Glorf.it

Glorf IT

Bedenkliches aus dem IT-Alltag

12. Juli 2010 um 18:04

Showplan Operator of the Week

Die Reihe "Showplan Operator of the Week" von Fabiano Amorim ist inzwischen auf beachtliche acht Artikel angewachsen. Jede Folge ist gut dargestellt und mit einem oder mehreren schönen Beispielen versehen. Ich habe viele neue Infos gefunden.

Ich bin mal gespannt, wie viele Folgen es dann insgesamt werden.

12. Juli 2010 um 17:57

SQL Server Fan

Manche Leute sind schon richtige Hardcore-SQL-Server-Fans:

personalized greetings

OK, das ist ein Fake. Wie es geht: ImageChef.com

11. Juli 2010 um 19:10

Security by Bedrohung

Es ist schon interessant, wie Firmen damit umgehen, wenn jemand in deren Software eine Sicherheitslücke entdeckt und Ihnen das sagt. Böse Menschen würden das für sich behalten und mit dem Exploit viel Geld verdienen. Andere sind ehrlich und geben die Info zur Behebung an die Firmen und/oder an die Betroffenen weiter, damit man sich darauf einstellen kann. Bei TecChannel wird beschrieben, dass eine Firma einen Sicherheitsexperten bedrohte, der einen Vortrag über seine entdeckten Schwachstellen halten wollte: er solle verhaftet werden.

Statt die Probleme zu beheben, scheinen sich die Hersteller nun auf Drohungen zu konzentrieren. Die Geldautomaten-Macher wollen Chisea im Falle des Nicht-Schweigens verhaften lassen. Chisea hatte aber bereits mehrere Auftritte bei anderen Konferenzen mit einer ganz ähnlichen Rede.

In der Vergangenheit war es meist so, dass die Firmen die Info bekamen und der Finder sie erst dann veröffentlichte, wenn die Firma einen Patch dazu auslieferte. Wie man hört, soll das aber durchaus mehrere Monate gedauert haben. Die Finder bekamen nichts, nur manchmal eine Nennung in dem Security Bulletin. Das Problem dabei: Bösen Jungs wussten möglicherweise längst um die Schwachstellen, die Anwender aber nicht und konnten sich nicht schützen. Deswegen konnten Hacker auch so bequem bei Google eindringen, obwohl MS die Schwachstelle schon kannte (aber nicht darüber informiert hatte und auch noch keinen Fix erstellt hatte). Das nennt man "non disclosure", weil der Finder nur den Hersteller informiert und ihm die vollständige Veröffentlichung überlässt. Hier haben es die Hersteller wohl etwas zu bunt getrieben, denn auf diese Bedingungen wollen sich viele nicht mehr einlassen.

Wird der Hersteller vorab informiert und erst nach einer gewissen Reaktionszeit die Benutzer, dann nennt man das übrigens "Responsible Disclosure" (verantwortungsbewusstes Aufdecken).

So machte es auch der seit kurzem bei Microsoft in Ungnade gefallene Tavis Ormandy, der dachte, er habe selber einen Workaround gefunden und veröffentlichte die Schwachstelle samt Behebung nur ein Wenige Tage nach der Info an MS. Aber die Schwachstelle war noch schlimmer als angenommen und MS war unter Druck. Die harsche Kritik an dem Entwickler ist wegen der kurzen Reaktionszeit einerseits verständlich, aber andererseits auch überzogen. Da MS in anderen Fällen erst nach vielen Monaten über die von ihm gemeldeten Probleme berichtete, kann ich verstehen, dass er seine Lösung schnell unter das Volk bringen wollte.

