Aufruf zum Patchen von Drupal-Seiten

In dem weit verbreiteten Content Management System (CMS) Drupal stecken noch mehrere zum Teil als "kritisch" eingestufte Sicherheitslücken. Inzwischen sind aber auch schon fehlerbereinigte Versionen verfügbar. Weil Angreifer über diese Lücken die Kontrolle über solche Internetseiten erlangen könnten, sollte die Aktualisierung des CMS zügig erfolgen. Die gepatchten Versionen Die Entwickler des CMS haben die Schwachstellen in den Drupal-Versionen 7.60, 8.5.8 und 8.6.2 geschlossen. Wer noch ältere Versionen der Software einsetzt, sollte zumindest auf Version 8.5.x aktualisieren. Dieser Versionsstrang erhält den Entwicklern zufolge noch bis zum Mai 2019 Sicherheitsupdates – dann wird bei der nächsten Wartung sowieso ein Upgrade nötig. Die kritischen Sicherheitslücken In der Sicherheitswarnung findet man Infos zu den Lücken. Die als kritisch eingestuften Schwachstellen finden sich im Contextual-Links-validation-Modul und im Mailsystem DefaultMailSystem::mail() von Drupal. Aktuell ist noch nicht viel über die Angriffsszenarien dazu bekannt. Es heißt aber, dass allein schon der Versand von präparierten Mails zur Ausführung von Schadcode führen kann.

2018-10-20T22:30:41+02:00Oktober 20th, 2018|Allgemein, CMS, Webwerkzeuge|Kommentare deaktiviert für Aufruf zum Patchen von Drupal-Seiten

Chrome 70 könnte Tausende Webseiten sperren

Am nächsten Dienstag, dem 16. Oktober 2018, veröffentlicht Google seinen neuen Browser Chrome 70. Das könnte möglicherweise dazu führen, dass tausende von Internetseiten mit dem Google-Browser nicht mehr aufrufbar sein werden. Der Grund sind veraltete Sicherheitszertifikate. Google hatte schon vor einiger Zeit angekündigt, dass Zertifikate von Symantec, die vor dem Dezember 2017 ausgestellt wurden in Chrome und in Chrome OS nicht mehr unterstützt werden. Trotzdem haben viele der betroffenen Seitenbetreiber bisher nicht darauf reagiert, dabei unter anderem auch einige der meistbesuchten Seiten der Welt. Besucher von Internetseiten, die noch ein für Chrome nicht mehr vertrauenswürdiges Symantec-Zertifikat benutzen, sehen dann möglicherweise nur noch eine Fehlermeldung. Auch Internetseiten, deren Ressourcen wie beispielsweise JavaScript- oder CSS-Stylesheets von einem Host mit einem solchen Symantec-Zertifikat bereitgestellt werden, funktionieren dann möglicherweise nicht mehr korrekt. Welche Zertifikate blockiert werden, ist von der Chrome-Version und dem Datum abhängig, an dem die Zertifikate erstellt wurden: Chrome-Version Standardverhalten (blockieren) Chrome 66 bis Chrome 69 Von Symantec nach dem 01.12.2017 und vor dem 01.06.2016 ausgestellten Zertifikaten wird misstraut, aber alle zwischen diesen Daten ausgestellten Zertifikate sind zulässig. Chrome 70 bis Chrome 73 Allen von Symantec ausgestellten Zertifikaten wird misstraut.  

2018-10-11T09:45:11+02:00Oktober 11th, 2018|Browser, CSS, Javascript|Kommentare deaktiviert für Chrome 70 könnte Tausende Webseiten sperren

Google hat das Update Chrome 69 herausgebracht

Seit dem Wochenende spielt Chrome-Hersteller Google sein schon angekündigtes Update auf Chrome 69 mit dem neuen „Material Design“ aus – und schließt dabei noch 40 Sicherheitslücken in dem Browser. In seiner Sicherheitswarnung zu Chrome 69 listet Google weitere Infos zu diesen Lücken auf. Normalerweise erhalten Sie das Update automatisch. Sie können aber auch unter Linux, macOS oder Windows sicherstellen, dass die aktuelle Ausgabe installiert ist, und zwar in den Einstellungen unter dem Menüpunkt "Hilfe/Über Google Chrome". Dort können Sie auch gegebenenfalls ein Update anstoßen. TLS-Seiten kennzeichnet Chrome nur noch mit einem Schloss Schon im Mai hatte Google angekündigt, dass Chrome 69 verschlüsselte Webseiten jetzt nur noch mit einem Schloss in der Adressleiste kennzeichnet. Bisher stand neben dem Schloss noch das Wort "Sicher". Das hat Google deshalb weggenommen, weil die Benutzer erwarten sollen, dass das Internetseiten "standardmäßig sicher" sind. Unverschlüsselte Webseiten markiert der Browser auch weiterhin mit "Nicht sicher". Das soll laut Google betroffene Webmaster für den Einsatz der Transportverschlüsselung TLS sensibilisieren. Die Kennzeichnung kam mit der Ausgabe 68 in den Webbrowser. Designfragen Erfreulich ist es, dass Google das +-Zeichen zum öffnen eines neuen Browser-Tabs vom linken ans rechte Ende der Tableiste umgesetzt hat. Es war ziemlich blöd, wenn man ganz links klickte, um dann ganz rechts einen leeren Tab [...]

