Glorf.it

Glorf IT

Bedenkliches aus dem IT-Alltag

17. April 2009 um 17:34

Die eigenen SQL-Server kompromitieren?

Durch den Heise-Online-Artikel "SQL-Injection reloaded: Zugriff auf das Betriebssystem" wurde ich auf das Tool sqlmap aufmerksam. Damit kann man versuchen (eigene?) Systeme mittels SQL-Injection zu kompromittieren.

Sqlmap scheint sich aber vorwiegend auf web-basierte Clients zu konzentrieren. Schade, ich hätte das gerne mal gegen unsere Windows-Anwendungen laufen lassen. Das ist schon deswegen interessant, weil die normalen Benutzer nicht genug Rechte haben sollten, um die vom Tool verwendeten Funktionen (z.B. xp_cmdshell) zu nutzen. Aber wer weiß, vielleicht nutzt es ja vorher eine mir bisher unbekannte Methode der escalation of rights… 😉

17. April 2009 um 17:10

Sendung mit der Maus: Computer

Bei Adrian Sauer sah ich eine "Sachgeschichte" aus der Sendung mit der Maus aus dem Jahre 1989, die erklärt wie Computer zählen. Der Clip ist nicht schlecht, aber ich erinnere mich an eine Neuauflage aus dem Jahr 2005, die noch viel besser war. Den Clip finde ich aber leider nicht zum online Anschauen.

Aber so gut, wie der Clip, der das Internet erklärt, ist keiner von beiden…

Tipp für Fans: Kennt Ihr schon den PodCast von der Sendung mit der Maus? Meine Kinder sind ja nun leider aus dem Alter heraus… 😉

17. April 2009 um 10:06

Software als Beilage im April 2009

Ich suchte gerade nach einer Zeitschrift, die eine halbwegs aktuelle Vollversion des "Paint Shop Pro" als Gratisbeilage mitbringt, als ich gestern die Aktion von Corel bei Hannes Schurig entdeckte. Die Aktion ist zwar schon zeitlich abgelaufen, aber ich werte das mal als gutes Zeichen…

Dennoch habe ich mal meine Ergebnisse bis hierhin gesammelt. Vielleicht hilft das jemandem anderem. Ich habe nur die aufgeführt, die als Vollversionen gekennzeichnet waren, nicht ohnehin kostenfrei im Internet zugänglich sind und mehr sind ein ein kleines Tool. Wenn nichts dazwischen kommt, dann mache ich das jetzt monatlich.

PC-Welt Photo-Sonderheft:

  • Serif Albumplus 4.1
  • Serif Photoplus 10.1

PC-Welt 5/2009 (Achtung: es gibt eine Ausgabe mit CD und eine mit DVD, keine Ahnung warum und was wo drauf ist):

  • G Data InternetSecurity (keine Versionsangabe)
  • Alcohol 120% 4.0
  • Laplink PCsync 5

Chip 05/2009 (hier nachbestellen):

  • CloneDVD 2 OEM
  • Wise FTP 4
  • DasTelefonbuch Deutschand (keine Versions- oder Herstellerangabe)

PC-Magazin 05/2009

  • Audio 180% (keine Versionsangabe)
  • Ashampoo Photo Commander 6
  • Datei Commander 10 PE (normalerweise Shareware, wird hier als Vollversion angegeben)
  • PDF Experte 5 Pro
  • WebEasy 6 Professional

Die Inhalte von PC-Go 05/2009 gleichen denen von PC Magazin (aus dem gleichen Verlag) auffällig, enthält letztlich aber weniger:

  • Audio 180% (keine Versionsangabe)
  • Ashampoo Photo Commander 6
  • Datei Commander 10 PE (normalerweise Shareware, wird hier als Vollversion angegeben)
  • WebEasy 6 Professional

Computer Bild 09/2009 (meist ist unklar ob es eine Voll- oder Testversion ist. In einem Fall ist eine Software allerdings als 60-Tage-Testversion gekennzeichnet, was dafür spricht, dass der Rest Vollversionen sein könnten):

  • Film "My Big Fat Greek Wedding" (ist keine Software, ich weiß, musste aber sein…)
  • Alcohol Virtual DVD + CD (keine Versionsangabe)
  • Kaspersky Security Suite CBE (keine Versionsangabe)
  • AVS DVD Player 2.4

Ergänzungen sind willkommen.

