100 Millionen Zertifikate von Let’s Encrypt

Die Zertifizierungsstelle (CA) für kostenlose SSL-/TLS-Zertifikate Let’s Encrypt hat gestern bekanntgegeben, dass sie inzwischen schon 100 Millionen ihrer kostenlosen Zertifikate ausgestellt hat.

Die CA wächst wirklich extrem schnell, denn noch vor gut einem Jahr waren es erst 1 Million Zertifikate. Let’s Encrypt arbeitet mit Partnern und Sponsoren wie beispielsweise Akamai, IdenTrust und Sumo Logic zusammen, um das Internet möglichst zu 100 Prozent mit HTTPS abzusichern.

Beim Start von Let’s Encrypt vor ca. anderthalb Jahren betrug die HTTPS-Abdeckung nach über Firefox gesammelten Daten (siehe Grafik) ca. 40 Prozent. Heute liegt dieser Wert schon bei 58 Prozent, wozu natürlich auch andere CAs und Initiativen mit beigetragen haben.

Die CA bedankt sich jetzt auch bei der Community, die sie mit diversen Clients zur automatischen Ausstellung von Zertifikaten unterstützt hat. Vor Kurzem gab Let’s Encrypt bekannt, dass das schon eingesetzte ACME-Protokoll zum automatischen Ausstellen von Zertifikaten in Version 2 nun auch als IETF-Standard geadelt werden soll.

Formen und Funktionsweise der Cloud – Technologie


Der Online Speicher – Die Cloud

Die Cloud ist zukunftsweisend und in aller Munde. Es gibt immer mehr Dienstleister, die diese Art der Online – Datenspeicherung anbieten. Einige Unternehmen sind dabei kostenfrei, während andere monatlich ein kleines Entgelt verlangen. Der Cloud Speicher wird immer populärer und immer mehr nutzen die Möglichkeit, ihre Dateien überall online abzurufen. Doch die Cloud schützt nicht nur vor Datenverlust, sie ist auch insgesamt sicherer geworden.  Im Gegensatz zur üblichen lokalen Datenspeicherung, liegt sie bei einer Cloud in professionellen Händen mit doppeltem Backup. Bei deutschen Dienstleistern werden die Daten nach dem deutschen Datenschutzgesetz geschützt und sind mit SSL  verschlüsselt. So sind die Daten gegen Zugriffe von außen geschützt und das Risiko, dass die Dateien in die falschen Hände geraten, halten sich sehr in Grenzen.

Welche Formen der Cloud – Technologie gibt es?

Die Cloud – Technologie gibt es in unterschiedlichen Formen. Welche das sind und worin sich diese unterscheiden, erfahren Sie hier bei uns. Zum einen gibt es die Software-as-a-Service, kurz SaaS, Technologie. Hier bietet das virtuelle Rechenzentrum Speicherkapazitäten und Anwendungsprogramme an, die Sie über einen Browser nutzen können. Sie können die Progamme und die Software nutzen, ohne diese vorher auf dem eigenen Computer installieren zu müssen. So muss sich der Nutzer auch nicht um Lizenzen oder um Softwareupdates kümmern. Eine weitere Form des Cloud – Computings ist die Platform – as – a – Service (PaaS) Technologie. Diese Technologie stellt Programmierumgebungen mit anpassbaren Rechen – und Datenkapazitäten zur Verfügung. So können die Nutzer auf dieser Plattform ihre eigene Software entwickeln. Die letzte Technologie ist die Infrastructure – as – a – Service (IaaS). Hier kann der Nutzer auf Hardware – Ressourcen, wie Rechner, Speicher und Netzte zugreifen. Bei dieser Version mietet man gewissermaßen einen eigenen Server. Doch was kann man sich überhaupt unter einer Cloud vorstellen? Und wie funktioniert der Online – Speicher?

