Haben Sie Anregungen, Statements oder Kommentare? Dann schreiben Sie an redaktion@linux-magazin.de. Die Redaktion behält es sich vor, die Zuschriften und Leserbriefe zu kürzen. Sie veröffentlicht alle Beiträge mit Namen, sofern der Autor nicht ausdrücklich Anonymität wünscht.

Android-App

02/2012, S. 27: Einige Linux-Magazin-Leser haben mich darauf hingewiesen, dass Abbildung  3 in dem Artikel über freie Firmware meine Batterie-App zeigt. Das ehrt mich ungemein. Was die Leser allerdings vermissen und was auch ich gut fände: einen Hinweis auf den Namen meiner App oder die Market-URL https://market.android.com/details?id=de.mathis.android.ultimatebattery. Das Programm ist kostenlos erhältlich und werbefrei.

Mathias Mewes, per E-Mail

Websocket-Server

01/2012, S. 28: Danke für Ihren interessanten Artikel zu HTML 5 und Websockets. Ich wollte den Meminfo-Server unter Ubuntu 10.04 ausprobieren, mit Python 2.7.2 und Google Chrome 15. Nach dem Herunterladen des Quelltextes habe ich den Server gestartet, doch leider wirft das Programm eine Exception.

Max Jakob, per E-Mail

Den Meminfo-Server habe ich mit Hilfe des Python-Frameworks Autobahn in Version 0.4.2 entwickelt. Ihre Ubuntu-Release verwendet dagegen die aktuelle Version 0.4.3. Diese ist nicht rückwärtskompatibel, weil die Entwickler eine neue Funktion namens »listenWS()« eingeführt haben. Am einfachsten nehmen Sie ein Downgrade auf Version 0.4.2 vor. (Andreas Möller)

Web-Schwachstelle

01/2012, S. 48: Ich möchte von einer weiteren Schwachstelle im Ticketshop bei der Webseite des Miniatur Wunderlands berichten. Die Manipulation von Reservierungen ist mit Hilfe eines Proxyservers wie etwa Paros immer noch möglich. Die Variable »daten« lässt sich ohne Probleme auf Client-Seite vor dem Senden an den Webserver verändern. So ist das im Artikel beschriebene Szenario immer noch ausnutzbar.

Ferner habe ich die Vermutung, dass der zweite Wert der Variablen »daten« den 10-prozentigen Rabatt enthält. Buchungen ohne Rabatt werden mit einer 0 anstelle der 1 gekennzeichnet. Sollte meine Vermutung richtig sein, würde eine Abänderung des Wertes 1 auf 2 dann einen Rabatt von 20 Prozent bedeuten.

Ich habe bereits zwei Mitteilungen an den Betreiber geschickt, aber keine Rückmeldung erhalten.

Andreas Rieb, per E-Mail

Krypto mit Java

01/2012, S. 112: Der Artikel “Programmieren mit der Java-SA-Security-Bibliothek” gibt einen vernünftigen Überblick über die grundlegenden kryptographischen Primitive in der Standard-JRE. Allerdings legt Listing  1 den Verschlüsselungsalgorithmus mit

Cipher.getInstance("AES-128")

an. Dies initialisiert per Default im SunJCE-Provider den AES-Cipher im ECB-Modus. Sobald mehr als ein Block (16 Byte) verschlüsselt werden, führt diese Initialisierung damit zu den bekannten Unsicherheiten des ECB-Modus. Es ist daher stark anzuraten, Block-Cipher immer unter Angabe des Modus zu initialisieren, beispielsweise mit

Cipher.getInstance("AES-128/CBC/|PKCS5Padding")

oder mit

Cipher.getInstance("AES/CTR/NoPadding")

für geringeren Overhead.

Rene Mayrhofer, per E-Mail