Archive for the Category »test «

Linux-Subsystem für Windows ist fertig

Die Betatestphase für das Windows Subsystem für Linux (WSL) wurde mit dem aktuellen Insider-Build 16251 von Windows 10  offiziell beendet. Die Entwickler dieser Funktion, die das Ausführen von Linux-Anwendungen unter Windows gestattet, ist das WSL jetzt stabil genug für die tägliche Nutzung. Außerhalb der Windows-Insider-Builds soll das stabile WSL mit dem Fall Creators Update (FCU) im Herbst erscheinen.

Nach der Ankündigung ändert sich technisch mit dem Ende der Betaphase fast nichts. Die Ankündigung soll lediglich ein Hinweis für solche Entwickler sein, die bisher wegen noch fehlender Stabilitätsgarantien WSL noch nicht genutzt haben.

Das Team weist aber erneut explizit darauf hin, dass diese Umgebung nicht etwa für den produktiven Einsatz, beispielsweise zum Hosten von Anwendungen, geeignet ist. Auch grafische Anwendungen werden zumindest offiziell nicht unterstützt. Das System soll nur eine interaktive Hilfe für Entwickler bei der Erstellung ihrer Anwendungen sein.

HTTP-Header verwirren Internetserver

James Kettle von der Firma Portswigger hat auf der Black-Hat-Konferenz in Las Vegas unter dem Titel „Targeting HTTP’s Hidden Attack-Surface“ zahlreiche Varianten von sogenannten Server-Side-Request-Forgery-Angriffen (SSRF) gezeigt.

Der Sicherheitsforscher setzte dabei vor allem darauf, mit intelligent gewählten HTTP-Headern Webserver und Loadbalancer durcheinander zu bringen.

SSRF-Angriffe in der Praxis

Kettle demonstrierte einige Angriffe, die darauf basieren, an einen Server einen HTTP-Request mit ungültigem Host-Header zu abzusenden. Viele Systeme leiten solche Anfragen einfach nur weiter, ganz egal, wohin sie gehen. Bei Yahoo gelang es zum Beispiel auf diese Weise, Zugriff auf ein internes System zu erlangen. Im Host-Header wurde dazu einfach eine interne IP eingefügt.

Das Yahoo-System sprach offenbar nicht HTTP, sondern ein einfaches, zeilenorientiertes Protokoll. Dabei wurde die Antwort dieses Systems auch zurückgeschickt. So führte ein HTTP-Request mit der normalerweise nicht existenten Help-Methode dazu, dass das System, bei dem es sich um einen Apache Traffic Server und eine Software zum Cachen von HTTP-Verbindungen handelte, eine Hilfe ausgab. Mit seinem Angriff hätte Kettle Daten direkt in den internen HTTP-Cache von Yahoo schreiben können…

Britisches Zensursystem antwortet auf Header

Bei einem von ihm selbst kontrollierten Server bekam Kettle Antworten, allerdings nur bei HTTP- und nicht bei HTPS-Verbindungen. Die Antwort kam allerdings nicht von seinem eigenen System, sondern von dem britischen Zensursystem, das früher mal Bilder zum Kindesmissbrauch blockieren sollte und inzwischen hauptsächlich für die Verfolgung von Copyright-Verstößen benutzt wird.

Für Webworker mit Verantwortung für Internetserver könnte es eine gute Idee sein, einmal zu testen, wie die eigenen Server auf solche Header reagieren.

Vivaldi 1.10 dockt Entwickler-Tools an

Neben neuen Möglichkeiten zur Gestaltung der Startseite kommt die neue Version des Browsers Vivaldi 1.10 mit einem besonders für Entwickler und Seitenersteller interessanten Feature daher.

Entwicklungswerkzeuge andockbar

Ab diesem Release kann Vivaldi die beliebten Entwickler-Tools nicht nur wie bisher in einem separaten Fenster aufrufen. Jetzt können die Tools neben oder unter der angezeigten Internetseite andocken, um zum Beispiel Elemente zu inspizieren oder Code zu testen und debuggen.

Neue und verbesserte Funktionen

Außer der Startseite und der Andockbarkeit der Entwicklerwerkzeuge wurden folgende Funktionen neu aufgenommen oder verbessert:

  • Sortierfunktion für Downloads
  • Bilder sichtbar/unsichtbar schalten
  • Schnelle Tastaturbefehle
  • Adressleise überarbeitet
  • Neue Tabs auch für Drittanbieter

Test auf Port 7547-Problem

7547-testheise1Durch den GAU bei der Deutschen Telekom am Sonntag ist das Problem aktuell in aller Munde: Manche Telekom-Router sind über ihr Port 7547 angreifbar und Kriminelle versuchen aktuell weltweit, Router über diese Fernwartungsschnittstelle zu übernehmen – beispielsweise als Elemente von Botnets, mit denen dann wiederum andere Rechner und Netze angegriffen werden. Bei diesem Angriff auf Router waren fast eine Million Kunden der Deutschen Telekom betroffen und mussten teilweise bis heute auf Internet, Telefon und Fernsehen verzichten.

Um zu sehen, ob ein Router so angreifbar ist oder nicht, hat Heise heute einen Schnelltest online gestellt.

Kommt das Ergebnis in roter Schrift, gibt es ein Problem mit dem Gerät. Wird das Ergebnis in Grün angezeigt, ist der Router so nicht angreifbar. Eine detailliertere Beschreibung des Tests erreichen Sie über die Antwortseite des Routertests.

Sicherheitstest für Internetseiten von Mozilla

ObservatoryUnter der Bezeichnung Observatory bietet die Mozilla Foundation, der Hersteller des Browsers Firefox, einen Sicherheits-Check für beliebige Websites an.

