Upgrade von Notes 7.0.1 auf 6.5.6

eines steht mal mit sicherheit fest – eine migration von lotus domino nach ms exchange ist um vieles einfacher und schneller, als umgekehrt – es gibt auch kaum probleme dabei; und schon gar nicht solche ratschläge: :mrgreen:

Attachments lost after migrating from Outlook 2003 to Notes

Problem
You use the Lotus Notes Upgrade Wizard (nupgrade.exe) to migrate from Microsoft Outlook 2003 to Notes 7.0.1, using the nupgrade 3 command. […] the messages with attachments do not migrate to the .nsf database.

Solution
This issue was reported to Quality Engineering as SPR #MPAA6S5GB6 and was fixed in the Notes/Domino release 6.5.6.

also alle domino 7 user aufgepasst: schnell auf die aktuelle 6.5.6 upgraden!

do you trust all wordpress plugins?

ohne die masse an plugins, die es mittlerweile zum glück gibt, wäre wordpress mit sicherheit nicht so beliebt: wenn man ein wenig sucht, so findet man eigentlich immer ein plugin, welches genau die funktionalität bietet, die man gerade benötigt – und wenn nicht, dann ist es auch nicht sonderlich schwer ein eigenes zu basteln.

doch: kann man eigentlich darauf vertrauen, dass das eben heruntergeladene plugin auch genau das tut, was es vorgibt? und zwar nur das?

hand aufs herz: ich bin mir sicher, dass der überwiegende anteil der anwender es genau so macht:
– plugin herunterladen
– nach /wp-content/plugins hochladen
– aktivieren
– eventuell in der options page noch konfigurieren und oder ins template einbauen
– fertig

den php code des plugins kontrolliert niemand – das ist auch teilweise aufgrund der größe gar nicht so einfach; sicherlich, der großteil der plugins hat eine überschaubare anzahl von zeilen; aber bei plugins wie z.b. sk2 würde man schon einige zeit benötigen um zu kontrollieren, welche funktionen es genau ausführt (bzw eher: was es macht, aber nicht machen sollte…)

was soll ein plugin schon großartig anstellen? gut, machen wir ein experiment – ich habe hier ein plugin namens wp-surprise vorbereitet. mache es so wie immer – also herunterladen, einspielen und aktivieren. keine angst, es passiert nichts schlimmes, versprochen. erst dann lese weiter…

gut – nun checke deine mailbox…

keine panik – es ist nichts weiter passiert – nur du hast dieses mail bekommen; der inhalt ist auch nicht weiter besonders aufregend: es sollten alle in deiner wordpress installation angelegten user enthalten sein, samt dem passwort als md5 hash. mit dem hash fangt man nicht wirklich etwas an – man kann den hash nicht einfach wieder zurück in das eigentliche passwort umwandeln; aber trotzdem: es sind zumindest alle loginnames ersichtlich, so könnte man zumindest versuchen, schwache passwörter zu erraten.

wie hat das nun funktioniert?

wenn ein plugin aktiviert wird, so können bereits beliebige funktionen ausgeführt werden; dazu verwendet man die funktion “register_activation_hook” – das ist z.b. für plugins, die einen eigenen sql table anlegen müssen unbedingt notwendig und daher auf jeden fall eine wichtige funktionalität. in dem plugin gibt es weiters eine funktion namens “hipslu_wp_surprise_init”, welche beim aktivieren des plugins sofort aufgerufen wird. diese funktion baut das mail zusammen und sendet es an die e-mail adresse des admins.

denkbar wären hier aber ganz andere funktionen:
– man könnte die passwörter der user nicht nur auslesen, sondern einfach neu setzen; das ist mit einem einfachen sql statement kein problem. der eigentliche anwender wäre somit ausgesperrt und könnte das passwort nur mehr direkt über die sql datenbank wieder ändern
– man könnte alle posts, pages, kommentare etc löschen, ändern, neue erstellen, etc
– man könnte aus der installation einen art spam-bot machen: sowohl mail spam als auch trackback spam ist kein problem
– usw, usw…

das würde aber natürlich alles auffallen und ist abgesehen davon auch wenig sinnvoll – die gefahr ist wohl auch sehr gering, weil kaum jemand daran interesse haben wird – es lohnt nicht wirklich, und nur ein sehr populäres plugin ist wirklich halbwegs oft installiert – doch gerade die populären plugins werden eher früher als später unter die lupe genommen und damit würde es auffliegen.

eines wäre aber sehr wohl eine nicht ganz unwahrscheinliche möglichkeit:
alle funktionen, die in der /wp-includes/pluggable.php enthalten sind, kann man leicht durch ein plugin ersetzen. eine dieser funktionen trägt den namen “wp_login” und ist – erraten – für das login zuständig; überprüft also, ob es den user gibt und ob das eingegeben passwort dem in der datenbank gespeicherten gleicht. mit einer minimal angepassten funktion ist es also kein problem mit irgendeinem passwort z.b. als admin einsteigen zu können…

ist diese – logischerweise vorhandene gefahr – zu vernachlässigen bzw nicht existent – weil man der wordpress gemeinde trauen kann und es sich niemand trauen würde, da es früher oder später entdeckt werden würde – oder sollte man hier sehr wohl misstrauisch sein?

adsl von aon und die richtige mtu size

bei meinem bisherigen provider habe ich die default einstellung der mtu (maximum transmission unit, die maximale größe eines ip-pakets) nicht beachtet. seit fast einem monat bin ich nun bei aon und von anfang an verwundert, dass gewisse seiten (z.b. fast alle von microsoft) sowie z.b. auch der windows live messenger nicht funktionieren. nur über den proxy von aon ging es, nur das ist zum einen nicht wirklich eine brauchbare lösung und zum anderen ging der messenger auch über den proxy nicht.

die lösung ist recht einfach: die default mtu size von 1500 ist zu groß; man muss wohl 1252 einstellen; eine zahl, auf die ich durch einige experimente ermittelt habe, neben vielen anderen in diversen foren genannt wird und zumindest bei mir ohne probleme funktioniert. wie ich eben sehe, wäre es auch leichter gegangen: netgear nennt auch 1252 als passend

stellt sich für mich nur mehr die frage, warum man vom anbieter nicht darauf hingewiesen wird? aber ok, das ist wieder eine andere geschichte; ich habe nicht mal meine accountdaten für die einwahl schriftlich bekommen, sondern musste bei der hotline anrufen…

wir sollten uns alle einen mac kaufen

abgesehen davon, dass dies prinzipiell eine gute idee ist, muss man das laut ibm machen, sofern man auf citrix lotus notes einsetzen will – denn nur, wenn man einen “mac ica client” verwendet, handelt es sich um eine konfiguration, die ibm supported:

Citrix support information
The Notes client is supported on Citrix Metaframe 3.0 and 4.0 on Windows 2000 Advanced Server and Windows 2003 servers using Mac ICA clients. See the “Citrix support statement” release note for more information.

siehe Detailed system requirements – Lotus Notes 6.5.6

ps: man könnte vermuten, dass diese technote am 1. april erstellt wurde – dem ist aber natürlich nicht so 😀