Notfallupdate: Angriffe auf Firefox und Thunderbird

Mozilla hat außer der Reihe Sicherheitsupdates für die Programme Firefox, Klar und Thunderbird herausgegeben, die schon aktiv angegriffene Lücken darin schließen. Zwei dieser Sicherheitslücken mit der Risikoeinstufung "kritisch" schließt die Mozilla-Foundation außer der Reihe mit Updates der Webbrowser Firefox und Klar sowie des Mailers Thunderbird. Diese Anwendungen werden schon aktiv von Cyberkriminellen angegriffen. Administratoren und Benutzer sollten die Updates jetzt rasch installieren. Die Sicherheitslücken dichten die neuen Versionen Firefox 97.0.2, Firefox ESR 91.6.1, Firefox für Android 97.3.0 und Firefox Klar 97.3.0 (Privater Browser - die Firefox-Version mit aktiviertem Tracking-Schutz und Werbeblocker, in Englisch als Focus bekannt) sowie Thunderbird 91.6.2 ab. Weiterreichende Details zu den Lücken nennt die Mozilla-Stiftung nicht. Es gibt noch keine Details Die Sicherheitsmeldung der Mozilla-Entwickler gibt nur die CVE-Nummern und eine grobe Beschreibung der Schwachstellen an. Bei beiden Lücken treten die Fehler durch das sogenannte "Use-after-free" auf, also der Nutzung eines Zeigers auf Speicherbereiche, die eigentlich schon wieder freigegeben wurden. Die Auswirkungen dieser Art Sicherheitslücken variieren generell von der Möglichkeit, Daten zu manipulieren über den Absturz der Programme bis hin zur Ausführung eingeschleustem Schadcode auf dem Rechner. Der Besuch einer „bösen“ Internetseite reicht aus Bei beiden Lücken kann das Öffnen einer entsprechend präparierten Webseite ausreichen, um die Lücke zu missbrauchen. Die eine Lücke kann unter Umständen aufgehen, wenn XSLT-Parameter entfernt werden, erläutert Ubuntu [...]

2022-03-07T11:35:13+02:00März 7th, 2022|Allgemein, Browser, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Notfallupdate: Angriffe auf Firefox und Thunderbird

Dauerhafte Weiterleitung auf eine neue Domainadresse

Wer seine Internetseite unter einer neuen Domainadresse weiterführen möchte, macht das am besten mit einer sogenannten 301-Weiterleitung (301-Redirect). Die 301- Weiterleitung leitet die bisherige URL alteseite.de dauerhaft auf die neue URL neueseite.de weiter. Dieser Redirect ist hervorragend für den Relaunch einer Website geeignet, um alte URLs, die nicht mehr gültig sind, auf die entsprechenden neuen URLs umzuleiten. Der große Vorteil der 301- Weiterleitung besteht darin, dass diese Variante der Weiterleitung die Link Power (auch Link Juice genannt) zu 100 Prozent  an die neue Seite vererbt und den Suchmaschinen ganz eindeutig sagt, dass die angeforderte Ressource dauerhaft unter der neuen URL zu finden ist. Die 301- Weiterleitung kann zum Beispiel bei Apache-Servern über die Anpassung der htaccess-Datei oder über einige Zeilen Code in der  Programmiersprache PHP realisiert werden. In der htaccess-Datei auf alteseite.de geht das so: RewriteEngine on rewritecond %{http_host} ^domain.com [nc] rewriterule ^(.*)$ https://www.neueseite.de/$1 [r=301,nc] Um die 301- Weiterleitung mit PHP durchzuführen, platziert man den nachstehenden Code direkt in den Quellcode des weiterleitenden Dokuments auf alteseite.de: <?php header("HTTP/1.1 301 Moved Permanently"); header("Location: https://www.neueseite.de/index.php"); header("Connection: close"); ?>

2021-10-06T17:03:27+02:00Oktober 6th, 2021|Coding, HTML, PHP|Kommentare deaktiviert für Dauerhafte Weiterleitung auf eine neue Domainadresse