Funktionsweise des Cloud Speichers

Das System der Cloud ist denkbar einfach. Ein Dienstleister stellt seinen Nutzern seine Server in Form eines virtuellen Rechenzentrums zur Verfügung. So kann der Nutzer seine Daten auf einen Server hochladen. Diese werden dann auf verschiedene Server, die der Dienstleister vorgibt,  verteilt. So sind die gespeicherten Dateien je nach Bedarf abrufbar. Der Kunde kann jederzeit und von jedem Ort online seine Speicher – Ressourcen abrufen. Natürlich unter der Voraussetzung, dass man die Zugangsdaten für den Cloud- Anbieter und den Account  hat. Angebot und Nutzung dieser Dienstleistungen erfolgen ausschließlich über technische Schnittstellen, Protokolle und über Webbrowser. Die Spannweite der im Rahmen des Cloud Computings angebotenen Dienstleistungen umfasst das gesamte Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur, Plattformen und Software. Überzeugen Sie sich selbst und werden auch Sie Nutzer des Cloud – Computings.

Category: Allgemein, Webwerkzeuge  Comments off

Durch die richtige Software den Arbeitsalltag vereinfachen

Die richtige Software kann den Arbeitsalltag im Büro oder auch Zuhause oft deutlich erleichtern. Eine gute Hardware, wie ein PC oder ein Laptop, mit denen die Daten verarbeitet werden, hat nur einen geringen Nutzen, wenn die falsche Software benutzt wird oder mit dieser nicht umgegangen werden kann.  Sie können in einem Software Shop die gewünschte Software online erwerben. Ganz egal ob Office-Produkte oder Betriebssysteme,  es kann jegliche Art von Software gekauft werden. Der große Vorteil von einem Online Software Shop ist, dass man die Produkte nicht physisch erwerben muss. Nachdem der Bezahlvorgang abgelaufen ist, kann das Produkt ganz einfach heruntergeladen, installiert und benutzt werden.

Um die Aufgaben optimal erledigen zu können, ist es wichtig, dass auf ihrer Hardware die richtige Software installiert ist. Durch gute Softwareprodukte können Aufgaben effektiver und deutlich schneller abgewickelt werden. Microsoft besitzt wahrscheinlich die besten Betriebssysteme und Tools zum arbeiten. Bill Gates hat durch seine Betriebssysteme eine große Ära eingeleitet. In fast jedem Büro werden Microsoft Office Produkte, wie z.B. Microsoft Word, Microsoft Excel oder Microsoft  PowerPoint verwendet. Wenn man einmal mit Microsoft Produkten gearbeitet hat, wird einem bestimmt bewusst, welche Vorteile diese Programme gegenüber anderen, besonders kostenlosen Produkten bieten. Es gibt meist alle drei Jahre neue Microsoft Programme. Und wer damals noch mit den ersten Betriebssystemen gearbeitet hat, merkt wie sehr sich die Software entwickelt hat.

Bei Betriebssystemen macht es Sinn, möglichst auf die neueren Versionen zurückzugreifen, weil es sonst vorkommen kann, dass andere Programme auf den alten Betriebssystemen nicht mehr laufen, obwohl die Hardware möglicherweise gut genug ist. Bei Office Produkten ist dies eher nicht der Fall. Jede neue Ausgabe bringt natürlich auch neue Features mit sich. Im Büro werden sie normalerweise immer die neuste Software installiert haben. Zu Hause kann es aber manchmal „sinnvoll“ sein nicht die allerneuste Version zu kaufen. Die Versionen unterscheiden sich meist nur minimal in den Funktionen, dafür aber deutlich im Preis. Microsoft Office 2016 kostet ungefähr das Doppelte von Microsoft Office 2013.

Ein wichtiger Punkt ist, dass die benutzen Software Produkte kompatibel zu anderen Softwares sind. Werden zum Beispiel kostenlos zugängliche Open Office Software genutzt,  ist dies in der Regel nicht zu 100% kompatibel zu der allgemeinen Microsoft Office Software. So kann sich das Layout in manchen Situationen verändern. Damit dies möglichst verhindert wird, sollten die Dateien der Open Office Produkte, welche ein eigenes Dateiformat besitzen, als Microsoft Word Datei abgespeichert werden.

Vorbereiten auf PHP 7

Im August dieses Jahres endet der aktive Support für PHP 5. Danach gibt es noch ein Jahr länger Patches gegen Sicherheitslücken geben, aber so langsam müssen sich Entwickler und Anwender darauf einstellen, ihre PHP-Programme rechtzeitig auf die neue Version PHP 7 zu migrieren.

Durch diese klaren Festlegungen zur Support-Dauer wollen die Entwickler einen Fehler wie beim Erscheinen von PHP 5 vermeiden. Damals hatten sie nämlich kein eindeutiges Ende für die Vorversion PHP 4 vorgegeben, die deshalb noch recht lange gewartet werden musste.

