringen kann, ganz viele Anfragen zu erzeugen. Zum Beispiel, indem man den Mitnutzern ein paar Trojaner installiert. Weil der Begriff "Mitnutzer des Nameservers" zum Beispiel alle Kunden von T-Online umfasst, ist diese Lücke ziemlich schlimm und zwingt vor allem grosse Provider zum schnellen Handeln. Ausserdem wäre es natürlich für einen Angreifer so richtig toll, z.B. sämtliche AOL-Kunden statt zu eBay auf seinen Server zu lenken, entsprechend hoch ist seine Motivation und entsprechend eifrig haben die grossen Provider auch schon schnell gepatcht. Bei diesen Patchen hat man einfach noch ein bisschen mehr Zufälligkeit dazugebastelt. Statt nur der Zufallszahl wird nun zusätzlich der Quellport der Anfragen durchgewechselt. Der Angreifer muss also Zufallszahl und den passenden unter den 64512 möglichen Quellports rausbekommen. Auf dem Server haut das auch ganz gut hin. Wenn ich die Quellports paarweise aufmale, sieht die Verteilung schön wolkig und recht zufällig aus. Dass die Verteilung auch echten statistischen Tests standhält, glaube ich jetzt einfach mal.
Sunday, 3. August 2008Openstreetmap API gefunden
Endlich habe ich die API für Openstreetmap gefunden. Ich spiele schon länger mit dem Gedanken, für den Geocounter statt Google-Maps ein offeneres System zu verwenden, aber die Schnittstellen haben mir gefehlt.
Für Offroad-Tracks ist OSM vermutlich noch nicht so gut geeignet, dafür fehlen einfach zu viele Kartendetails und das Satellitenbild bei Google ist schon auch schön. Für eine Spielerei wie die Anzeige der letzten Homepagebesucher langt die freie Karte aber allemal. Und wer mehr Details sehen mag, soll sie halt selbst eintragen... Ich glaube zwar, dass die Anwender meines Counters das nicht unbedingt zu schätzen wissen. 80% davon sind Kinder, die sich alles in die Homepage kleben, was blinkt. Aber auch denen ist geholfen, wenn sie die erzeugten Bilder anschliessend völlig frei verwenden können und nicht über Googles Nutzungsbedingungen und die Hürden des Urheberrechts stolpern. Die einzige Nutzungsbedingung ist nämlich, dass man auf das Bild schreibt, dass die Daten von Openstreetmap kommen und anderen Leuten wiederum erlaubt, dieses Bild weiterzuverwenden. Das ist nichtmal für mich eine Einschränkung, ich könnte sogar Geld für den Service verlangen, darf dann nur nicht anderen Leuten verbieten, die Bilder weiterzuverschenken. Nachtrag 14.8.: Ich habs mal in den Counter als Alternative eingebaut. Die Funktionalität ist die gleiche wie bei den Google-Maps, aber so richtig glücklich bin ich damit noch nicht. Kleinere Fehler bei der Bedienung sind schon noch drin. Mal sehn, ob ich da noch tiefer eindringen will, spannend ist die Sache jedenfalls schon... (Bild: OpenStreetMap, kopieren erlaubt)
(Seite 1 von 1, insgesamt 3 Einträge)
|
KategorienVerwaltung des Blogs |