Google bevorzugt AMP-Seiten nicht mehr

Die Schlagzeilen der Google-Suche sind künftig nicht mehr ausschließlich Seiten mit AMP-Technologie vorbehalten. Schon seit über vier Jahren bietet Google in seiner Suche mit den Schalzeilen (englisch: Top-Stories) eine besondere Kachelansicht aktueller Nachrichten. Diese Funktion war bisher ausschließlich solchen mobilen Internetseiten vorbehalten, die das von Google damals gestartete AMP-Projekt unterstützen. Ab Mai nächsten Jahres will Google den AMP-Zwang jetzt aufheben, schreibt die Suchmaschine im Blog zu seiner Suche. Dort liest man zu dieser Entscheidung: "Wir werden Seiten mit hervorragender Seitenerfahrung priorisieren, unabhängig davon, ob sie mit AMP oder einer anderen Webtechnologie implementiert wurden, wenn wir die Ergebnisse bewerten". Die Technologie der Seite ist in Zukunft also nicht mehr für die Aufnahme in die Kategorie Schlagzeilen ausschlaggebend. Für die Suchmaschine selbst war diese spezielle Voraussetzung für die hervorgehobene Platzierung  ein sehr wichtiger Treiber der Verbreitung des AMP-Formats. Das steht für Accelerated Mobile Pages (Beschleunigte Mobilseiten) und sollte vor allem Nachrichtenseiten dabei helfen, schneller aufrufbar zu sein. Allerdings wurden das Format selbst, aber vor allem auch die Kopplung an die Google-Suche immer wieder als marktverzerrend kritisiert, unter anderem auch deshalb, weil AMP-Seiten über einen Google-Cache ausgespielt werden.

2020-11-22T19:35:29+02:00November 22nd, 2020|Allgemein, Coding|Kommentare deaktiviert für Google bevorzugt AMP-Seiten nicht mehr

Weiterleitungen mit PHP

Beim Erstellen von Internetseiten mit der beliebten Scriptsprache PHP kommt es gelegentlich vor, dass man eine Weiterleitung (Redirect) auf eine andere Internetseite benötigt. Der Standard-Code für für die Implementierung eines Redirects aus einer PHP-Datei kann relativ einfach erzeugt werden: header("Location: http://www.domain.de/neue-seite.php", true, 301); exit(); Der Code „301“ steht dabei für einen permanenten Redirect, für einen temporären gibt es den Code „302“. Dabei gibt es zwar keine Unterschiede beim Aufruf, sehr wohl aber bei der Beurteilung durch die Suchmaschinen und damit auch in der Position bei den Ergebnislisten einer Suche. Bei solchen Weiterleitungen sollte man beachten, dass es Probleme geben kann, wenn man versucht, diese Weiterleitung aus einer HTML-Datei heraus durchzuführen. In solchen Fällen muss die Extension (.html oder .htm) in der Datei .htaccess or httpd.conf erst bekannt gemacht werden, was man mit folgender Codezeile in diesen Dateien erreichen kann: Addtype application/x-httpd-php .htm .html

2020-09-17T09:48:08+02:00September 17th, 2020|Coding, HTML, PHP|Kommentare deaktiviert für Weiterleitungen mit PHP

Angriff auf das CMS WordPress vorgeführt

Sam Thomas vom britischen Sicherheitsanbieter Secarma hat gerade auf der Cybersecurity-Konferenz BSides in Manchester einen Angriff auf das WordPress PHP Framework vorgeführt, der zu einer vollständigen Kompromittierung einer auf WordPress basierenden Internetseite führen kann. Der Bug ist schon seit über einem Jahr bekannt Das ist deshalb möglich, weil eine Sicherheitslücke, die schon seit einem Jahr besteht, bis heute ungepatcht ist. Für den Angriff muss das WordPress den Upload von Dateien erlauben. Ist das der Fall, kann ein Angreifer eine speziell gestaltete Thumbnail-Datei hochladen, die dann unter anderem einen Server Side Request Forgery-Bug ausnutzt. Die Sicherheitsforscher betonten, dass dadurch nicht nur vertrauliche Daten offen gelegt werden können, sondern unter Umständen sogar die Ausführung von Remotecode möglich ist. Die Sicherheitslücke steckt dem Forscher zufolge in der Funktion „wp_get_attachment_thumb_file“ in der Datei „/wpincludes/post.php“. Angreifer müssen nur die Kontrolle über einen der Parameter im Aufruf „file_exists“ gewinnen. Wenn zusätzlich auch das Autoloading aktiv ist, kann sogar Code der Angreifer geladen und ausgeführt werden, um damit letztlich das gesamte PHP-Framework zu kompromittieren.