Das PHP-Projekt hat PHP 7 genutzt, um viele zuvor als „deprecated“ abgekündigte Altlasten aus PHP herauszunehmen und die teilweise inkonsistente und undokumentierte Semantik aufzuräumen. Unter anderem zur sauberen Implementierung eines abstrakten Syntaxbaums überarbeiteten die Entwickler die Syntax von PHP 7 bezüglich der Verwendung von Variablen.

PHP-Programmierer müssen aber nicht nur auf Altes verzichten – sie bekommen mit PHP 7 auch viele neue Features, die die Arbeit mit der Skriptsprache sicherer und komfortabler machen.

JavaScript ist weiter Nummer Eins bei RedMonk

Weiterhin stehen JavaScript und Java an der Spitze des Programmiersprachen-Rankings der Analysten von RedMonk. Dabei greifen die „Roten Mönche“ zur Bewertung von Verbreitung und Nutzung der Programmiersprache auf Daten der großen Entwickler-Communities StackOverflow und GitHub zurück.

Während die Auswertung der Daten von StackOverflow für die aktuellste Analyse auf unveränderte Art und Weise durchgeführt werden konnte, zwang GitHub dem Report eine deutliche Änderung auf. Bisher wurde dazu die Anzahl der in einer bestimmten Sprache gehaltener Repositories ausgewerten, und bei der Analyse des zweiten Quartals 2017 erfolgte die Analyse jetzt stattdessen anhand der Pull-Requests. Allerdings  korrelieren die Daten laut RedMonk recht gut, so daß eine gewisse Vergleichbarkeit erhalten bleibt.

Hier die Top Twenty der aktuellsten Ausgabe des RedMonk-Rankings:

Chrome 59 macht Sicherheitslücken dicht

Mit einigen neuen Features kommt Chrome 59.0.3071.86 daher und schließt auch wieder eine Anzahl teilweise kritischer Sicherheitslöcher.

Hersteller Google will sich mit Details zu den Schwachstellen aber noch etwas zurückhalten, bis deren Behebung per Update bei einer Mehrzahl der Nutzer angekommen ist.

Google hat Chrome 59 soeben in den Stable Channel überführt und auch schon mit der Verteilung des Updates begonnen.

Benutzer unter Windows, Mac und Linux sollten die neue Version in den nächsten Tagen beziehungsweise Wochen erhalten. Auch Updates für Android und Chrome OS sollen in Kürze nachkommen.

Wer seinen Browser sofort updaten möchte, sollte die „Hilfe“ und dort „Über Google Chrome“ aufrufen.

Hier kann man nachschauen, welche Version von Google Chrome man aktuell nutzt, und wenn eine neuere Version wie Chrome 59 verfügbar ist, wird der Download mit anschließender Installation auch automatisch gestartet.

Bei mir hat das soeben schon funktioniert…

Filezilla jetzt mit Master-Passwort

Die Nutzer des für diverse Betriebssysteme verfügbaren FTP-Clients Filezilla sollen die Passwörter für ihre FTP-Sites jetzt endlich mit einem Master-Passwort verschlüsselt auf der Festplatte speichern können.

Bisher sind diese Daten in einer Textdatei ohne Verschlüsselung abgelegt, und wer sich Zugang zu dieser Datei verschafft, hat auch alle Passwörter für die von Filezilla gespeicherten FTP-Zugänge. Das neue Master-Passwort steht schon im Release Candidate der Betaversion 3.26.00 zur Verfügung. Das Master-Passwort muss der User in den Optionen erst aktivieren.

Wie beispielsweise Bleepingcomputer.com und andere berichten, haben die Nutzer von Filezilla schon seit zehn Jahren immer wieder erfolglos gebeten, dass die FTP-Passwörter bei Filezilla durch ein Master-Passwort geschützt und nur noch verschlüsselt gespeichert werden.

Ende 2016 hat nach dem Bericht dann ein frustierter Benutzer einen Fork des Filezilla-Programms mit einem solchen Master-Passwort erstellt, weil ihm durch Malware alle seine Passwörter kopiert und damit gestohlen wurden. Man vermutet, dass dieser Fork den Druck auf den Entwickler von Filezilla erhöht hat, jetzt endlich selbst tätig zu werden.

