OWASP Top 10 – 2010 RC1

A first release candidate for the OWASP Top 10 2010 was released a while ago. The new layout is astonishing.

Document (Download as PDF):

51.234536 6.826864

SAP Portal: Portal Services #Tip1

Wer sich schon immer gefragt hat warum das initialisieren eines Portal Services in Webdynpro bzw. einer Portal Component

//Webdynpro
WDPortalUtils.getServiceReference(IMyService.KEY);

//Portal component
PortalRuntime.getRuntimeResources().getService(IMyService.KEY);

andauernd null zurück liefert, der Portal Service aber deployed und gestartet wurde. Für den gibt es eine einfache Antwort.

Die Initialisierung funktioniert nur wenn in der portalapp.xml des Portal Services ein Alias für den Service definiert wurde:

//[…]
<services>
    <service name="MyService" alias="myservice">
      </service><service -config>
<property name="className" value="de.portal4gamers.MyService"/>
      </service>
      <service -profile>
<property name="filename" value="test"/>
      </service>

//[…]

Die KEY Variable im Service Interface setzt man dann noch auf den Alias

public static final String KEY = "myservice";

Anschließend deployed und restarted man die Anwendung. Und schon erhält man eine Service Referenz die man dann nur noch auf die eigene Implementierung casten muss.

WebKit/Safari mit HttpOnly Support

Safari respektive WebKit erhält endlich den HttpOnly Cookie Support:

HttpOnly Cookie (38566)

An Internet Explorer extension (added in Firefox and Opera since) will soon be supported by WebKit based browsers. This restricts the access to certain cookies. They are only available for an HTTP request and so not from JavaScript. This is an important functionality to restrict the damages of an XSS vulnerability. This is not available in the nightlies because you need some updated Apple proprietary libraries (CFNetwork). UPDATE (29 december) : CFNetwork has been updated since this commit so it is now testable in the nightlies, my bad.

Youtube in 720p HD

Vor einiger Zeit hat Youtube den High Quality Modus eingeführt den man früher über eine Erweiterung der URL (siehe Blogeintrag) für jedes Video aktivieren konnte. Aktuell testet Youtube Videomaterial in 720p High Definition zu streamen und mit einem ähnlichen neuen Parameter lässt sich 720p wieder für beliebige Videos aktivieren.

Dazu sollte die Videoquelle allerdings auch in 720p auf Youtube hochgeladen worden sein. Die Youtube Beispiel-Video-Quellen haben die folgende Eigenschaften:

Audio: AAC 44100Hz stereo 232Kbps
Video: MPEG4 Video (H264) 1280×720

Der neu Parameter lautet &fmt=22 wie z.B. in: http://www.youtube.com/watch?v=zlfKdbWwruY&fmt=22

Anschließend noch in den Vollbild Modus wechseln, ansonsten bringen 720p in einer so kleinem Fenster nicht viel …

Microsoft SDL Threat Modeling Tool

Viele werden schon mal vom SDL (Secure Software Development Lifecycle) gehört haben und wissen, dass Microsoft diesen zur Entwicklung der eigenen Produkte anwendet.

Eine Phase dieses Models ist das Threat Modeling für das Microsoft das bisher interne Tool „MS TAM“ entwickelt hat. Dieses Tool wurde jetzt so angepasst, dass es der breiten Öffentlichkeit zur Verfügung steht.

Die erste Beta Version kann man kostenlos im Microsoft Download Center herunterladen.

Der SilverStr Blog hat ein interessantes Gespräch (Podcast) mit John Bristowe (Developer Evangelist for Microsoft) über SDL und das MS TAM Tool geführt.

New Anti-XSS Technology / Browser Plugin

Björn Engelmann, Joachim Posegga, und LocalRodeo Entwickler Martin Johns haben ein ausgezeichnetes Paper zu einem neuen Cross-Site-Scripting-Detection-System namens XSSDS geschrieben. In kürze wird noxss.org auf Basis dieser neuen Technologie eine Browser-Erweiterung veröffentlichen. Der XSSDS Ansatz ähnelt in gewisser Hinsicht dem IE8 XSS-Filter-Ansatz.

Google Chrome for Mac / Linux

Codeweavers hat eine Portierung von Googles Chrome Browser durchgeführt und das Projekt “CrossOver Chromium” gestartet. Damit müssen Nutzer dieser Systeme nicht mehr warten, bis Google zu einem unbestimmten Zeitpunkt die offizielle Chrome Version herausbringt.

Eine erste Version für Mac OS X und Linux gibt es zum Download auf der Projektseite.

The IT Crowd – Season 3

“Good news! I delivered the sixth and final episode of series 3 this morning. With only three weeks till we begin location filming”

Graham Linehan lässt die Fans sogar mithelfen die Kulissen zu gestalten:

“How would you like to help in designing the look of series 3? Specifically, you’d be helping us choose the stuff that litters the main set. I’m talking about posters, comics, fanzines, T-shirts… anything you’ve seen in the last few months that you think is pretty cool or captures the spirit of the show or a particular character. By now, most of you know the kind of things I like…weird toys, indie comics, sci-fi, geek references, internet memes, boardgames…normally I’d delight in tracking down the stuff myself, but as I say, it’s just not going to happen this time round.”

Vorschläge gehen an: ben.capel@talkbackthames.tv

via

Google Chrome on Mac OS X

Nachdem ich gerade Chrome in einem VMWare Image laufen lassen habe, kann ich die native Mac Version gar nicht mehr abwarten. Wie gut das der Browser OpenSource ist und Google schon eine Mac Build Anleitung bereitstellt.

Keine Lust auf Mathe?!

Na da wird euch Mathway sicher helfen. Man gibt einfach komplexe Mathematische Aufgaben ein und erhält nicht nur die Lösung, sondern auch alle Zwischenschritte.

Hausaufgaben kein Problem mehr. Man muss nur noch etwas für die Klausuren finden …