16. April 2009 um 20:19

kostenlose eBooks bei Microsoft-Press zu SBS 2008 und VB 2008

Wie ich heute las, gibt es bei Microsoft Press wieder zwei kostenlose eBooks zum Download:

Wie immer muss man sich dazu zu deren Newsletter anmelden und benötigt einen Passport- oder Live-Account.

Aber ehrlich gesagt, finde ich das eBook zu Visual Basic 2008 bei Galileo besser. Das Buch zum "Small Business Server 2008" finde ich gut, nur schade, dass der "Essential Business Server 2008" nicht behandelt wird.

16. April 2009 um 18:56

Kunden, die es besser wissen, als der Fachmann

Kennt Ihr Kunden, die es besser wissen als der Fachmann? Ich schon. Und ehrlich gesagt mag ich es gar nicht, wenn mit ein Kunde von seinen bahnbrechenden Erkenntnissen über die Performance des SQL-Servers oder die Konfiguration seiner Server erzählt und dabei aberwitzige Schlüsse draus zieht. Meist muss ich dann ganz schön darum ringen, was ich darauf sagen soll. Blöd ist nur, wenn so ein Kunde dann recht hat. Und das kommt tatsächlich vor.

So ein Kunde war ich gestern auch: Unser Auto leckte schon seit etwa 2 Wochen. Zuerst dachte ich, dass der Kühler ein Loch habe. Aber als ich bemerkte, dass die Servolenkung ausfiel, weil sie kein Öl mehr hatte, kam mir ein anderer Verdacht. Tatsächlich wurde die Kühlflüssigkeit kaum weniger, aber das Hydrauliköl der Servolenkung musste ab und an nachgefüllt werden. In der drunter gestellten Wanne konnte man eindeutig sehen, dass es sich um Öl handelte, nicht um Wasser. Komischerweise tropfte das Öl aber auch vom Kühler. Seltsam, oder?

Daher glaubte der Erlanger Automechaniker auch nach Vorlage des aufgefangenen Öls nicht, dass die Servolenkung lecke, sondern ging von einem defekten Kühler aus. Er glaubte noch nicht mal, dass ich ein paar Tage vorher das Servolenkungsöl nachgefüllt habe, weil ja eindeutig zu wenig Öl drin sei… 🙁 Das Öl stamme statt dessen aus dem Getriebe.

Die 400 Euro für den neuen Kühler und das Durchchecken des Getriebes wollte ich aber nicht ausgeben. Daher putzte ich daheim erst mal alle verölten Stellen um den Kühler sauber. Schnell zeigte sich, wo plötzlich wieder Öl auftauchte: vor dem Kühler ist eine Kühlschleife aus dünnem Metallrohr für das Hydrauliköl. Sie leckte an der Schelle mit der sie montiert war. Jetzt habe ich es notdürftig mit Dichtungsband geflickt. Mit ein wenig Glück hält das bis das gute Stück im August verschrottet wird. Gibt es für sowas spezielle "Flickmittel" (nein, ich schweiße sowas nicht)?

Weil das Öl während der Fahrt vom Fahrtwind gegen den Kühler spritzte, konnte man den Eindruck gewinnen als verliere der Kühler tatsächlich Öl. Das dachte ich ja zunächst auch. Aber das der Fachmann mir so gar nicht glaubte, war schon komisch: Was nicht sein kann, dass muss wohl ausgedacht sein? Naja, nächstes Mal gehe ich wieder zu unserem Stammhändler in Forchheim. Der glaubt mir hoffentlich mehr… 😉

15. April 2009 um 21:36

Datenbankdateien mit Nicht-Standard-Extensions

Heute verdiente ich mir durch eine gewonnene Wette eine Tüte Gummibärchen. Ein Kollege las in einem Vergleich zwischen der SQL Server Compact Edition und der Express Edition, dass die Extensions bei der Express-Edition fix auf MDF, NDF und LDF festgelegt seien. Das erschien mir esoterisch.

