Die Bahn ist ein moderner, kundenorientierter Weltkonzern. Wer wollte das wohl ernsthaft anzweifeln? Vorbei die Zeiten schnaufender Dampfloks, die sich über Berg und Tal quälen. Längst brettern ICEs mit mehr als 200 Sachen durch die Lande. Und auch im Zuginneren hat sich einiges getan. Wer nämlich mit dem ICE fährt, findet mittlerweile an jedem Platz eine Steckdose, an die man vorzüglich seinen Laptop hängen kann. Das ist natürlich vor allem für die Reisenden von Vorteil – und dazu zähle ich momentan leider auch – deren Laptop mit einem Akku gestraft ist, dessen Lebensdauer gerade einmal dafür reicht, hektisch die E-Mails zu checken. Was im ICE zu Hauf vorhanden ist, ist im IC hingegen ein heißbegehrtes, da nur spärlich vorhandes Gut. Denn dort gibt es pro Wagon exakt vier Steckdosen, die um zwei Vierertische herum verteilt sind. Wenn Sie also irgendwann in einem fast leeren IC fahren und sich wundern, warum sich die meisten Reisenden auf engstem Raum tummeln: Es ist die Stromnot, die die Menschen zusammengeführt hat. Not ganz anderer Art brachte in der vergangenen Woche übrigens verschiedene Versicherungsanstalten, Makler und IT-Unternehmen an einen gemeinsamen Tisch. Denn die hatten es in der Vergangenheit schwer, wenn es um einen standardisierten Datenaustausch ging. Das soll sich nun durch die neu gegründete Prometheus Foundation ändern. Was es mit der auf sich hat und welche Rolle dabei XML Schema spielt, erfahren Sie in diesem XML-Report.

Gleich zwei Last Calls wurden von der XML Security Working Group veröffentlicht. XML Signature Syntax and Processing 1.1 beschreibt die Syntax und die Verarbeitungsregeln für die Generierung und die Darstellung digitaler Signaturen. XML Signatures Properties lässt sich auf alle digitalen Inhalte anwenden, natürlich auch auf XML. In XML Signature Properties werden Syntax und Verarbeitungsvorschriften sowie ein damit verbundener Namensraum der Signature-Eigenschaften beschrieben.

In dem von der XML Security Working Group veröffentlichten Arbeitsentwurf XML Security 1.1 Requirements and Design Considerations werden Voraussetzungen und Designaspekte der beiden Spezifikationen XML Signature und Canonical XML beschrieben. Diese sollen bei der Überarbeitung der genannten Spezifikationen helfen.

Von der Math Working Group stammt die vorgeschlagene Bewerberempfehlung XML Entity Definitions for Characters. Dieses Dokument beschreibt, wie sich wissenschaftliche und mathematische Symbole innerhalb der XML- und der Unicode-Welt nutzen lassen.

In der vergangenen Woche hat sich die Prometheus Foundation gegründet. Dabei handelt es sich um einen Zusammenschluss verschiedener Versicherungen, IT-Unternehmen und Maklerverbände. Ziel der Prometheus Foundation ist die Entwicklung einer Plattform für den standardisierten Datenaustausch, um so schnellere Prozesse, eine vollautomatisierte Verarbeitung und einen durchgängigen Datentransport zu gewährleisten. Die Plattform soll auf Open-Source-Basis veröffentlicht werden und aus einem zentralen Produktbus bestehen, über den sich Angebote und Serviceleistungen erstellen lassen, die in einem Verzeichnis liegen, die in XML Schema definiert sind.

Die Experten von Secunia haben eine neue Sicherheitslücke in Skype entdeckt. Als kritisch wird dieses Sicherheitsrisiko allerdings nicht eingestuft, da sich darüber "nur" XML-Dateien löschen lassen. (Als XML-Entwickler könnte man hier natürlich dennoch besorgt sein.) Damit Angreifer die Sicherheitslücke nutzen können, muss allerdings eine entsprechend manipulierte Webseite aufgerufen werden. Bislang gibt es noch kein Update, das dieses Problem behebt. Um das Risiko zu bannen, wird die vorläufige Deaktivierung des Skype-Plug-in-Protokoll-Handlers empfohlen.

Eine weitere Sicherheitslücke wurde ebenfalls von Secunia entdeckt. Über diese kritische Sicherheitslücke können Angreifer mithilfe präparierter XML-Dateien schadhaften Code in Liquid XML Studio einspeisen. Schuld an der Lücke ist ein Begrenzungsfehler in der Datei LtXmlComHelp8.dll. Wird der Methode OpenFile() ein überlanges Argument übergeben, kommt es zum Pufferüberlauf, der wiederum von Angreifern ausgenutzt werden kann. In Version 8.1 von Liquid XML Studio wurde diese Schwachstelle geschlossen.

Angeschlossene Händler und Kooperationspartner der Plattform pkw.de können ab sofort über ein neues API ihren Webauftritt selbst erstellen. Basis bildet dabei XML. Das API steht allen angeschlossenen Händlern kostenlos zur Verfügung, deren Vertrag bei pkw.de noch mindestens 2 Jahre läuft.

Dass Sicherheit in Webanwendungen wichtig ist, braucht an dieser Stelle nicht extra erwähnt zu werden. In aller Regel wissen Entwickler nämlich um diese Gefahren. Wie aber testet man seine Applikationen eigentlich hinsichtlich der Sicherheit? Genau hier setzt das jüngst von Google veröffentlichte Skipfish an. Vergleichen lässt sich dieses Gratistool am ehesten mit Nessus und Nmap. Allerdings soll Skipfish gegenüber diesen Anwendungen deutliche Performancevorteile haben. Immerhin 2000 HTTP-Anfragen pro Sekunde im LAN bzw. 500 Anfragen pro Sekunde im Internet soll das Tool schaffen. Skipfish testet Applikationen auf verschiedene Sicherheitslücken. Mit heuristischen Methoden werden mögliche Angriffsflächen für Cross-Site-Scripting-Attacken erkannt, auf mögliche Buffer-Overflows wird hingewiesen und vor XML- und SQL-Injection-Angriffen wird gewarnt. Das von Google veröffentlichte Tool läuft unter Linux, FreeBSD, Mac OS X und Windows in der Cygwin-Umgebung.

Hinweise auf aktuelle Veranstaltungen und Trends nehme ich gerne unter xml@medienwerke.de entgegen.

Bis nächste Woche
Ihr Daniel Koch

Daniel Koch arbeitet als freiberuflicher Programmierer und Autor in Berlin. Er hat mehrere Bücher rund um die Themen Programmierung und Software veröffentlicht. Sie erreichen ihn unter dk@medienwerke.de. Wöchentlich berichtet er in der Kolumne "XML-Report" über Aktuelles aus der XML-Szene, schaut sich in der Community um und informiert über die neuesten Entwicklungen der Standardisierungsgremien.