Als Reaktion auf einen gemeldeten Security-Bug den MS angeblich nicht oder nur sehr spät beheben wollte hat sich eine Gruppe gebildet, die sich der "full disclosure" (volle Offenlegung) verschrieben hat: Alle Infos werden sofort veröffentlicht, damit sich jeder schützen kann. Das ist dann sinnvoll, wenn man davon ausgeht, dass die Bösen den Angriff schon kennen. Falls nicht, dann lernen die sicher auch gerne dazu. Sie nennen sich "Microsoft-Spurned Researcher Collective" (MSRC). Kurz nach deren Veröffentlichung des Problems gab es schon bald Exploits und nun wird es Microsoft wohl doch schnell fixen müssen… Ich muss sagen, dass ich die Leute von der MSRC verstehen kann, denn auch meine gemeldeten Verwundbarkeiten stuft Microsoft bis heute nicht als Security-Probleme, sondern als Feature-Request ein und wird sie erst mit dem nächsten Visual Studio (?2012) beheben.

Wie ich neulich bei Heise las, gibt es neuerdings auch Firmen, die Sicherheitslücken gar nicht an die Hersteller weiter leiten, sondern das gewonnene Know-How als Marktvorteil nutzen: Nur die eigenen Kunden werden gewarnt und geschützt, der Rest der Welt darf weiter von Crackern angegriffen werden. Das ist auch eine direkte Reaktion auf die zurückhaltende Informationspolitik der großen Firmen: Man macht ein Geschäftsmodell daraus. 😉

10. Juli 2010 um 21:55

Vorschau auf Ergebnisse der BI Survey von BARC

Bei computerworld.ch gibt es ein paar wenigen Informationsfetzen als Vorschau auf die BI Survey von BARC:

In den anderen Wettkampfdisziplinen ergibt sich mehr oder minder das gleiche Bild: MicroStrategy führt, aber SAP ist dem Best-of-Breed-Anbieter dicht auf den Fersen. Der Rest der Konkurrent folgt in gebührendem Abstand. So erreicht MicroStrategy in "Scalability", der fünf KPIs umfasst, laut BARC einen Wert von 1,41, SAP BO kommt auf eine Wertung von 1,33 und SAP BEx auf 1,29 .

Mich interessiert vor allem wo Oracle und Microsoft stehen. Aber SAP hat durch die Zukäufe ja wohl beide schon überholt…

10. Juli 2010 um 17:19

SQL Server MVP Deep Dives

Zur Zeit lese ich das Buch "SQL Server MVP Deep Dives. Es ähnelt von der Zusammenstellung eher einer Konferenz: 59 Aufsätze von 53 verschiedenen SQL Server MVPs zu Themen mit denen sie sich gut auskennen. Einen roten Faden sollte man nicht erwarten, aber viele spannende Artikel. Mehr demnächst im SQL-PASS-Newsletter.

Der erste Artikel "Louis and Paul's 10 key relational database design ideas" (Paul Nielsen und Louis Davidson) ist als PDF verfügbar.

Ebenso der fünfte Artikel "Gaps and islands" (Itzik Ben-Gan).

8. Juli 2010 um 20:55

TDS Spezifikation

Mein Kollege Vladimir machte mich darauf aufmerksam, dass Microsoft die aktuelle Spezifikation von TDS Anfang letzten Monats online stellte. Das ist dann die Version 7.0. Wer die immer schon mal lesen wollte, der findet sie hier

8. Juli 2010 um 18:31

Lynchjustiz von WOW-Spielern

Es ist krass und in meinen Augen unentschuldbar das Privatleben eines Menschen derart zu kompromittieren. Als ich bei Golem las, dass die persönlichen Daten eines Supportmitarbeiters von Blizzard und seiner Verwandten im Internet veröffentlicht wurden, war ich echt geschockt. Das ist echtes Cyber-Mobbing. Ob es reicht, dass er seinen Twitter-Account gelöscht und sein Telefon gesperrt hat?