Komischerweise steht im Artikel "Choosing Between SQL Server 2005 Compact Edition and SQL Server 2005 Express Edition"
tatsächlich in der tabellarischen Übersicht unter dem Punkt "Support for different file extensions" bei Compact Edition "ja", bei Express Edition "nein". Im Text steht sogar:

Microsoft considers SQL Server MDF files to be the security equivalent of .EXE files, and should be treated with the same sense of concern when receiving EXEs from unknown sources. To minimize the possibility of illicit code running, SQL Server Express Edition data files must always use an MDF file extension.

Ich hatte das zuletzt unter SQL-Server-2000 ausprobiert, aber führte die einschlägigen Aktionen auch mal schnell am SQL-Server-2005 durch:

CREATE DATABASE [MyExtensionTest]
ON ( NAME = 'datafile',
FILENAME = 'c:\temp\datafile.data'
)
LOG ON (
NAME = 'logfile',
FILENAME = 'c:\temp\datafile.log'
)

Das klappte genauso einwandfrei, wie ein CREATE-TABLE danach. Auch das Trennen und das anschließende erneute Anhängen der Datenbank klappte an der Express-Edition-2005 ganz prima. Wären wir bei den Myst-Busters, dann gehörte diese Info eindeutig in die Kategorie "Gerücht".

15. April 2009 um 21:27

Am 23.4. ist wieder "Girls Day"

Heute wurde ich durch eine Werbung in der Firma auf den nächsten "Girls Day" aufmerksam. Ich finde das eine prima Sache. Bei uns in der Nähe gibt auch sogar sehr viele Angebote.

Auch die Brochüre "Ich werde Informatikerin!" finde ich ganz informativ. Wer Mädels in dem Alter hat, sollte sie motivieren den Tag zu nutzen…

14. April 2009 um 22:13

Machtmittel im Arbeitsalltag

Als ich gerade auf Gulp den Artikel "So entstehen Konflikte in IT-Projekten" las, musst ich schon schmunzeln. Hier werden drei Seiten vorausgesetzt: Der Auftraggeber/Fachabteilungen, die IT-Abteilungen und die externen IT-Berater. Der Autor schreibt:

Die IT-Berater sehen sich häufig als schwächstes Glied in der Triade. De facto haben sie jedoch sehr wirksame Macht-Mittel, wenn sie den Mut haben, das Kunden-Projekt oder ein paar Kunden-Termine zu sprengen.

Das stimmt freilich. Aber ist es weise das zu tun? Wenn man es geschickt anfängt ja. Wenn man nicht mit Fingerspitzengefühl gesegnet ist, dann sollte man es lieber lassen. Das Beispiel ist geschickt gewählt:

Die IT-Berater haben eine starke Liefer-Macht, das heißt, sie können unter bestimmten Bedingungen (Beistellungen nicht erfolgt, Tests der Fachabteilungen nicht ausreichend, strittige finanzielle Punkte) die Lieferung von erstellten Ergebnissen (z.B. Konzepte oder Software) in Teilen oder vollständig verweigern.

Als externer Berater sollte man meiner Ansicht nach tunlich den Eindruck vermeiden, dass man seine eigenen Interessen in den Vordergrund stellt. Das kommt gar nicht gut. Wenn man es aber schafft das Projekt bzw. den Projektfortschritt bei der eigenen Forderung in den Vordergrund zu stellen, dann wird das der Auftraggeber wohl eher nicht krumm nehmen. Ich gehe davon aus, dass man sich im Gegenteil damit Respekt verschafft.

