• Hier kann man mit der Tropfenschachtel seltsame Dinge anstellen: Automatisiere Deine Dropbox.
• Für ultra-hardcore Pythonistas: PBS »is a unique subprocess wrapper that maps your system programs to Python functions dynamically. PBS helps you write shell scripts in Python by giving you the good features of Bash (easy command calling, easy piping) with all the power and flexibility of Python.«
• Wenn es schon ein Windowsrechner sein muß, dann sollte man sich auch mal die Sicherheitsempfehlungen für Privatanwender des Bundesamts für Sicherheit in der Informationstechnik (BSI) zu Gemüte führen (unter Vorbehalt, als Nicht-Windows-Nutzer kann ich die Qualität der Empfehlungen nicht wirklich beurteilen).
• ShareLaTeX ist eine Art EtherPad für LaTeX, mit dem mehrere Autoren in Echtzeit an einem Dokument arbeiten und es auch mit einem Klick online zu einem PDF-Dokument konvewrtieren können. (Notiz an mich: Testen!)
• Mal wieder etwas für die, denen der Emacs nicht nerdig genug ist: Vim-Tipps.
• Dream Anatomy hatte ich zwar schon einmal, aber da das jetzt über neun Jahre her ist, kann man ruhig wieder auf diese phantastische Sammlung zur Medizingeschichte der U.S. National Library of Medicine hinweisen.
• Server-Monitoring leichtgemacht mit Amon.
• Mal wieder mein Lieblingsthema »Statische Seiten«: Mynt ist ein statisches Weblog-Framework, das in Python geschrieben wurde und auf den ersten Blick einen ziemlich guten Eindruck hinterläßt. Ich glaube, ich sollte dies einmal unbedingt testen!

Wie immer hoffe ich, daß für jeden von Euch etwas dabei ist. [Alle Links: Peter van I. per Email.]

• Wie man Threads korrekt in Python implementiert, verrät Euch dieses Tutorial: Python threads: communication and stopping.
• WordPress Goes Social: Mit diesem Plugin könnt Ihr ein Forum in Eure WordPress-Umgebung einbauen.
• Eine weitere Blog-Engine für Googles App Engine (und web2py).
• Security Alert: Wi-Fi Protected Setup easily unlocked by security flaw. Schreiben die Geier. Ist also wahr …
• Automatisiere Deine Tropfenschachtel (hier eine kurze Review).
• Don’t Panic! Welcome to The Hitchhiker’s Guide to Python.

Ich möchte mich bei Peter für die Zusammen- und Zuarbeit im letzten Jahr bedanken und hoffe auf noch viele weitere Jahre mit Tips und Links aus den Niederlanden. [Alle Links: Peter van I. per Email.]

Die vorgestrige Keynote auf dem 28.Chaos-Computer-Kongreß (28C3) in Berlin von Meredith Patterson war eine Tour de Force über Linguistik und formale Sprachen, die erklärte, warum Computer unsicher sind und wie man die Sicherheit dramatisch steigern könnte:

Hard-to-parse protocols require complex parsers. Complex, buggy parsers become weird machines for exploits to run on. Help stop weird machines today: Make your protocol context-free or regular!

Protocols and file formats that are Turing-complete input languages are the worst offenders, because for them, recognizing valid or expected inputs is UNDECIDABLE: no amount of programming or testing will get it right.

A Turing-complete input language destroys security for generations of users. Avoid Turing-complete input languages!

Pattersons Mitautoren waren ihr kürzlich verstorbener Ehemann Len Sassaman und Sergey Bratus (nicht »Brutus«, wie es bei BoingBoing steht). Seltsamerweise fand dieser bahnbrechende aber sicher auch umstrittene Vortrag bisher keine Erwähnung auf Tante Heise, die doch sonst jeden Furz vom 28C3 kommentiert. [BoingBoing]

• Ein Sicherheitshinweis: Java Considered Harmful.
• Mal wieder statische Seiten: Pyhame »is an easy static website creator written in Python3.«
• Nachweihnachtliche Basteleien: How can we draw a Christmas tree with decorations, using TikZ? Wobei TikZ eine Art Vektorgraphikpaket für TeX/LaTeX ist.
• Ruby lernen leicht gemacht — mit KidsRuby. Ich weiß nicht, ob mich das mehr an Processing oder doch eher an Greenfoot (beides Java) erinnert. Überhaupt: Es gab doch schon mal mit Shoes eine ähnliche Ruby-Lernum­gebung. Was ist eigentlich daraus geworden?
• Ankündigung: Da will jemand das Rad den Emacs neu erfinden.

