Archive for the Category »HTML «

Veraltete WordPress-Plugins locken Hacker an

WordpressHacksDie Sicherheitsfirma Sucuri hat im ersten Quartal dieses Jahres mehr als 11.000 kompromittierte Internetseiten untersucht. Aus ihrem Bericht geht hervor, dass häufig  erweiterbare Komponenten von CMS den Angreifern als Einfallstor dienen.

Mehr als 1 Milliarde Internetseiten auf CMS-Basis

Zurzeit sind über eine Milliarde Internetseiten aufrufbar, und hinter mehr als einem Drittel von ihnen stehen die Content-Management-Systeme (CMS) WordPress, Joomla, Drupal und Magento.

Von diesen CMS hat WordPress einen Marktanteil von über 60 Prozent, was auch auf seine durch Themes und Plugins vielfach erweiterbare Plattform zurückzuführen ist.

Bei WordPress fanden die Sucuri-Sicherheitsforscher auf jeder vierten der gehackten Seiten veraltete und anfällige Versionen der Plugins RevSlider, GravityForms und TimThumb.

Die untersuchten Hackerangriffe hatten jedoch kaum etwas mit der Kernanwendung des CMS zu tun, sondern mehr mit unsachgemäßer Installation, Konfiguration und Wartung durch Administratoren oder Hoster.

Die Infektionsursachen

Die häufigste Ursache von Infektionen waren Schwachstellen in den Erweiterungs-Komponenten i.e. Plugins, Erweiterungen, Module, Templates, Themes und ähnlichen Komponenten

Obwohl schon lange automatische Updates möglich sind, waren 56 Prozent aller infizierten WordPress-Sites nicht auf dem aktuellen Stand. Das ist im Vergleich zu den anderen Plattformen noch ein guter Wert, denn Joomla war zu 84 Prozent veraltet, Drupal zu 81 Prozent und Magento sogar zu 96 Prozent!

Ursachen für die mangelhaften Updatestände sind stark angepasste Installationen, Probleme mit der Rückwärtskompatibilität und last not least fehlende Mitarbeiter mit der notwendigen Kompetenz…

Auf 66 Prozent aller kompromittierten Installationen fand Sucuri eine PHP-basierte Backdoor. Durch diese Hintertüren konnten sich Angreifer über einen längeren Zeitraum nach der Infektion den Zugang sichern.

Diese Backdoors können auch die hohe Quote erneuter Infektionen, die nach Googles Webmaster-Tool bei satten 30 Prozent liegt, verständlich machen.

Adobe patcht 25 Flash-Sicherheitslücken

flash-playerWie schon angekündigt hat Adobe jetzt ein Sicherheitsupdate für seinen Flash Player herausgegeben. Der Patch stopft insgesamt 25 Sicherheitslücken, die Adobe als kritisch einstuft. Dazu gehört unter anderem auch eine Zero Day-Lücke, die aktuell schon aktiv für Angriffe benutzt wird.

Von dem Problem sind alle aktuellen Flash-Versionen inklusive der in den Browsern Chrome, Internet Explorer 11 und Edge eingebundenen Plug-ins betroffen.

Laut einem Sicherheitsbulletin können Angreifer durch diese Lücken Schadcode einschleusen und ausführen. So ist es unter Umständen durchaus möglich, die komplette Kontrolle über ein solches System zu übernehmen.

Die Benutzer sollten so schnell wie möglich die fehlerbereinigten Versionen 21.0.0.242 oder 18.0.0.352 für Windows und OS X und 11.2.202.621 für Linux installieren, die Adobe über die integrierte Update-Funktion und über das Flash Player Download Center bereitgestellt hat.

Die nötigen Patches für die Microsoft-Browser IE 11 und Edge sind schon seit Dienstagabend online. Auch Google hat gestern ein Update für Chrome 50 bereitgestellt, das schon die aktuelle Flash-Player-Version enthält.

Im Grunde neigt sich die Zeit des proprietären Flash, das immer wieder neue Sicherheitsprobleme erzeugt, ihrem Ende zu, denn Flash wurde inzwischen weitestgehend vom Internet-Standard HTML 5 abgelöst.