Anderseits würde ich (als Auftraggeber) die Vergabe von neuen Aufträgen immer davon abhängig machen, wie zufrieden ich bei vergangenen Aufträgen war. Wenn man also wert auf Stammkunden und gute Referenzen legt, dann sollte man hier wohl eher behutsam agieren… 😉

12. April 2009 um 12:39

MDF-Datei vor dem Anhängen analysieren

Wenn man eine Datenbank mittels des "SQL Server Management Studios" anhängt, dann bekommt man bereits vor dem eigentlichen Anhängen an der Oberfläche angezeigt, aus wie vielen Dateien die Datenbank besteht und wo die Dateien zuletzt lagen. Nun gibt es aber Anwendungen, die für Endanwender gedacht ist, die mit der Bedienung des Management-Studios durchaus überfordert sein könnten.

Wenn man das Anhängen – z.B. nach einer Rücksicherung aus einer Datei-Vollsicherung – nicht den Anwender manuell durchführen lassen will, sondern automatisch aus der eigenen Anwendung, dann muss man auch irgendwie an diese Infos ran kommen.

Zu diesem Zweck bietet Microsoft die undokumentiere DBCC-Funktion "checkprimaryfile". Damit kann man sich die wichtigsten Infos herausholen ohne die Datenbank vorher anhängen zu müssen.

Ist die Datei tatsächlich eine MDF-Datei?

dbcc checkprimaryfile ('C:\temp\Test_data.mdf', 0)
Mit der Option "0" überprüft "checkprimaryfile", ob die Datei eine MDF-Datei ist: "0" heißt "Nein", "1" heißt "ja". Beispiel:

IsMDF
1

Welche Version hat die Datenbank?

dbcc checkprimaryfile ('C:\temp\Test_data.mdf', 2)
Mit der Option "2" ermittelt "checkprimaryfile" die Version, den Namen und die Default-Collation der Datenbank:

property value
Database name Test
Database version 655
Collation 53256

Das ist deswegen relevant, weil man an einen SQL-Server-2005 keine 2008er Datenbank anhängen kann. Umgekehrt zwar schon, aber dann ist das fortan eine 2008er Datenbank. Die Versionen sind folgende:

SQL Server Version Datenbankversion
SQL Server 2000 539
SQL Server 2005 611
SQL Server 2008 655

Aus welchen Dateien besteht die Datenbank?

dbcc checkprimaryfile ('C:\temp\Test_data.mdf', 3)
Mit der Option "3" ermittelt "checkprimaryfile" die Liste der Datenbank-Dateien und gibt an, wo die Dateien zuletzt lagen als sie noch angehängt waren:

status fileid name filename
2 1 Test_data C:\Programme\Microsoft SQL Server\MSSQL10.SQL2008SE\MSSQL\DATA\Test_data.mdf
1048642 2 Test_log C:\Programme\Microsoft SQL Server\MSSQL10.SQL2008SE\MSSQL\DATA\Test_log.ldf
2 3 Test_data2 C:\Programme\Microsoft SQL Server\MSSQL10.SQL2008SE\MSSQL\DATA\Test_data2.ndf

Im Beispiel sieht man, dass die Datenbank-Dateien zuletzt im Verzeichnis "C:\Programme\Microsoft SQL Server\MSSQL10.SQL2008SE\MSSQL\DATA\" lagen. Jetzt stehen sie im Verzeichnis "C:\temp". Daher muss man die Dateien zum Anhängen entweder wieder an den Ursprungsort verschieben oder beim Anhängen die neuen Pfade aller Dateien angeben.

Details zu den Datenbank-Dateien

dbcc checkprimaryfile ('C:\temp\Test_data.mdf', 1)
Mit der Option "1" wird die Datenbank wird kurzzeitig angehängt, Details zu den Dateien analysiert und dann wieder getrennt. Das geht freilich nur, wenn die Log und Secobdary-Files unter dem Pfad ansprechbar sind unter dem sie in der MDF-Datei stehen.

fileid groupid size maxsize growth status perf name filename
1 1 384 -1 128 2 0 Test_data C:\Programme\Microsoft SQL Server\MSSQL10.SQL2008SE\MSSQL\DATA\Test_data.mdf
2 0 128 268435456 10 1048642 0 Test_log C:\Programme\Microsoft SQL Server\MSSQL10.SQL2008SE\MSSQL\DATA\Test_log.ldf
3 1 384 -1 128 2 0 Test_data2 C:\Programme\Microsoft SQL Server\MSSQL10.SQL2008SE\MSSQL\DATA\Test_data2.ndf

Dazu kann man die Datenbank auch gleich selber anhängen und dann angehängt lassen.

