HTTP-Header verwirren Internetserver

James Kettle von der Firma Portswigger hat auf der Black-Hat-Konferenz in Las Vegas unter dem Titel „Targeting HTTP’s Hidden Attack-Surface“ zahlreiche Varianten von sogenannten Server-Side-Request-Forgery-Angriffen (SSRF) gezeigt.

Der Sicherheitsforscher setzte dabei vor allem darauf, mit intelligent gewählten HTTP-Headern Webserver und Loadbalancer durcheinander zu bringen.

SSRF-Angriffe in der Praxis

Kettle demonstrierte einige Angriffe, die darauf basieren, an einen Server einen HTTP-Request mit ungültigem Host-Header zu abzusenden. Viele Systeme leiten solche Anfragen einfach nur weiter, ganz egal, wohin sie gehen. Bei Yahoo gelang es zum Beispiel auf diese Weise, Zugriff auf ein internes System zu erlangen. Im Host-Header wurde dazu einfach eine interne IP eingefügt.

Das Yahoo-System sprach offenbar nicht HTTP, sondern ein einfaches, zeilenorientiertes Protokoll. Dabei wurde die Antwort dieses Systems auch zurückgeschickt. So führte ein HTTP-Request mit der normalerweise nicht existenten Help-Methode dazu, dass das System, bei dem es sich um einen Apache Traffic Server und eine Software zum Cachen von HTTP-Verbindungen handelte, eine Hilfe ausgab. Mit seinem Angriff hätte Kettle Daten direkt in den internen HTTP-Cache von Yahoo schreiben können…

Britisches Zensursystem antwortet auf Header

Bei einem von ihm selbst kontrollierten Server bekam Kettle Antworten, allerdings nur bei HTTP- und nicht bei HTPS-Verbindungen. Die Antwort kam allerdings nicht von seinem eigenen System, sondern von dem britischen Zensursystem, das früher mal Bilder zum Kindesmissbrauch blockieren sollte und inzwischen hauptsächlich für die Verfolgung von Copyright-Verstößen benutzt wird.

Für Webworker mit Verantwortung für Internetserver könnte es eine gute Idee sein, einmal zu testen, wie die eigenen Server auf solche Header reagieren.

Die Performance von Firefox 55

Firefox-Entwickler Dietrich Alaya berichtet in seinem Blog von der angeblich drastischen Performanceverbesserung des 55er Feuerfuchses. Mit viel Aufwand lädt der Mann ein Profil von ca. 1.700 Internetseiten – allerdings ohne mit dem Internet verbunden zu sein – und freut sich dann, dass das relativ wenig Speicher verbraucht…

Dieser Test zeigt zwar bei den unterschiedlichsten Firefox-Versionen gemäß der Grafik eine Super-Performance an, aber alle üblichen Tests wie beispielsweise Speedometer, Motion Mark oder ARES 6 zeigen nach einem Bericht von ZDNet, dass der Mozilla-Browser nicht wirklich nennenswert an Performance gewonnen hat und Firefox schneidet dabei auch im Vergleich mit Googles Chrome deutlich schwächer ab.

Es bleibt also für Mozilla noch einiges zu tun.

Erstes Update für Firefox Klar

Seit einem Monat ist die Android-Version des Privatsphäre-Browsers Firefox Focus unter dem Namen Firefox Klar veröffentlicht.

Firefox Klar kann man kostenlos bei Google Play (Android) und bei iTunes (iOS) herunterladen. Für die nächsten Monate hat Mozilla weitere „tolle Updates“ angekündigt.

Nachdem im letzten Monat schon eine Million Nutzer den Browser heruntergeladen haben, gibt Mozilla jetzt ein Update mit drei von den Usern gewünschten neuen Funktionen heraus.

Nicht für alle, aber für „die meisten Video-Seiten“ bietet Firefox Klar einen Vollbild-Videomodus – dummerweise funktioniert das aber ausgerechnet beim weltweit meistgenutzten Video-Portal YouTube noch nicht.

Ein Fehler bei Google stört die Funktion. Sie soll aber nachgebessert werden, sobald Google die nötige Korrektur realisiert hat, verspricht der Hersteller.

Außerdem kann der Browser mit dem Update „alle Arten von Dateien herunterladen“. Die dritte Neuerung sind die jetzt mit einem Shortcut zu Firefox Klar ausgestatteten Benachrichtigungen. Diese kleinen Hinweise erinnern den Benutzer daran, seinen Suchverlauf zu löschen.

Firefox-Browser trackt seine User mit Google Analytics

Ausgerechnet Mozilla mit seinen erklärten hohen Ansprüchen zum Datenschutz seiner User schlampte laut dem Mozilla-Manifest.