Völlig inakzeptabel ist es seine Kunden dazu zu zwingen sich öffentlich als deren Kunden zu outen und deren spielerischen Vorlieben preis zugeben. Glücklicherweise kann man hier ja mit dem Geld abstimmen. Ich hoffe, dass die Spieler andere Alternativen nutzen, um sich eine neue Rollenspielwelt aufzubauen. Besonders nett finde ich den Spiegel-Artikel zu dem Thema.

7. Juli 2010 um 23:05

Hackin9-Magazine zum freien Download

Heute machte ich mich auf die Suche nach Zeitschriften zum Thema "IT-Security". Ich möchte hier gerne up to date bleiben und da erscheint mir eine auf dem Weg zur Arbeit gelesene Zeitschrift ein bequemer Weg. Dabei traf ich auf die Zeitschrift "Hackin9". Sie ist offenbar eher Level 200, was mir bei manchen Gebieten durchaus entgegen kommt. Ich las die Ausgabe 6, die mich noch nicht wirklich beeindruckt hat. Ich schätze der Artikel "Der Penetrationstest – Vorgehen und Tools eines Testers" könnte als Einstieg in das Thema recht interessant sein. Für versierte Fachleute ist das Magazin eher nicht geeignet.

Der Grund für das Posting ist, dass die Zeitschrift offenbar generell als kostenloser Download verfügbar ist (offenbar gibt es keine Print-Ausgabe). Wer in das Thema einsteigen will, der findet hier möglicherweise die ein oder andere Perle.

Hinweis: Wenn man über "Download" geht, dann muss man für den Download alter Ausgaben eine Mailadresse angeben. Über den Menüpunkt "Magazin" nicht.

7. Juli 2010 um 18:46

SQL-PASS Franken: ETL oder nicht

SQL-PASSUnd schon wieder ist ein Monat vorbei, der nächste SQL-PASS-Vortrag in Franken naht. Letzten Monat ging es um Sharepoint 2010, diesmal um ETL oder auch nicht: "ETL oder nicht ETL, das ist hier die Frage!".

Microsoft bietet mit seiner SQL Server 2008 Plattform alle relevanten Werkzeuge um komplette Prozesse der Informationsintegration bis hin zur Erstellung von DataWarehouses und Datenwürfel abzubilden. Als Benutzerwerkzeuge gewinnen Excel und die Reports aus den MS Reporting Services immer mehr an Bedeutung. Braucht es dazu noch zusätzlich ein ETL – Werkzeug?

Herr Kaiser stellt in seinem Vortrag die Vorteile aber auch die Grenzen von zusätzlichen SQL Server basierenden ETL-Werkzeugen am Beispiel des iQ4bis DataServers vor.

Referent
Michael Kaiser ist seit 10 Jahren CRM – und BI – Berater und kennt verschiedenste BI Werkzeuge, wie z.B. Cognos, Cubeware, Talend Open Source, Oracle DataWarehouseBuilder und den iQ4bis DataServer. Er entwickelt BI-Lösungen auf Vorsystemen, wie Navision, Axapta, Infor, JDE, IFS und SAP. Als Diplom-Biologe, Informatik-Betriebswirt, NLP- und Judo-Trainer ist er darauf spezialisiert, über den (technischen) Tellerrand zu sehen und Technik und Anwender zusammenzubringen.

Infos über Michael Kaiser findet man auf der Homepage seiner Firma und bei Xing. Michael ist bereits öfters mal als Zuhörer da gewesen, vielleicht kennen ihn einige schon.

Gastgeber ist wieder die New Elements GmbH (Äußere-Bayreuther-Straße. 55, 90409 Nürnberg, mit der U2 ist der Ausstieg "Schoppershof").

Der Termin ist am Dienstag, den 13.07.2010, ab 18:30 Uhr.

Der Eintritt ist natürlich frei, auch Nicht-Mitglieder sind herzlich eingeladen. Bitte dennoch bei Michael Deinhard unter M.Deinhard(ät)newelements.de oder Klaus Oberdalhoff unter kob(ät)sqlpass.de anmelden, damit die Anzahl der benötigten Stühle abgeschätzt werden kann. Zwei mal musste ein Vortrag bereits wegen großen Ansturms ins benachbarte Hotel umziehen.