Samba-Lücke auf Linux-Servern

Nicht etwa in der Client-Software, sondern in der Datei- und Druckserver-Software Samba auf den Linux-Servern erzeugte eine Änderung an der Version 3.5.0 schon vor 7 Jahren! eine Sicherheitslücke (CVE-2017-7494) auf, die es wirklich in sich hat.

Durch diese Lücke können Angreifer aus der Ferne beliebigen Programmcode auf dem Linux-Server ausführen. Unter Ausnutzung der Lücke könnte man sogar einen Wurm wie  WannaCry, der in den letzten zwei Wochen mehr als 200.000 Rechner lahmgelegt hat, programmieren, der sich dann anstatt von Windows-PC zu Windows-PC von Linux-Rechner zu Linux-Rechner  weiterverbreiten könnte. Ein passender Exploit zu diesem Zweck ist schon im Umlauf.

Die meistverbreiteten Linux-Distributionen von DebianRed Hat, Suse und Ubuntu  haben inzwischen schon Sicherheitsupdates für Samba bereitgestellt, die diese Lücke dicht machen. Admins sollten die Updates auch umgehend installieren. Die Sicherheitslücke steckt nicht nur in den Versionen des alten Samba-Zweigs 3.x, sondern auch in der neueren Hauptversion Samba 4.

Joomla-Update schließt SQL-Injection-Lücke

Die Version 3.7.0 des Content-Management-Systems (CMS) Joomla weist eine SQL-Injection-Lücke auf, durch welche Hacker eigene Datenbankbefehle in das CMS einschleusen können. Solche Schwachstellen können üble Folgen haben: Ein Angreifer könnte beispielsweise den Inhalt der Seite manipulieren und auf diese Weise Schadcode einschleusen oder aber auf die Nutzerdaten zugreifen.

Die Sicherheitslücke steckt im Joomla Core und hat die CVE-Nummer CVE-2017-8917. Vom Joomla-Team wird das Sicherheitsproblem mit dem zweithöchsten Schweregrad „Hoch“ bewertet. Joomla gibt aber bisher keine Details bekannt – vermutlich, um Benutzer der verwundbaren Version zu schützen.

Die abgesicherte Version 3.7.1, die sich auf der Projektseite herunterladen lässt, beseitigt das Problem. Wer eine betroffene Joomla-Installation betreibt, sollte deshalb so schnell wie möglich auf diese aktuelle Version umsteigen.

Denn nun, wo der Patch einmal herausgegeben ist, können potentielle Angreifer durch Vergleich von Version 3.7.0 und Version 3.7.1 leicht herausfinden, an welcher Stelle es zu der mangelnden Prüfung eingehender Daten kommt und dann diese Lücke auch für ihre Zwecke missbrauchen.

Browser Internet Explorer und Edge blocken SHA-1

Schon seit mehr als 10 Jahren gilt das SHA1-Hash-Verfahren zur Verschlüsselung von Internetseiten als geknackt. Im Februar dieses Jahres gab es dann auch den praktischen Nachweis, dass man Kollisionen, also zwei verschiedene Datensätze, die denselben Hash-Wert ergeben, berechnen kann.

Hersteller Microsoft hat schon länger angekündigt, seine beiden Browser Internet Explorer und Edge so umzustellen, dass sie auf durch SHA-1-Signaturen erzeugte HTTPS-Seiten mit Fehlermeldungen reagieren, was Mozillas Firefox und Googles Chrome  schon seit längerem machen. Seit der letzten Woche liefert der Hersteller Updates für beide Browser aus, um das geknackte Hash-Verfahren SHA-1 jetzt zu blockieren.

Genauere Details zu seiner SHA1-Blockade beschreibt Microsoft im Security Advisory 4010323, eine deutsche Übersetzung dazu finden Sie hier. Diese Updates können auch manuell downgeloadet werden, sie sind im Knowledge Base Artikel 4010323 zu finden.

Als Nachfolgemethode für das Hash-Verfahren wird von Microsoft SHA-2 empfohlen. Dessen zwei Varianten SHA256 und SHA512 werden als genügend sicher angesehen, um auch langfristig die Unterscheidbarkeit unterschiedlicher Online-Dokumente sicherstellen zu können.