2018-09-05T23:35:22+02:00September 5th, 2018|Allgemein, Browser, Webwerkzeuge|Kommentare deaktiviert für Google hat das Update Chrome 69 herausgebracht

Browser Chrome sieht HTTPS als Standard

Googles Browser Chrome setzt künftig voraus, dass die Verschlüsselung von Internetseiten mit sicherem HTTP (HTTPS) als Standard angesehen werden kann. Es beginnt mit Chrome 69... Deshalb markiert der Browser  solche Seiten in Zukunft nicht mehr mit dem grünen Schloss und dem Wort „Sicher“ in der Adressleiste. Diese Änderung soll mit der Einführung von Chrome 69 im September eingeführt werden. HTTP-Seiten ohne Verschlüsselung kennzeichnet Chrome zurzeit nur mit einem grauen Ausrufungszeichen. Ab der Version 68, die im Juli veröffentlicht werden soll, erscheint neben dem Ausrufungszeichen zusätzlich der Hinweis „Unsicher“ gegeben werden. …und geht mit Chrome 70 weiter Mit Chrome 70, der für Oktober geplant ist, soll die Warnung weiter verschärft werden. Dann soll bei allen Texteingaben in unverschlüsselte Websites die Farbe der Verschlüsselungs-Warnung von Grau nach Rot wechseln und das Ausrufezeichen gegen ein rotes Warndreieck ausgetauscht werden. Kostenlose und günstige SSL-Zertifikate Heutzutage sind Zertifikate für die Verschlüsselung von Websites schon bei so manchen Anbietern schon fester Bestandteil von Hostingpaketen. Außerdem bietet unter anderem die Non-Profit-Organisation Internet Security Research Group mit ihrer Initiative Let’s Encrypt kostenlose SSL-Zertifikate an. Schon länger setzt sich Google für die standardmäßige Verschlüsselung des Datenverkehrs zwischen Browser und Webserver ein. Um die Verbreitung von HTTPS-Websites zu erhöhen, werden sie schon seit mehreren Jahren in [...]

2018-05-22T16:40:00+02:00Mai 22nd, 2018|Browser, HTML, Webwerkzeuge|Kommentare deaktiviert für Browser Chrome sieht HTTPS als Standard

Drupal-Update schließt extrem kritische Lücke

Ein wichtiger Termin für alle, die ihre Internetseiten auf Basis des CMS Drupal erstellt haben: Am 28. März zwischen 20:00 und 21:30 deutscher Zeit wollen die Drupal-Entwickler Sicherheitsupdates für das Content Management System (CMS) zum Download bereitstellen. Diese Updates für diverse Varianten des CMS Drupal schließen eine extrem kritische Sicherheitslücke, kann man der Vorankündigung entnehmen. Die Updates soll es nicht nur für die noch supporteten Versionen 7.x und 8.5.x geben. Wegen der Schwee der Lücke wollen die Entwickler auch noch einmal Updates für die eigentlich nicht mehr im Support befindlichen Versionen  8.3.x und 8.4.x zur Verfügung stellen. Angriffe sind bald zu erwarten Die Admins von Websites unter Drupal sollten die Sicherheitsupdates am nächsten Mittwoch möglichst zügig installieren, weil potentielle Angreifer in wenigen Stunden Exploits entwickeln könnten, warnt das Team von Drupal. Aus diesem Grund gibt es aktuell auch noch keine weiteren Infos zu dieser Schwachstelle.

2018-03-23T21:17:26+02:00März 23rd, 2018|CMS|Kommentare deaktiviert für Drupal-Update schließt extrem kritische Lücke

Firefox 57 (Quantum) mit doppeltem Speed

Mozilla hat jetzt die erste Beta-Version seines Browsers Firefox 57 (Quantum) mit seiner ganz neuen Bedieneroberfläche (Photon) freigegeben. Die neue Browser-Version soll, wie schon Vorläufer Firefox 55, vor allem eine bessere Performance aufweisen als seine Vorgänger. Beim Benchmark-Test Speedometer 2.0 erreicht Firefox 57 nach Angaben von Nick Nguyen, Vice President of Product bei Mozilla, die doppelte Leistung wie Firefox 52. Es geht hauptsächlich darum, dem Marktführer Google Chrome Marktanteile abzunehmen. In einem Youtube-Video vergleicht Mozilla die beiden Browser dann auch direkt und lässt sie dabei jeweils zehn bei den Benutzern beliebte Internetseiten laden. In den meisten Fällen zeigt Firefox in der Tat die aufgerufenen Seiten schneller an als Googles Chrome. Sogar die Suche nach „San Francisco to New York“ mit Googles eigener Suchmaschine kann Firefox schneller abschließen.