Mehr Infos hier.

6. Juli 2010 um 20:35

Die Rechte der SQL Server Dienste

Mein Kollege Vladimir machte mich auf einen Artikel aufmerksam in dem die Rechte beschrieben werden, die die SQL-Server-Dienste benötigen. Wenn man sich die sehr umfangreiche Liste durchliest, dann wird klar, warum Microsoft empfiehlt diese Rechte nicht manuell zu setzen, sondern durch den "SQL Server Configuration Manager":

Always use SQL Server tools such as SQL Server Configuration Manager to change the account used by the SQL Server or SQL Server Agent services, or to change the password for the account. In addition to changing the account name, SQL Server Configuration Manager performs additional configuration such as setting permissions in the Windows Registry so that the new account can read the SQL Server settings. Other tools such as the Windows Services Control Manager can change the account name but do not change associated settings. If the service cannot access the SQL Server portion of the registry, the service may not start properly.

Die vollständige Liste der von SQL-Server-Diensten benötigten Rechte stehen im Artikel "Setting Up Windows Service Accounts".

6. Juli 2010 um 20:31

Die andere Art Effizenz zu messen

Kürzlich war ich auf einer Microsoft-Veranstaltung. In der Einführungsrede wurde scherzhaft die Wichtigkeit von Kaffee im Allgemeinen und im speziellen für die Effizienz betont. Die dabei verwendete Formel verursacht allgemeines Schmunzeln. Allerdings weniger über den Witz als über die Formel:

Die Effizienz des Entwicklers ergibt sich demnach aus "Litern Kaffee / Lines of Code". Wenn ich danach beurteilt würde, dann kann man sich bequem zurück lehnen und Kaffee trinken – viel Kaffee.
Die Effizienz von Abteilungsleitern wird übrigens anders bemessen: "Liter Kaffee / getroffene Entscheidungen". Ob das bei Microsoft echt so ist?

1. Juli 2010 um 23:11

PivotViewer

Auf Channel9 wird aktuell die Freigabe des beeindruckenden PivotViewer-Controls für Silverlight in einem Video gefeiert:

In this video, Brian Goldfarb and Brett Brewer stop by to discuss the new Silverlight PivotViewer control release. […]For those of you who haven’t heard of it yet, PivotViewer is a new visualization technology delivered as a Silverlight control. It helps visualize large collections of items in a more useful and organized way. Below are links to resources which will help you get started with the PivotViewer today:

· Silverlight PivotViewer Download and Technical Documentation: here

Ein Beispiel für eine Implementierung mit Photos als Repräsentation der Objekte findet man bei hitched.co.uk.

Weitere Infos gibt es auf der PivotViewer-Homepage.

Das Ganze wirft noch eine spannende Frage auf: Hören wir in der SQL-PASS Franken demnächst einen Silverlight-Vortrag, weil man ja mit Silverlight ja jetzt auch BI machen kann? 😉

OK, das wäre aber zu kurz geschossen. Genauso wenig wie bei Sharepoint steht auch hier BI nicht im Vordergrund. Hier geht es in Wirklichkeit um die allgemeine Darstellung und Präsentation von Daten – jeder Form von Daten. Beispielsweise auch Bilder von Produkten, Geschäftspartnern, Videos usw, und natürlich auch Zahlen, wie sie bei der BI im Vordergrund stehen. Auf diesen Punkt wird auch in der Vorstellung eingegangen und als eines der Hauptanwendungsgebiete dargestellt. Aber auch hier wird ein leicht anderer Ansatz verfolgt als üblich. Ich finde das sehr innovativ und interessant. Schade, dass es das Control nicht auch für C# außerhalb von Silverlight gibt.