In diesem Paper heißt es in Punkt 4: „Die Sicherheit und der Schutz der Daten einer Person im Internet sind von grundlegender Bedeutung und dürfen nicht als optional betrachtet werden.“

Dummerweise nutzte der Mozilla-Browser Firefox aber offenbar Google Analytics, und zwar ohne seine Nutzer darüber zu informieren.

Das brachte kürzlich unter anderem der Nutzer Nicolas Petton per Twitter ans Licht, berichtet unter anderem Ghacks. Zum Tracking mit Analytics kommt es allerdings nur dann, wenn in den Add-ons des Browsers die Registerkarte Add-ons entdecken angeklickt wird.

Mozilla gibt den Fehler zu und verspricht Besserung

Inzwischen bestätigte Mozilla-Mitarbeiter Matthew Riley MacPherson, dass die Add-on-Verwaltung in der Tat einen iFrame mit Inhalten lade, die auf einer Mozilla-Internetpräsenz gehostet seien, in welcher das Google-Analytics-Skript enthalten sei.

Gemäß einer speziellen Vereinbarung mit Google sollen diese Daten allerdings nur anonymisiert an Mozilla weitergegeben worden. Den Nutzern geht es aber weniger um die unberechtigte Nutzung dieser Daten, sondern mehr um den Bruch des Versprechens von Mozilla auf Datensicherheit.

Problem zum Wochenende beseitigt

Firefox bietet zwar eine Option, die Google Analytics deaktivieren soll – den Tracking-Schutz Do Not Track. MacPherson gibt aber in einem Beitrag auf Github zu, dass die Add-ons-Website bisher die Do-Not-Track-Anforderung des Browsers schlichtweg ignoriert habe. „Wir haben heute einen Hotfix für die Add-ons-Website ausgeliefert, der Do Not Track respektiert“, ergänzte Mozilla-Mitarbeiter MacPherson (GitHub-Nick „tofumatt“).

Vivaldi 1.10 dockt Entwickler-Tools an

Neben neuen Möglichkeiten zur Gestaltung der Startseite kommt die neue Version des Browsers Vivaldi 1.10 mit einem besonders für Entwickler und Seitenersteller interessanten Feature daher.

Entwicklungswerkzeuge andockbar

Ab diesem Release kann Vivaldi die beliebten Entwickler-Tools nicht nur wie bisher in einem separaten Fenster aufrufen. Jetzt können die Tools neben oder unter der angezeigten Internetseite andocken, um zum Beispiel Elemente zu inspizieren oder Code zu testen und debuggen.

Neue und verbesserte Funktionen

Außer der Startseite und der Andockbarkeit der Entwicklerwerkzeuge wurden folgende Funktionen neu aufgenommen oder verbessert:

  • Sortierfunktion für Downloads
  • Bilder sichtbar/unsichtbar schalten
  • Schnelle Tastaturbefehle
  • Adressleise überarbeitet
  • Neue Tabs auch für Drittanbieter

Sicherheitsupdate 3.7.3 für CMS Joomla

Mehrere schwere Sicherheitsprobleme mit der Einstufung „hoch“ werden mit dem aktuellen Security- und Bug-Fix-Release 3.7.3 von Joomla behoben. Dabei wurden auch mehrere andere Bugs in dem CMS beseitigt.

Zei der schweren Sicherheitslücken bestehen in den Versionen von 1.7.3 bis einschließlich 3.7.2. Durch die Lücke CVE-2017-9933 können Daten aus dem Cache leaken, die Lücke CVE-2017-9934 lässt sich wegen mangelnder Überprüfung von Dateneingaben für Angriffe per Cross Site Scripting (XSS) nutzen.

Die dritte schwere Lücke, ebenfalls eine Verwundbarkeit für mit Cross Site Scripting, ist sogar schon ab Version 1.5.0 bis Version 3.7.2 zu finden.

Daher sollten Nutzer der gefährdeten Joomla-Versionen möglichst umgehend die abgesicherte Version Joomla 3.7.3 installieren.

Das Ende des Windows App Tools

Zum Ende des Jahres 2017 schließt Microsoft die kostenlose Online-Anwendung Windows App Studio. Wer das beliebte Werkzeug zur einfachen Erstellung von UWP(Universal Windows Platform)-Anwendungen  auf Basis von Vorlagen noch nutzt, kann seine Projekte und Daten bis zum 1. Dezember 2017 von dort herunterladen.

Ab dem 15. Juli, also in 12 Tagen, können Sie sich beim Windows App Studio nicht mehr als neuer Benutzer registrieren. Der Online-Application Editor selbst funktioniert sogar nur noch bis zum 15. September.