Beta von Googles Android Studio 2.0 veröffentlicht

AndroidAppsBauenBei Google gibt es jetzt die erste Beta seiner runderneuerten Entwicklungsumgebung Android Studio 2.0. Die aktuelle Version ist schon die Beta 2, weil es einige Probleme mit der ersten Testversion gab.

AndroidStudio2EmulatorNeu in Version 2.0 von Android Studio sind unter anderem die höhere Arbeitsgeschwindigkeit beim Kompilieren von Apps und beim Ausliefern von Paketen über die ADB-Schnittstelle zum neuen, auch deutlich verbesserten Emulator.

Der Emulator wurde in der Beta im Vergleich zur Vorschau aus dem Dezember weiter ausgebaut. Instant Run macht Code-Anpassungen deutlich schneller: Mit der neuen Funktion Cold Swap kann die App jetzt mit einem Klick im Emulator neu gestartet werden, wenn Änderungen am Code gemacht wurden. Die Steuerung der Ausrichtung wurde auch repariert. Die Multi-Touch-Unterstützung ermöglichlaubt es jetzt, solche Zoomgesten zu simulieren.

Sie erhalten die Beta 2 über den Canary-Channel in Android Studio und auf der Projektseite.

Firefox 44 mit Videochat und besseren Fehlermeldungen

firefox-logoBisher wurde die Medienunterstützung für HTML5-Videos im Mozillas Browser Firefox je nach genutztem Codec und offiziell nur  getestet.

Mit der soeben veröffentlichten Version 44 von Mozillas  Browsers ist das aber inzwischen abgeschlossen. Firefox 44 nutzt jetzt als Voreinstellung den System-Dekoder für H.264, wenn er verfügbar ist. Macht das Probleme, wird stattdessen die Nutzung des freien Codec VP9 und des WebM-Containers aktiviert.

Verschönert wurden die Warnhinweise und Fehlermeldungen im Zusammenhang mit Zertifikaten und Verbindungen. Statt der bisher genutzten eher allgemeinen Texte mit schwer zu deutenden Symbolen zeigt der Firefox jetzt kurze und klare Fehlermeldungen in unaufdringlichem Design an.

Schon seit mehr als einem Jahr testet Mozilla seine Implementierung des WebRTC-Standards mit seinem eigenen, in den Browser eingebauten Videochat „Hello“. Wie man den Neuerungen für Entwickler entnehmen kann, hat Mozilla bei Firefox 44 die Hersteller-Präfixe seiner Implementierung von WebRTC jetzt entfernt. Das heißt also, dass die Implementierung jetzt standardkonform sein sollte. Deshalb ist der Hello-Client wohl auch nicht mehr als Beta-Version gekennzeichnet.

Microsofts Visual Studio Code wird Open Source

MicrosoftVisualStudio_LogoMicrosoft will sein Entwicklungswerkzeug Visual Studio Code ab sofort zu Open-Source-Software machen. Das kündigte der Konzern jetzt auf seiner Konferenz Connect(); an.

Außerdem steht wieder eine neue Beta von Visual Studio Code für Windows, Mac OS X und Linux zum Download bereit.

Das Entwicklungswerkzeug unterstützt auch Erweiterungen und beinhaltet einen Marktplatz für Addons, den sogenannten Visual Studio Marketplace, in dem sich schon 60 Erweiterungen für Visual Studio Code finden.

Browser Edge 13 beherrscht HTML5 jetzt besser

HTML5-ZDNetIn der letzte Woche verteilte Microsoft sein großes Windows-10-Update 1511 Build 10586. Dabei hat der Konzern auch seinen Windows-10-Browser Edge aktualisiert.

Edge trägt jetzt die Versionsnummer 13 und besitzt nun eine deutlich verbesserte HTML5-Kompatbilität und hat auch seine Performance bei der Verarbeitung von JavaScript-Code merklich gesteigert.

