Man kann unterstellen, dass Googles “Do no evil”-Doktrin eigentlich eine “Do much good and drown everybody in it”-Doktrin ist, die Google einsetzt, um offensiv Diskussionen über die Probleme, die mit dem Geschäftsmodell von Google einhergehen (bei allen Beteuerungen zum Trotz, Picasas Namens-Tags lassen jede Überwachungskamera alt aussehen), zu vermeiden. In diesem Licht hat jedenfalls die [...]

This blog is running WordPress, one of the most popular web-logging applications. Recently, another flaw in WordPress surfaced and caused some stir and panic. The issue was (in the end) missing type-checking on user-provided input, a well-known and well-understood flaw. This must not happen to a project of WordPress’ popularity and professionalism. I looked at [...]

Ich bin gestern über die neue Gesichtserkennungs und Tagging-Funktion in Googles Picasa gestolpert. Ich fasziniert, gleichzeitig ist mir unheimlich. Für diejenigen, die das noch nicht kennen: Googles Online-Foto-Album kann alle eigenen, online gestellten Bilder nach Gesichtern durchsuchen. Die kann man dann mit Namen und Mail-Adresse (Google-Mail-Adressbuch) verknüpfen. Dabei werden ähnliche Gesichter automatisch gruppiert, man kann [...]

The Computer Security department of TU Berlin kindly agreed to host a presentation about my diploma thesis on Tuesday, Dec 18th. I was able to talk to a very technically versed audience about my (not so) new technical approach to XSS and SQLIA (“let the framework take care of it”). Thanks a lot, guys! Despite [...]

Ausdrucksschwache Sprache Ein Business-Model definiert man üblicherweise in einer Sprache, die ausdrucksfähig genug dazu ist. Wieso bildet die ActiveRecord Implementation bei Ruby on Rails dann ausgerechnet einfach das Datenbankschema ab? In SQL99 gibt es zwei numerische Typen, drei Datumstypen und Strings. Wie bitte schön kann ich ausdrücken, dass ein Attribut eine E-Mail Adresse ist? Oder [...]

I’m in the process of writing my Diploma Thesis about how to prevent injection-related (XSS and SQLIA) vulnerabilities at the Software Engineering working group of the computer science department at Freie Universität Berlin. For now, there’s not much to see here. Please have a look at the wiki page about my thesis and a concept [...]

Am letzten Wochenende war BarCampBerlin3 in der Telekom-Hauptstadtrepräsentanz. Kurzzusammenfassung: Im Web2.0 findet die Finanzkrise nicht statt Twitter! die Hauptstadtrepräsentanz ist toll T-Systems sucht über 200 qualifizierte Leute (Ingenieure, Projektmanager, Senior Developer) Macs sind out, der eeePC ist in Lebensmittelstartups sind das nächste große Ding (Müsli, Kaffee, Schokolade, Saft) Vorträge sind auf Englisch, auch wenn der [...]

Vorwort: In meiner Diplomarbeit zitiere ich Quellen aus dem Web. Das ist in der Wissenschaft immer noch nicht gern gesehen. Und ausserdem umständlich (Datum dazuschreiben, wenn man einen Blogeintrag zitiert? Wie Bitte?). Aus dem Ärger sind ein paar Anforderungen entstanden, die ich ziemlich Nahe liegend fand und mich gewundert habe, dass diese so noch nirgends [...]

Liebe Leser, ich suche nach einer web-basierten Konferenzplanungssoftware mit folgenden Eigenschaften: Tagesplanung mit Zeit-Slots Termine/Vorträge mit einem Klick und Eingabe des Titels erstellt werden Termine/Vorträge lassen sich im Zeitraster hin und herziehen (ja, drag-n-drop) mehrere Tracks (also z.B. mehrere Räume) parallel müssen unterstützt werden jede Terminänderung erzeugt ein abonnierbares Event (Atom oder RSS) jede Veranstaltung [...]

Google implementiert SAML selbst und “vergisst” dabei eines der wichtigsten Features. Lernt man nicht irgendwann in seiner Computerkarriere, dass man standardisierte Sicherheitsprotokolle nicht mal “so eben” selbst implementiert?