Windows Template Studio ersetzt Windows App Studio

Microsoft hat das Werkzeug aber nicht ersatzlos gestrichen, sondern empfiehlt stattdessen jetzt den Umstieg der Benutzer auf das Windows Template Studio, das gerade erst in Version 1.1 erschienen ist.

Nach einem Blogbeitrag zum Ende von Windows App Studio ist das neue Tool eine Weiterentwicklung des Windows App StudioWindows Template Studio ist jetzt auch anders als sein Vorgänger Open-Source-Software. Einzelheiten zu dem Migrationsprozess will Microsoft den Benutzern jetzt per Email mitteilen.

Anfangs hieß das Windows App Studio noch Windows Phone App Studiound hatte seine Wurzeln in den Bemühungen von Microsoft um eine übergreifende Entwicklung für alle Windows-Plattformen. Damals waren das Windows Phone 8.1 und Windows 8.1.

Mit dem Tool lassen sich nicht nur einfache Apps komplett erstellen, sondern auch auch Gerüste dazu, die Software-Entwickler dann in Visual Studio um weitere Funktionen erweitern können.

100 Millionen Zertifikate von Let’s Encrypt

Die Zertifizierungsstelle (CA) für kostenlose SSL-/TLS-Zertifikate Let’s Encrypt hat gestern bekanntgegeben, dass sie inzwischen schon 100 Millionen ihrer kostenlosen Zertifikate ausgestellt hat.

Die CA wächst wirklich extrem schnell, denn noch vor gut einem Jahr waren es erst 1 Million Zertifikate. Let’s Encrypt arbeitet mit Partnern und Sponsoren wie beispielsweise Akamai, IdenTrust und Sumo Logic zusammen, um das Internet möglichst zu 100 Prozent mit HTTPS abzusichern.

Beim Start von Let’s Encrypt vor ca. anderthalb Jahren betrug die HTTPS-Abdeckung nach über Firefox gesammelten Daten (siehe Grafik) ca. 40 Prozent. Heute liegt dieser Wert schon bei 58 Prozent, wozu natürlich auch andere CAs und Initiativen mit beigetragen haben.

Die CA bedankt sich jetzt auch bei der Community, die sie mit diversen Clients zur automatischen Ausstellung von Zertifikaten unterstützt hat. Vor Kurzem gab Let’s Encrypt bekannt, dass das schon eingesetzte ACME-Protokoll zum automatischen Ausstellen von Zertifikaten in Version 2 nun auch als IETF-Standard geadelt werden soll.

Formen und Funktionsweise der Cloud – Technologie


Der Online Speicher – Die Cloud

Die Cloud ist zukunftsweisend und in aller Munde. Es gibt immer mehr Dienstleister, die diese Art der Online – Datenspeicherung anbieten. Einige Unternehmen sind dabei kostenfrei, während andere monatlich ein kleines Entgelt verlangen. Der Cloud Speicher wird immer populärer und immer mehr nutzen die Möglichkeit, ihre Dateien überall online abzurufen. Doch die Cloud schützt nicht nur vor Datenverlust, sie ist auch insgesamt sicherer geworden.  Im Gegensatz zur üblichen lokalen Datenspeicherung, liegt sie bei einer Cloud in professionellen Händen mit doppeltem Backup. Bei deutschen Dienstleistern werden die Daten nach dem deutschen Datenschutzgesetz geschützt und sind mit SSL  verschlüsselt. So sind die Daten gegen Zugriffe von außen geschützt und das Risiko, dass die Dateien in die falschen Hände geraten, halten sich sehr in Grenzen.

Welche Formen der Cloud – Technologie gibt es?

Die Cloud – Technologie gibt es in unterschiedlichen Formen. Welche das sind und worin sich diese unterscheiden, erfahren Sie hier bei uns. Zum einen gibt es die Software-as-a-Service, kurz SaaS, Technologie. Hier bietet das virtuelle Rechenzentrum Speicherkapazitäten und Anwendungsprogramme an, die Sie über einen Browser nutzen können. Sie können die Progamme und die Software nutzen, ohne diese vorher auf dem eigenen Computer installieren zu müssen. So muss sich der Nutzer auch nicht um Lizenzen oder um Softwareupdates kümmern. Eine weitere Form des Cloud – Computings ist die Platform – as – a – Service (PaaS) Technologie. Diese Technologie stellt Programmierumgebungen mit anpassbaren Rechen – und Datenkapazitäten zur Verfügung. So können die Nutzer auf dieser Plattform ihre eigene Software entwickeln. Die letzte Technologie ist die Infrastructure – as – a – Service (IaaS). Hier kann der Nutzer auf Hardware – Ressourcen, wie Rechner, Speicher und Netzte zugreifen. Bei dieser Version mietet man gewissermaßen einen eigenen Server. Doch was kann man sich überhaupt unter einer Cloud vorstellen? Und wie funktioniert der Online – Speicher?