Nach einem Bericht von ZDNet erzielt Edge 13 in Sachen HTML5-Kompatibilität ein im Vergleich zur Vorläuferversion um 56 Punkte besseres Ergebnis. Mit den erzielten 453 Punkten in dem HTML5-Test überflügelt Edge 13 sogar Mozillas Firefox, der auf 448 Punkte kommt. An der Spitze liegt weiterhin unangefochten mit einem Wert von 501 von maximal möglichen 550 Punkten Googles Browser Chrome.

Netbeans 8.1 legt Schwerpunkt auf Javascript

netbeansGut ein Jahr nach dem Erscheinen von NetBeans 8.0 ist nun mit der Version 8.1 ein neues Release von Oracles Open-Source-Entwicklungsumgebung fertig. Während der Schwerpunkt damals auf der Unterstützung des zu dieser Zeit neuen Java 8 lag, gibt es bei Version 8.1 insbesondere für JavaScript-Entwickler viel Neues.

NetBeans ist vom Ursprung her zwar eine Java-IDE, doch schon bald wurden von der Entwicklungsumgebung auch andere Programmiersprachen wie C/C++, PHP und auch Ruby und eben mittlerweile auch JavaScript unterstützt.

Netbeans 8.1 unterstützt jetzt unter anderem die Arbeit mit Node.js durch einen Projekt-Wizard, Konfigurationsoptionen, Problemerkennungsmechanismen, Synchronisation zwischen dem Projekt und dessen package.json-Date sowie einen Editor und einen Debugger.

Außerdem haben die Entwickler die Codeergänzung für JavaScript und den JSDoc-Support erweitert und im Debugger die Möglichkeit geschaffen, Breakpoints zu setzen, die nur unter festgelegten Bedingungen zum Einsatz kommen.

Für Webentwickler wichtige Optionen sind in der Übersicht jetzt in einem eigenen HTML/JS-Bereich gruppiert. Dort findet man unter anderem auch alle Einstellungen für Grunt und Gulp, die die IDE in Version 8.1 neben weiteren Tools wie den Testframeworks Mocha, Selenium 2.0 und Arquilian integriert.

Neue Anzeige für HTTPS-Seiten mit Chrome 46

Chrome46SSLGoogle hat die Browserversion Chrome 46 veröffentlicht. Das Update auf Version 46.0.2490.71 vom 13. Oktober enthält Patches für 24 Sicherheitslücken – vier davon sogar von hoher Priorität.

Als offensichtlichste Änderung hat die Suchmaschine aber die Anzeige des Sicherheitslevels von Webseiten überarbeitet.

Bei verschlüsselten HTTPS -Seiten mit kleineren Fehlern erschien bisher über dem Schlosssymbol zusätzlich das bekannte gelbe Warndreieck.

Diese Warnung soll laut Google die Nutzer verwirrt und letztlich sogar dazu geführt haben, dass viele Surfer fälschlicherweise dachten, fehlerhaft verschlüsselte Seiten seien unsicherer als Seiten, die HTTPS überhaupt nicht unterstützten (Anm. d. Autors: Das ist auch mein Feedback von vielen Surfern).

Also hat Google das gelbe Warndreieck jetzt ersatzlos gestrichen. Sichere Webseiten bekommen wie bisher ein grünes Schloss, Webseiten mit abgelaufenem Sicherheitszertifikat oder groben Fehlern in HTTPS bekommen wie immer ein rotes X.

Open Source-CMS Joomla wird 10

joomla-developmentHeute ist es genau zwhn Jahre her, dass das freie Content Management System (CMS) Joomla veröffentlicht wurde. Es war ein von Mambo geforktes System und zählt heute mit Millionen von Installationen zu den erfolgreichsten Open Source-Projekten.

Viele Seitenbetreiber und –ersteller haben das auf der Programmiersprache PHP und der Datenbank MySQL basierende Joomla heute in der aktuellen Version Joomla 3 im Einsatz.

Inzwischen unterstützt Joomla 3 auch mehrsprachige Internetseiten und läßt sich dank responsivem Design auch von Mobilgeräten aus bedienen. Zum zehnten Geburtstag hat unter anderem auch die Computerzeitschrift c’t dem Open Source-CMS Joomla einen Artikel gewidmet.