Wie immer hoffe ich, daß für jeden von Euch etwas dabei ist. [Alle Links: Peter van I. per Email.]

1. unter MacOS X konnte ein Java-Applet mit Java SE 6 in der Version 1.6.0_29 den Browser zum Absturz bringen
2. unter Windows konnte die Verwendung des Passwortmanagers Roboform in Versionen älter als 7.6.2 zu einem Absturz führen

Firefox weist selbst auf dieses Update hin. Diese Prozedur kann aber auch wie immer über das Menü Hilfe -> Über Firefox angestoßen werden. [Mein persönlicher CERT per Email.]

Ich bin ja der Meinung, daß sensible Daten in der Tropfenschachtel nichts verloren haben (die Gefahr, daß sie da wieder herauströpfeln, ist mir zu groß). Wer sich dennoch traut, sollte sie wenigstens verschlüsseln. Eine preisgünstige (99 Cent) Möglichkeit dazu bietet die Safebox (Win und Mac). [Peter van I. per Email.]

[2]: Mit dem kürzlich veröffentlichten Update auf iOS 5.0.1 wurden auch teilweise kritische Sicherheitslücken geschlossen wie z. B.:

• die Möglichkeit zur Umgehung der Code-Sperre mit dem Smart Cover des iPad 2
• das vom Sicherheitsexperten Charlie Miller entdeckte Sandbox-Problem im Kernel, über das eine App schädliche Programmanweisungen nachladen könnte

Das Update ist somit allen Besitzern eines iOS 5 fähigen Gerätes zu empfehlen. Erstmalig kann das Update übrigens auch als imkrementelles Update Over the Air (OTA) geladen werden über »Einstellungen -> Allgemein -> Software­aktualisierung«. Damit ist es auch nur knapp 50 MB fett. [Mein persönlicher CERT per Email.]

Ging zwar schon durch sämtliche Blogs und sozialen Netze, aber das es ein sehr anschauliches Video ist und wir in unserer Empörung nicht nachlassen sollten …

Möglich macht diesen Angriff übrigens das Java-Plugin. Daher erwägen auch die Mozilla-Entwickler, die Java-Plugins per Update automatisch zu deaktivieren.

Da in den TLS-Versionen 1.1 und 1.2 diese Schwachstelle nicht mehr vorhanden ist, empfiehlt Microsoft den Wechsel zu den neueren Protokollversionen. Nur wird dies bislang von den wenigsten Web-Servern überhaupt unterstützt, und zudem scheinen manche Java-Plugins eigene TLS-Stacks zu verwenden.

Das es nun nicht ganz einfach ist zu prüfen, welche Verschlüsselungs-Variante gerade verwendet wird, empfiehlt das BSI folgende Sicherheitsmaßnahmen, um die Gefahr eines erfolgreichen Angriffs zu verringern:

1. “https”-Verbindungen sollten mit einem frisch gestarteten Browser durchgeführt werden.
2. Während einer gesicherten Sitzung sollten keine anderen Webseiten geöffnet sein, also auch nicht in Tabs oder weiteren Fenstern.
3. Gesicherte Sitzungen (Online-Banking, -Shopping, Soziale Netzwerke etc.) sollten möglichst kurz gehalten und durch aktives Ausloggen sowie Schließen des Browser-Fensters beendet werden.
4. Java-Plugins im Browser sollten aus den obigen Gründen deaktiviert werden.

Letzter Punkt ist zwar eigentlich sinnvoll und richtig, aber dennoch für einige Anwendungen speziell im Bereich Mathematik und Visualisierung, wie z.B. Sage, Processing oder Cinderella eine Katastrophe. Gut, daß ich nicht online bänke. [Mein persönlicher CERT per Email.]

Unterdessen scheint ein weiterer Mac-Trojaner »OSX/flashback.A« aufgetaucht zu sein, der vorgibt, den Adobe Flash Player installieren zu wollen. Dieser soll in der Lage sein, die Sicherheitssysteme von MacOS X für eine Hintertür auszuschalten, um so laufende Programme zu infizieren. Auch hierfür will Apple in Kürze eine Aktualisierung seiner Malware-Definition durchführen.