2017-09-28T11:01:17+02:00September 28th, 2017|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Firefox 57 (Quantum) mit doppeltem Speed

Die Performance von Firefox 55

Firefox-Entwickler Dietrich Alaya berichtet in seinem Blog von der angeblich drastischen Performanceverbesserung des 55er Feuerfuchses. Mit viel Aufwand lädt der Mann ein Profil von ca. 1.700 Internetseiten – allerdings ohne mit dem Internet verbunden zu sein - und freut sich dann, dass das relativ wenig Speicher verbraucht... Dieser Test zeigt zwar bei den unterschiedlichsten Firefox-Versionen gemäß der Grafik eine Super-Performance an, aber alle üblichen Tests wie beispielsweise Speedometer, Motion Mark oder ARES 6 zeigen nach einem Bericht von ZDNet, dass der Mozilla-Browser nicht wirklich nennenswert an Performance gewonnen hat und Firefox schneidet dabei auch im Vergleich mit Googles Chrome deutlich schwächer ab. Es bleibt also für Mozilla noch einiges zu tun.

2017-07-27T16:54:49+02:00Juli 27th, 2017|CSS, HTML, Javascript, Webwerkzeuge|Kommentare deaktiviert für Die Performance von Firefox 55

Keine modalen JavaScripts mehr in Chrome

Googles Browser Chromium soll in Zukunft anders mit JavaScript-Dialogen umgehen. Die Entwickler planen, dass solche Dialoge zumindest nicht mehr modal sind, das heißt, dass sie die JavaScript-Anwendung bis zur Reaktion des Nutzers anhalten. Die Methode ist bei Scammern beliebt, um Anwender beispielsweise auf vermeintliche Infektionen hinzuweisen. Deshalb sollen über alert(), confirm() oder prompt() erstellte Dialoge demnächst nicht mehr App-modal sein, sondern wie auch schon in Safari 9.1 beim Wechseln des Tabs automatisch geschlossen werden. Ein Beitrag auf Googles Developer Site empfiehlt Entwicklern auch, JavaScript-Dialoge durch andere Methoden zu ersetzen: Für Benachrichtigungen wird die Notifications API empfohlen und für Eingaben des Nutzers das HTML-Element <dialog>. Die sehr nervige Benutzung von onbeforeunload-Strings, die für Dialoge à la "Wollen Sie diese Seite wirklich verlassen?" beliebt sind, funktioniert in den aktuellen Versionen von Chrome, Firefox und Safari sowieso nicht mehr. Mittelfristig möchte das Chromium-Team in den Google-Browser einen Gate-Mechanismus einbringen, der JavaScript-Dialoge auf Internetseiten komplett unterbindet, die insgesamt nur eine geringe Nutzerinteraktion anbieten.

2017-03-30T18:56:27+02:00März 30th, 2017|HTML, Javascript, PHP|Kommentare deaktiviert für Keine modalen JavaScripts mehr in Chrome

Kein Support mehr für PHP 5

Am heutigen 1. Januar 2017 hat PHP 5.6 als letzte 5er-Version der beliebten Script-Sprache das Ende seiner aktiven Supportphase erreicht: Die aktuelle Version PHP 5.6.30 wird das letzte reguläre PHP-5-Release sein, das herausgekommen ist. Danach gibt es nur noch das neueste Haupt-Release PHP 7 bzw. PHP 7.1. An PHP 5 wird auch ab sofort nicht mehr weiter entwickelt. Allerdings versprechen die Entwickler, kritische Sicherheitslücken in PHP 5.6 noch bis Ende 2019 zu stopfen – aber spätestens zu diesem Zeitpunkt sollte man auf eine 7er-Version der Scriptsprache aufgestiegen sein. Die Web-Statistiker von W3tech fanden PHP 7 bisher nur auf 2,5% der untersuchten Internetseiten, die PHP nutzen. PHP 5.6 wird auf 21% der PHP-Sites eingesetzt, der Rest verteilt sich auf ältere, nicht mehr gepflegte PHP-Versionen. Nach Angaben von W3tech nutzen über 80% der 10 Millionen populärsten Websites PHP. Etwas freundlicher kommt die Statistik von packagist.org, dem Standard-Repository des PHP-Package-Managers Composeherüber: Hier kamen PHP 7.0 und 7.1 im November 2016 zusammen zumindest auf gut 36% der Zugriffe und PHP 5.6 auf 37%. Aber leider erfolgen auch bei packagist.org ein Viertel aller Zugriffe mit veralteten und nicht mehr supporteten PHP-Versionen.

2017-01-01T20:28:43+02:00Januar 1st, 2017|Allgemein, PHP|Kommentare deaktiviert für Kein Support mehr für PHP 5
Nach oben