Nach der Eingabe der Domainadresse und einiger Optionen bekommt man in wenigen Sekunden die sicherheitsrelevanten Konfigurationsdaten der Site angezeigt.

Zu den auf korrekte Implementierung untersuchten Verfahren gehören fast alle, die als Reaktion auf bekannt gewordene Sicherheitsprobleme implementiert wurden – von Content Security Policy über Cross-origin Resource Sharing und HTTP Public Key Pinning bis zu HTTP Strict Transport Security und X-XSS-Protection. Nicht geprüft wird dabei auf Probleme im Code wie beispielsweise auf SQL-Injection-Anfälligkeit.

In den Dienst fließen nach Angaben von Mozilla Erfahrungen ein, die man beim Firefox-Hersteller bei der Untersuchung von Millionen von Internetseiten gemacht hat, wobei oft erschreckende Lücken aufgedeckt worden seien – nicht nur bei fremden Internetseiten, sondern auch im eigenen Haus, beispielsweise bei addons.mozilla.org.

Wer für die Pflege oder die Sicherheit einer Internetseite verantwortlich ist, sollte das Tool durchaus einmal laufen lassen – es könnte Sicherheitslücken aufdecken, bevor das böswillige Kriminelle tun…

Browser-Test mit Chrome 35, Firefox 30, Internet Explorer 11 und Safari 8

BrowserSpeedometerAußer der Bedienung spielt für viele Anwender auch die Geschwindigkeit bei der Wahl eines Browsers eine entscheidende Rolle. Auch die Kompatibilität zu modernen Standards wie HTML5 sollte so weit wie möglich gehen.

ZDNet hat die vier aktuellen Browser Chrome 35, Firefox 30, Internet Explorer 11 und Safari 8 unter Windows 8.1 und OS X 10.10 DP1 durch den Test gejagt und die Ergebnisse veröffentlicht.

Bei diesem Test belegt Safari 8 deutlich den ersten Platz. Firefox 30 erreicht unter OS X mit erheblichem Abstand Rang nur in etwa das Niveau von Safari 7.0.4. Chrome kommt bei diesem Test unter allen Browsern am schlechtesten weg – sogar der Internet Explorer erreicht ein besseres Ergebnis.

WebIDE von Mozilla in Firefox-Browser integriert

MozillaWebIDEFür die Entwicklung von Webanwendungen braucht man nicht unbedingt verschiedene Werkzeuge und Vorlagen, die man extra irgendwo herunterladen muss? Dafür reicht schließlich auch der Browser, meint Mozilla.

Das Unternehmen teilt mit, eine integrierte Entwicklungsumgebung (IDE) sei jetzt Bestandteil der Nightly-Builds von Firefox. Sie nennt sich einfach nur WebIDE.

Damit die Entwickler bei der Benutzung der WebIDE nicht ganz von vorn anfangen müssen, ist eine Beispiel-App als Vorlage enthalten, die im Grunde nur einen kleinen Button zeigt.

Mit den Werkzeugen der DIE kann man dann die eigentliche Entwicklung vornehmen. Die WebIDE erlaubt neben dem Schreiben auch das Testen direkt im Browser. Die Anwendung kann man aber auch einfach auf Firefox OS Geräten oder Simulatoren installieren. Mit den bekannten Entwicklerwerkzeugen im Firefox-Browser kann das erstellte Programm dann wie gehabt debuggen.

Google-Suche bringt weniger schädliche Suchergebnisse

av-test_suchmaschinenEine Untersuchung von AV-Test sollte klären, wie effektiv die Suchmaschinen ihre Benutzer vor Schädlichen Websites schützen. Dabei wurden in 18 Monaten insgesamt 40 Millionen Websites mit sieben Suchmaschinen getestet.

Nach dieser Studie (PDF) lieferte Bing insgesamt 1285 mit Malware verseuchte Ergebnislinks. Bei Google waren es nur 272 Links auf gefährliche Adressen. Die beiden Suchmaschinen wurden mit je ca. zehn Millionen Websites getestet.

Die Malware-Studie unterstreicht nach AV-Test auch, dass es sehr wichtig ist, vorhandene Updates für Betriebssystem, Browser und andere Software immer möglichst umgehend zu installieren. “Die infizierten Websites verwenden meistens Malware, die bekannte Schwachstellen ausnutzt. Diese Anfälligkeiten stecken normalerweise in veralteten Browsern, alten Add-ons oder Erweiterungen und nicht aktuellen Versionen von PDF-Readern”, kann man in der Studie nachlesen. Die Wahrscheinlichkeit einer Infektion mit Malware über infizierte Internetseiten werde durch aktuelle Software sehr deutlich reduziert.

Firefox Android-Auroraversion kann auf Marketplace zugreifen

Wer Webseiten erstellt, checkt neue Browser in aller Regel, sobald die ersten Betas verfügbar sind. Mit der aktuellen Aurora-Version von Firefox für Android hat man ab sofort Zugriff auf den Firefox Marketplace. Das Angebot ist noch in der Entwicklung, und Mozilla erwartet, dass Leute, die den Marketplace testen, den Entwicklern auch ein Feedback dazu geben, um Design, Leistung und Benutzerfreundlichkeit zu optimieren.

Zurzeit findet man im Marketplace nur ein paar Apps aus den Bereichen Soiele, News und Produktivität, die man installieren und nutzen kann. Dazu gehört zum Beispiel auch ein Twitter-Client.

Später soll der Marketplace auch für andere Plattformen als Android freigegeben werden. Wann das sein wird, ist aber noch nicht bekannt.