Kommt es Euch nicht auch komisch vor, daß alle diese Trojaner über Adobe-Produkte den Rechner infizieren? [Mein persönlicher CERT per Email.]

Paßt mal auf Eure Website auf. Dort treibt sich ein ungültiges Zertifikat herum. Das wollt Ihr doch nicht wirklich, oder?

• Ist rbenv eine Alternative zum populären Ruby Versions-Manager RVM?
• Mal wieder ein Artikel, wie man die Tropfenschachtel angeblich dicht bekommt: Securing Dropbox. Und noch einer: Dropbox Encryption – Install EncFS on OSX to encrypt-decrypt Dropbox content realtime. Ich persönlich habe da ja eine viel simplere Lösung: In die Dropbox gehören einfach keine Daten, die man nicht auch per Postkarte verschicken würde. (Damit wir uns nicht falsch verstehen: Ich nutze meine Dropbox intensiv, aber da liegen nur Bilder und Artikel (-entwürfe), die ich über kurz oder lang sowieso veröffentlichen möchte.)
• Und wieder mal ein wenig JavaScript, die Sprache scheint ja momentan gewaltig en voque zu sein: eyeball.js ist ein kleines MVC-JavaScript-Framework, mit dem sich schnelle, kleine Webapplikationen stricken lassen.
• Und noch etwas für die Pythonistas: Extracting names with 6 lines of Python code. Eine kleine, schmutzige, aber dafür schnelle Anwendung für das NLTK.
• Noch ein wenig Schlangenfraß: PyCloud ist eine Python IDE im Browser. Ganz nett, um interaktiv Python zu lernen.

Das war’s. Wie immer hoffe ich, daß für jeden von Euch etwas dabei ist. [Alle Links: Peter van I. per Email.]

• Tokyo Promenade ist ein freies (GPL) Contant Management System (CMS) aus Japan (entwickelt von FAL Labs). Es nutzt als eingebettete Datenbank Tokyo Cabinet, eine »moderen« DMB-Variante (die aber mittlerweile von der DBM Kyoto Cabinet des gleichen Herstellers überholt ist).
• SublimeVideo will der erste FullScreen-HTML5-Video-Player sein.
• Ist Gmail Snooze with Apps Script die Lösung für Leute, deren Mailbox ständig überläuft und die daher Mails auf Wiedervorlage stellen möchten? Also für Leute, wie mich?
• Google will Eure Webseiten schneller machen: Page Speed Service: Web performance, delivered.
• nvALT 2 (Open Source) ist ein kleines, digitales und konfigurierbares Notizbuch für Maushasser. Es unterstützt Markdown, MultiMarkdown und Textile und macht auf den ersten Blick einen recht guten Eindruck.
• Mathematik in den Nachrichten: Lisa Sauermann gewann ihre 4. Goldmedalle auf der Internationalen Mathematik-Olympiade (IMO) 2011. Gratulation!
• Ich schätte ja (fast) nie, aber Peter meint, Convore wäre die Chat-Software für das 21. Jahrhundert.
• TeXShop (GPL) ist in der Version 3.02 erschienen und hat sich für den Löwen fit gemacht.
• Lesefutter für die Freunde der roten Eisenbahn: Top 5 Free Ruby on Rails Tutorials and Books.
• Die interaktive Python-Shell (nicht nur) für Wissenschaftler, iPython, steht schon lange auf der Liste meiner Testkandidaten. Dieser Beitrag erhöhte noch einmal meine Motivation: Innovations in iPython. Jetzt brauche ich nur noch mehr Zeit.
• PySide (LGPL) ist eine Cross Platform-Bibliothek für Qt. Und hier steht, wie man sie unter MacOS X zum Laufen bekommt.
• WordPress Security Alert: TimThumb security vulnerability discovered, affects many WordPress themes. Das Teil scheint auch früher schon Probleme verursacht zu haben.
• Mit ApplePy könnt Ihr sowohl den 6502-Chip wie auch einen Apple II emulieren.
• Science in der Cloud oder LHC@home?.
• Last but not least: Die Dandies haben Python-Tools und -Bibliotheken gesammelt und auf einer Webseite der Allgemeinheit zur Verfügung gestellt.

Das sind wieder eine Menge Links und ich hoffe, es ist für jeden von Euch etwas dabei. [Alle Links: Peter van I. per Email.]