Risiken und Nebenwirkungen

Diese DBCC-Funktion ist undokumentiert und daher in zukünftigen Versionen möglicherweise nicht mehr lauffähig oder bringt andere Ausgaben. Ich fand leider nirgends Angaben zu der Funktion. Daher fand ich obige Angaben durch Ausprobieren raus. Sie können daher falsch sein. Interessanterweise klappten die Optionen 0,2,3 auch wenn ich an einem SQL-Server-2005 eine 2008er Datenbank analysierte. Die Option 1 nicht, weil da die Datenbank angehängt werden soll.

11. April 2009 um 15:53

Die neue Version der Microsoft SQL Data Services vorgestellt

Wer den Vortrag in der SQL-PASS Franken über die "SQL Data Services" (SDS) verpasst hat oder einfach zu weit weg wohnt, der kann sich in dem Video-Mitschnitt des Vortrages "What's New in Microsoft SQL Data Services" von der Mix 2009 informieren. Die neue Wolken-Technologie Azure ist für viele immer noch recht nebulös. Aber ich sehe hier gerade für kleine Dienst-Anbieter (gerade auch Start-Ups) eine gute Chance durch die Partnerschaft mit Microsoft. Für größere Firmen dürfte die große Nähe bzw. Abhängigkeit zu Microsoft eher ein Problem sein, oder?

11. April 2009 um 13:25

3D-Desktop nachrüsten

Auf heutigen Desktop-PCs leistet die normale Grafikkarte schon mehr als früher ganz normale Mainframes. Wer findet, dass die Grafikkarte auch etwas für sein Geld tun soll, der wird an dem neuen BumpTop 3D Desktop Freude haben…


Wer mehr über den BumpTop 3D Desktop Prototype wissen will, der sollte den Artikel bei Chip.de lesen. Oder gleich die aktuelle Version bei sich installieren? Das kostet aber 30 USD, wenn man nicht mit der abgespeckten Variante vorlieb nehmen will.

10. April 2009 um 14:55

WPF Fast Start – 15-Minuten-Crashkurs in Sachen Windows Presentation Foundation

WPF-BeispielWer jetzt anfängt neue Anwendungen in .net zu entwickeln, der hat sich sicher schon mit der aktuellen Oberflächenschicht Windows Presentation Foundation (WPF) von Microsoft beschäftigt. Wenn nicht, dann rate ich dringend dazu. Die Vorteile gegenüber WinForms sind enorm und haben sogar mich beeindruckt. Als alten Datenbank-Hasen waren diese oberflächlichen Themen zu Zeiten der MFC für mich meist ein Buch mit sieben Siegeln. Seit WinForms ging es besser, seitdem sind meine Tools nicht mehr bloße Konsolenanwendungen… 😉

Wer die Vorteile und den Umgang mit der neuen Oberflächentechnologie WPF mal ausprobieren will, der kann die neue WPF-Komponente WPF Fast Start in seine bestehende Anwendung einbauen und dort testen. Laut Microsoft dauert der gesamte Vorgang (inkl. Test) gerade mal 15 Minuten. Auf dem MSDN-Portal für Softwarehersteller (ISVs) steht der 15-Minuten-Crashkurs. Dort sieht man, wie man mit Windows Presentation Foundation (WPF) Benutzeroberflächen für Desktop- oder Web-Anwendungen erstellt.

  • Auf der Seite WPF Fast Start stehen weitere Infos, Downloads und ein Tutorial.
  • Hier werden die Testmöglichkeiten noch mal zusammengefasst.
  • Wenn man es genau wissen will, dann kann man sich inzwischen 10 Webcasts zu WPF ansehen.