HTML 5 wird bald durch die aktuellen HTML-Standards ersetzt. Es war an der Zeit, dass ich meine Services auf den aktuellsten Stand der Technik bringe.

XHTML ist der Nachfolger von HTML 4 und der Vorgaenger von HTML 5. Nun sind der MD5 Cracker, AntiXSS und md5sum.org auf XHTML 1.0 Strict umgestellt. Rein auesserlich hat sich an den Seiten nichts geaendert. FOX21.at selber ist nicht XHTML valide. Die WordPress Plugins halten sich nicht alle an den Standard. Ausserdem bin ich mir nicht ganz sicher, ob WordPress ueberhaupt valide ist. Meine Seiten haben ein spezielles W3C Logo, wenn sie valide sind.

In diesem Zuge habe ich auch gleich alles CSS und RSS valide gemacht. Die Tools von W3C sind bei der Erstellung valider HTML, CSS und RSS Seiten sehr hilfreich.

Im Wikipedia steht bei XHTML folgendes:

Dabei wird ausgenutzt, dass die HTML-Parser der verbreiteten Browser tolerant
gegenueber Syntaxfehlern sind. Diese Fehlertoleranz entstand als Antwort darauf,
dass zahlreiche HTML-Dokumente im World Wide Web nicht dem formalen Standard
entsprachen und Anwender Browsermeldungen ueber HTML-Syntax-Fehler als laestig
empfinden.

Wenn es diese Fehlertoleranz nicht geben wuerde, waeren alle Webseitenbetreiber gezwungen, standardgemaesse Webseiten zu verwenden. Dadurch waeren vielleicht heutzutage 90% aller Webseiten HTML valide.

• HTML Validator
• CSS Validator
• RSS Validator

Mit diesem Hack laesst sich angeblich die ganze Browser History auslesen.

In letzter Zeit kursieren viele Artikel ueber den 10 Jahre alten Browser Bug im Internet. Also eigentlich ist es ja kein Fehler (Bug), sondern eher ein Browser-Feature. Man kann jedoch nicht einfach so den ganzen Browser-Verlauf in einem auslesen, wie es vielleicht einige glauben. Das geht natuerlich nicht.

Aber was genau macht dieser Hack eigentlich? Mithilfe von JavaScript wird zuerst ein Link erzeugt. Dieser wird, jenachdem ob der Link zuvor schon einmal besucht worden ist, vom Browser dementsprechend eingefaerbt. Danach liest das JavaScript die Farbe des Links aus. Ein besuchter Link hat eine andere Farbe als ein noch nie besuchter Link. So koennte dann ein Angreifer herausfinden, ob ein User schon einmal auf einer bestimmten Internet-Seite war oder nicht. Das heisst, der Angreifer muss genau die URL kennen. Auch die genaue URL einer Unterseite. War ein User schon einmal z. B. nur auf “http://fox21.at/”, wird die Ueberpruefung auf “http://fox21.at/irgendeineUnterseite” nicht anschlagen, weil es einfach 2 unterschiedliche Zeichenketten sind. Das heisst, die URL, die ueberprueft werden soll, muss oeffentlich fuer jedermann zugaenglich sein. Aber dennoch ist dieser Bug gefaehrlich, da man so von jedem Internet-User, der eine gefaehliche Seite besucht, ein Online-Profil erstellen kann.

Hier ist mein Beispiel. Was dem Script aber noch fehlt, ist die Antwort, die die ganzen Informationen zurueck zum Server schickt. Anders gesagt, mein Script ist ungefaehlich. Gefaehrlich sind nur Seiten, die das Ganze ohne Wissen der User im Hintergrund machen, und die Informationen ueber die besuchten Seiten wieder zurueck zum Server schicken.

Was man damit noch machen koennte, alle Rapidshare-Links auslesen und alle Downloader verhaften. Ok, das liest sich jetzt sicher etwas brutal und uebertrieben. Aber mit diesem Hack kann man so einiges ueber sehr viele Internet-User herausfinden.

Wer also etwas mehr Anonymitaet im Internet haben will, sollte im Firefox den Privaten Modus aktivieren. Natuerlich kann man auch ganz einfach JavaScript deaktivieren. Stay secure.

Weblinks

• CSS History Hack
• I know where you’ve been
• Start Panic
• Have your friends been there?

Es gibt kein Problem, das man nicht mit Perl loesen koennte. Ja, ich weiss: es existieren schon unzaehlige Scripte und Programme im Netz, die genau das Gleiche machen wie meines hier. Aber ich dachte mir, ich koennte selber einmal ein Script schreiben, dass die Videos direkt von youtube.com herunterladet. So kann man vielleicht die Funktionsweise besser verstehen. Ausserdem ist meines Open Source.