2018-11-07T18:50:25+02:00August 19th, 2018|CMS|Kommentare deaktiviert für Angriff auf das CMS WordPress vorgeführt

Softmaker Office 2018 schreibt DOCX, XSLX und PPTX

IT-Schaffende haben viel zu dokumentieren und nutzen dafür am häufigsten ein Office-Paket. Das muss aber nicht immer Microsoft Office sein: Der Nürnberger Softwarehersteller SoftMaker hat soeben sein neues Office2018-Paket  aus dem Textprogramm TextMaker, der Tabellenkalkulation PlanMaker und der Präsentationssoftware Presentations zum öffentlichen Beta-Test freigegeben. Die Windows-Version dieser Office-Suite steht jetzt auf der Homepage von SoftMaker zum Download bereit. Beta-Versionen für Linux und zum ersten Mal auch für macOS sind noch in Arbeit und sollen auch bald freigegeben werden. Ribbons oder klassische Menüs Das komplett überarbeitete Bedienkonzept orientiert sich sichtlich an den aktuellen Microsoft-Office-Programmen mit Ribbons (Menübändern). Aber anders als bei Microsoft Office können die Nutzer auch auf klassische Menüs zugreifen oder das Paket sogar komplett auf die klassische Menüoberfläche mit den gewohnten Symbolleisten umstellen. Die Benutzer früherer SoftMaker-Office-Versionen müssen sich also nicht unbedingt umgewöhnen –von der Usability her ist es aber schon empfehlenswert. Besonders User, die die neueren Microsoft-Office-Anwendungen gut kennen, finden sich durch die neue Oberfläche sehr schnell in den neuen SoftMaker-Programmen zurecht. Erstenmalig nutzen die SoftMaker-Programme jetzt auch nativ Microsofts Dateiformate DOCX, XLSX und PPTX. Das soll den Austausch von Dokumenten mit Microsoft-Anwendern erleichtern, weil man sie jetzt einfach weitergeben kann, ohne die Dokumente vorher konvertieren zu müssen. Testversion läuft bis 15. November Die Beta-Version von SoftMaker Office [...]

2017-10-25T21:54:50+02:00Oktober 25th, 2017|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Softmaker Office 2018 schreibt DOCX, XSLX und PPTX

Vivaldi 1.10 dockt Entwickler-Tools an

Neben neuen Möglichkeiten zur Gestaltung der Startseite kommt die neue Version des Browsers Vivaldi 1.10 mit einem besonders für Entwickler und Seitenersteller interessanten Feature daher. Entwicklungswerkzeuge andockbar Ab diesem Release kann Vivaldi die beliebten Entwickler-Tools nicht nur wie bisher in einem separaten Fenster aufrufen. Jetzt können die Tools neben oder unter der angezeigten Internetseite andocken, um zum Beispiel Elemente zu inspizieren oder Code zu testen und debuggen. Neue und verbesserte Funktionen Außer der Startseite und der Andockbarkeit der Entwicklerwerkzeuge wurden folgende Funktionen neu aufgenommen oder verbessert: Sortierfunktion für Downloads Bilder sichtbar/unsichtbar schalten Schnelle Tastaturbefehle Adressleise überarbeitet Neue Tabs auch für Drittanbieter

2017-07-09T13:17:54+02:00Juli 9th, 2017|Allgemein, test, Webwerkzeuge|Kommentare deaktiviert für Vivaldi 1.10 dockt Entwickler-Tools an