Funktionsweise des Cloud Speichers

Das System der Cloud ist denkbar einfach. Ein Dienstleister stellt seinen Nutzern seine Server in Form eines virtuellen Rechenzentrums zur Verfügung. So kann der Nutzer seine Daten auf einen Server hochladen. Diese werden dann auf verschiedene Server, die der Dienstleister vorgibt,  verteilt. So sind die gespeicherten Dateien je nach Bedarf abrufbar. Der Kunde kann jederzeit und von jedem Ort online seine Speicher – Ressourcen abrufen. Natürlich unter der Voraussetzung, dass man die Zugangsdaten für den Cloud- Anbieter und den Account  hat. Angebot und Nutzung dieser Dienstleistungen erfolgen ausschließlich über technische Schnittstellen, Protokolle und über Webbrowser. Die Spannweite der im Rahmen des Cloud Computings angebotenen Dienstleistungen umfasst das gesamte Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur, Plattformen und Software. Überzeugen Sie sich selbst und werden auch Sie Nutzer des Cloud – Computings.

Category: Allgemein, Webwerkzeuge  Comments off

Durch die richtige Software den Arbeitsalltag vereinfachen

Die richtige Software kann den Arbeitsalltag im Büro oder auch Zuhause oft deutlich erleichtern. Eine gute Hardware, wie ein PC oder ein Laptop, mit denen die Daten verarbeitet werden, hat nur einen geringen Nutzen, wenn die falsche Software benutzt wird oder mit dieser nicht umgegangen werden kann.  Sie können in einem Software Shop die gewünschte Software online erwerben. Ganz egal ob Office-Produkte oder Betriebssysteme,  es kann jegliche Art von Software gekauft werden. Der große Vorteil von einem Online Software Shop ist, dass man die Produkte nicht physisch erwerben muss. Nachdem der Bezahlvorgang abgelaufen ist, kann das Produkt ganz einfach heruntergeladen, installiert und benutzt werden.

Um die Aufgaben optimal erledigen zu können, ist es wichtig, dass auf ihrer Hardware die richtige Software installiert ist. Durch gute Softwareprodukte können Aufgaben effektiver und deutlich schneller abgewickelt werden. Microsoft besitzt wahrscheinlich die besten Betriebssysteme und Tools zum arbeiten. Bill Gates hat durch seine Betriebssysteme eine große Ära eingeleitet. In fast jedem Büro werden Microsoft Office Produkte, wie z.B. Microsoft Word, Microsoft Excel oder Microsoft  PowerPoint verwendet. Wenn man einmal mit Microsoft Produkten gearbeitet hat, wird einem bestimmt bewusst, welche Vorteile diese Programme gegenüber anderen, besonders kostenlosen Produkten bieten. Es gibt meist alle drei Jahre neue Microsoft Programme. Und wer damals noch mit den ersten Betriebssystemen gearbeitet hat, merkt wie sehr sich die Software entwickelt hat.

Bei Betriebssystemen macht es Sinn, möglichst auf die neueren Versionen zurückzugreifen, weil es sonst vorkommen kann, dass andere Programme auf den alten Betriebssystemen nicht mehr laufen, obwohl die Hardware möglicherweise gut genug ist. Bei Office Produkten ist dies eher nicht der Fall. Jede neue Ausgabe bringt natürlich auch neue Features mit sich. Im Büro werden sie normalerweise immer die neuste Software installiert haben. Zu Hause kann es aber manchmal „sinnvoll“ sein nicht die allerneuste Version zu kaufen. Die Versionen unterscheiden sich meist nur minimal in den Funktionen, dafür aber deutlich im Preis. Microsoft Office 2016 kostet ungefähr das Doppelte von Microsoft Office 2013.

Ein wichtiger Punkt ist, dass die benutzen Software Produkte kompatibel zu anderen Softwares sind. Werden zum Beispiel kostenlos zugängliche Open Office Software genutzt,  ist dies in der Regel nicht zu 100% kompatibel zu der allgemeinen Microsoft Office Software. So kann sich das Layout in manchen Situationen verändern. Damit dies möglichst verhindert wird, sollten die Dateien der Open Office Produkte, welche ein eigenes Dateiformat besitzen, als Microsoft Word Datei abgespeichert werden.