Es ist eigentlich ganz einfach. Auf jeder YouTube Seite, z.B. http://www.youtube.com/watch?v=g4uxIo4t7xM, gibt es im HTML Quellcode ein paar JavaScript Variablen, die Flash fuer sich verwendet. Die gesuchte Variable heisst swfArgs.

var swfArgs = {"q": "ghostbusters", "fexp": "900076", "vq": null, "sourceid": "ys",
"video_id": "g4uxIo4t7xM", "l": 297, "sk": "-RplWXYJhe-YnAN5S824RPkvqdQKDg-rC",
"fmt_map": "6/720000/7/0/0,34/0/9/0/115", "usef": 0,
"t": "vjVQa1PpcFPDn9RlUJw_zdoFEddjpuNrJr0crbQDefw=", "hl": "en",
"plid": "AARi8t_zDjFbWjDVAAAAoAAICAA", "cr": "US"};

Darin kommt auch das Argument t vor. In dem Fall waere der Hash vjVQa1PpcFPDn9RlUJw_zdoFEddjpuNrJr0crbQDefw=. Dieser Hash aendert sich jedoch immer, wenn man die Seite neu ladet. Mit jedem Hash kann man das original Video nur einmal herunterladen. Von folgender URL kann man also dann das gewuenschte Video herunterladen.

http://www.youtube.com/get_video?video_id={$id}&t={$t}=&el=detailpage&ps=

{$id} muss durch die Video ID, die auch schon als v im original Link (http://www.youtube.com/watch?v=g4uxIo4t7xM) vorkommt, ersetzt werden. Und {$t} durch den Hash, den wir oben im JavaScript gefunden haben.

Das Script macht genau diese Schritte automatisch.

Benoetigte Perl-Module

• LWP::Simple
• LWP::UserAgent
• HTTP::Request
• HTTP::Request::Common
• HTTP::Response
• File::Basename

Installation

1. Herunterladen von youtube-1.0.0.zip
2. Entpacken mit unzip youtube-1.0.0.zip
3. Damit man die Scripte ausfuehren kann, Rechte mit chmod auf 755 stellen: chmod 755 ./youtube.pl ./install.pl
4. Ausfuehren von ./install.pl um zu sehen, ob alle benoetigten Perl Module installiert sind.

Verwendung unter Linux

./youtube.pl "URL"

oder

./youtube.pl "URL" "URL" "URL"

Verwendung unter Windows

perl youtube.pl "URL"

oder

perl youtube.pl "URL" "URL" "URL"

Der oder die uebergebenen URLs sollten auf jeden Fall unter Hochkomma gestellt werden. Nachdem man dann eines oder mehrere Videos erfolgreich heruntergeladen hat, wird man feststellen, dass sie die Endung .flv haben. Entweder schaut man sich die Videos direkt mit dem Flashplayer an, oder man nimmt das Programm ffmpeg zur Hand und wandelt es in .mpg um.

.flv Konvertierung unter Linux mit ffmpeg

ffmpeg -i movie.flv movie.mpg

Download

• youtube-1.0.0.zip

Nach ueber 2 Monaten mit dem Default-Thema von WordPress, hab ich endlich eine neue Thema installiert: iNove. Es ist nicht so, dass ich alle paar Monate eine neue Thema installiere. Die Default-Thema hat jeder. Meine Seite soll ja auch nach was ausschauen. Wenn ich die meist heruntergeladenste Thema benutze, dann ist natuerlich meine Seite nicht individuell.

iNove vertraegt sich aber nicht mit dem All in One SEO Pack. Beide Extensions haben naemlich im HTML Head-Tag ein Keywords-Meta und ein Description-Meta. Das ist aber nicht gut fuer Google. Desswegen hab ich im File wordpress/wp-content/themes/inove/templates/start.php die Zeilen 39 und 40 geloescht.

39
40

<meta name="keywords" content="<?php echo $keywords; ?>" />
<meta name="description" content="<?php echo $description; ?>" />

Google killt localhost! Der Artikel ueber mein TCP Pipe Script ist wieder komplett aus Google geloescht worden. Er wurde nur kurz, nach der Veroeffentlichung, in Google angezeigt. Kein einziges Wort von dem Artikel hab’ ich bei Google gefunden. Zuerst dachte ich, dass es wegen dem Keywords- und Description-Meta war. Dann hab ich aber festgestellt, dass Google diese Seite als Sicherheitsrisiko ansieht, weil ich localhost verlinkt habe. Ich hab’ die Verlinkung heute in der Frueh heraus genommen und seit Mittag ist mein Artikel wieder bei Google gelistet. Dieser befindet sich auf Platz 18 von 45 Mio. Suchergebnissen, wenn man nach TCP sucht. Das Ganze kann aber genau so auch ein Zufall sein. Weil im Google Cache existiert noch die alte Seite mit localhost Verlinkung und dem Default-Thema.