Browser Vivaldi 1.5 kann Hue-Lampen steuern

Heute hat die Vivaldi Technologies die Version 1.5 ihres gleichnamigen Browsers veröffentlicht. Neben der üblichen Aktualisierung des darunterliegenden Chromium von Google bringt die Version viele Verfeinerungen der schon bestehenden Features mit. So erfasst das Notiz-Feature automatisch auch einen Screenshot, sobald man Webseiten-Text markiert und dann über sein Kontextmenü eine Notiz anlegt. Tabs lassen sich zwischen Browser-Fenstern verschieben - auch mehrere gleichzeitig. Einen Lesemodus wie andere Browser hatte Vivaldi auch schon bisher, aber viele User dürften das erst mit dem neuen Button in der URL-Leiste merken. Browser für das Internet der Dinge Das wohl ungewöhnlichste Feature von Vivaldi 1.5 mag manchen wenig interessieren, für andere wiederum könnte es ein interessantes Gimmick sein: Die neue Browser-Version steuert jetzt auch Philips-Hue-Lampen im Internet der Dinge an. So wie sich schon bisher der Browser der dominanten Farbe der geöffneten Internetseite anpasste, kann Vivaldi ab sofort auch das Raumlicht verändern über solche Hue-Lampen, zum Beispiel in Rot für YouTube und in Blau für Twitter.

2016-11-22T21:08:50+02:00November 22nd, 2016|Allgemein, CSS, HTML|Kommentare deaktiviert für Browser Vivaldi 1.5 kann Hue-Lampen steuern

70 Millionen Dropbox-Zugangsdaten gestohlen

Anfang der Woche forderte der bei Internetschaffenden beliebte Cloud-Dienst Dropbox seine Nutzer angeblich rein vorsorglich zu einem Passwortwechsel auf, wenn ihr Zugangscode seit mindestens Mitte 2012 unverändert sein sollte, weil andernfalls ein unnötiges Sicherheitsrisiko bestehen würde. Jetzt wissen wir auch, warum: Dropbox hat jetzt bestätigt, daß Hacker tatsächlich 68 Millionen Zugangsdaten von Kunden gestohlen haben. Nach Angaben von Patrick Heim, Head of Trust & Security bei Dropbox, stammen die Benutzernamen und Passwörter offensichtlich von Mitte 2012. „Dropbox-Accounts sind damit zwar geschützt, betroffene Nutzer, die ihr Passwort aber auch für andere Seiten nutzen, sollten entsprechende Schritte in die Wege leiten, um sich auch dort entsprechend zu schützen“, ergänzte Heim seine Information. Über die Internetseite „Have I been pwned“ können Dropbox-Nutzer überprüfen, ob und in welchem Zusammenhang ihre Emailadresse und das entsprechende Passwort schon aufgetaucht sind.

2016-09-01T17:36:51+02:00September 1st, 2016|Allgemein|Kommentare deaktiviert für 70 Millionen Dropbox-Zugangsdaten gestohlen

Mozillas Experimente mit virtuellen Usern

Offiziell heißen die neuen virtuellen Benutzer in Mozillas aktueller Firefox Nightly-Version „Kontextuelle Identitäten im Web“. Mozilla will damit Identitäten trennen und es dem Nutzer zeitgleich leichter machen, mit mehreren Identitäten im Internet gleichzeitig unterwegs zu sein, ohne auf verschiedene Browser oder Account-Erweiterungen zurückgreifen zu müssen. So bietet Mozilla eine Reihe von Containern wie beispielsweise Privat, Arbeit, Shopping, Banking. Jeder von diesen Containern ist in einer Browser-Instanz, also in einem Browserfenster nutzbar. Allerdings dürfte das bei den wirklich dafür interessanten Einsatzszenarien aber eher daneben gehen, denn mit der Methode Finger-Printing (auch Canvas-Print) genannt, die auf speziellen Eigenschaften des benutzten Rechners basiert, dürfte die neue Funktion in vielen Fällen unterlaufen werden. Anders gesagt: Wenn die besuchte Internetseite es nur will, kann sie leicht herausfinden, daß verschiedene Identitäten in Wirklichkeit vom selben PC kommen. Daher benutze ich zu solchen Zwecken verschiedene Browser auf verschiedenen Rechnern – da klappt es dann zwar auch nicht ganz perfekt, aber so gut wie möglich mit der Differenzierung…

2016-06-19T19:37:18+02:00Juni 19th, 2016|Allgemein|Kommentare deaktiviert für Mozillas Experimente mit virtuellen Usern
Nach oben