Drupal: Erneut erlauben Lücken die Website-Übernahme

Schon vor zwei Wochen gab es Updates gegen zwei Sicherheitslücken in der Drupal-Komponente Guzzle. Weitere Sicherheitslecks in der Guzzle-Bibliothek ermöglichen es Angreifern aber immer noch, verwundbare Drupal-Installationen zu kompromittieren. Weitere neue Updates dichten die Sicherheitslücken ab. Im Content-Management-System (CMS) Drupal kommt die Komponente Guzzle zum Einsatz, in welcher die Entwickler gerade erneut zwei weitere Sicherheitslücken geschlossen haben. Nach Angaben Cyber-Sicherheitsbehörde CISA der USA konnten Angreifer diese missbrauchen, um verwundbare Drupal-Installationen zu übernehmen. Das Drupal-Projekt reagiert darauf mit Updates, in welche die Schwachstellen entschärfen. Schon wieder stecken die Schwachstellen in Guzzle Cookie-Header transportieren als Antworten auf Anfragen an den Server sensible Informationen. Bei https-Anfragen an den Server könnte dieser fälschlicherweise derartige Informationen weitergeben, wenn er die Anfrage auf http oder einen anderen Host umleitet (CVE-2022-31042, CVSS 7.5, Risiko “hoch”). Die Authorization-Header enthalten ebenfalls vertrauliche Daten, und dasselbe Fehlverhalten wie bei den Cookie-Headern kann auch bei ihnen auftreten (CVE-2022-31043, CVSS 7.5, hoch). In der dazugehörigen Sicherheitsmeldung schreiben die Drupal-Entwickler, dass die Lücken zwar nicht den Drupal-Kern selbst beträfen, aber potenziell Dritthersteller-Module und eigene Code-Erweiterungen und stufen die Gefahr als so hoch ein, dass sie ein Sicherheitsupdate außer der Reihe herausgeben haben. Auch CISA warnt vor den Lücken in Guzzle Auch die CISA warnt schon vor den Sicherheitslücken und empfiehlt Drupal-Administratoren, die Hinweise in der [...]

2022-06-15T07:55:02+02:00Juni 15th, 2022|Coding, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Drupal: Erneut erlauben Lücken die Website-Übernahme

Chrome mit eigenem Speicher für Root-Zertifikate

Google hat jetzt eine Neuerung für seinen Browser Chrome angekündigt. Der Suchmaschinenkonzern plant einen eigenen Root-Speicher für Browserzertifikate. Bisher verlässt sich Chrome seit der Einführung des Browsers im Jahr 2009 auf den Zertifikatsspeicher des jeweiligen Betriebssystems. In diesem Root-Speicher werden die Root-Zertifikate abgelegt, welche die Betriebssysteme nutzen, um zum Beispiel die Echtheit von Anwendungen während der Installation zu prüfen. Die Browser kontrollieren das Zertifikat, mit dem eine sichere HTTP-Verbindung (HTTPS) signiert wurde und das deshalb die Echtheit der vom Nutzer aufgerufenen Website bestätigt. Chrome wird unabhängig von Windows und macOS Statt sich beispielsweise unter Windows auf das Microsoft Trusted Root Program oder unter macOS auf das Apple Root Certificate Program zu verlassen, will Google laut einer Wiki-Seite jetzt einen eigenen Root-Speicher mit der Bezeichnung Chrome Root Program einführen. Es soll die Zertifikatsprüfung auf allen Plattformen, die Chrome nutzt, übernehmen. Dabei gibt es aber eine Ausnahme: Das Mobilbetriebssystem iOS von Apple. Noch soll die Entwicklung des Root-Speichers aber in einem sehr frühen Stadium stecken. Einen Zeitplan für den Wechsel auf den eigenen Root-Speicher gibt es bei dem Konzern wohl noch nicht. Es wurden aber schon Regeln definiert, welche die Certificate Authorities (Aussteller von SSL-Zertifikaten) einhalten müssen, damit das Chrome Root Program ihre Zertifikate akzeptiert. Nach aktuellen Zahlen von Net Applications verfügt Google Chrome derzeit über einen Marktanteil [...]

2020-11-03T00:13:27+02:00November 3rd, 2020|Browser, Coding, Sicherheit|Kommentare deaktiviert für Chrome mit eigenem Speicher für Root-Zertifikate

Google hat Chrome 64 freigegeben

Google hat soeben die neue Version 64.0.3282.119 seines Browsers Chrome online gestellt. Das Update ist ab sofort für Windows, Mac OS X und Linux verfügbar. Zu den neuen Funktionen des Browsers gehört unter anderem zum Beispiel einen verbesserter Popup-Blocker – darüber hinaus beseitigt das Update insgesamt 53 Sicherheitslücken. 53 Sicherheitslücken gefixt Einzelheiten zu den abgesicherten Lücken nennt Google allerdings nur zu 24 der Anfälligkeiten, die von externen Forschern an Google gemeldet wurden und dafür von Google mit Prämien in Höhe von 22.000 Dollar belohnt wurden. Davon gingen alleine 4.000 Dollar an den deutschen Sicherheitsexperten Tobias Klein und 3.000 Dollar an einen anonymen Nutzer. Die Höhe dieser Belohnungen (Bounties) richtet sich normalerweise nach der Schwere der Anfälligkeit. Der neue Popup-Blocker Der neue Popup-Blocker von Chrome 64 schützt jetzt auch vor transparenten Overlays, welche die gesamte Seite bedecken und damit alle Klicks abfangen, um dann einen neuen Tab oder ein neues Browserfenster zu öffnen. Auch das Tarnen von Links zu externen Websites als Wiedergabe-Buttons oder Bedienelemente der besuchten Website soll er verhindern. Ein solches Verhalten einer Website stuft der Browserhersteller als „missbräuchlich“ ein. Benutzer, die den Browser schon installiert haben, dürften das Update in den kommenden Tagen automatisch erhalten. Man kann das Update aber auch von der Google-Website downloaden oder über das Menü im [...]

2018-01-27T21:10:18+02:00Januar 25th, 2018|Browser, Coding, Webwerkzeuge|Kommentare deaktiviert für Google hat Chrome 64 freigegeben

Firefox-Browser trackt seine User mit Google Analytics

Ausgerechnet Mozilla mit seinen erklärten hohen Ansprüchen zum Datenschutz seiner User schlampte laut dem Mozilla-Manifest. In diesem Paper heißt es in Punkt 4: „Die Sicherheit und der Schutz der Daten einer Person im Internet sind von grundlegender Bedeutung und dürfen nicht als optional betrachtet werden.“ Dummerweise nutzte der Mozilla-Browser Firefox aber offenbar Google Analytics, und zwar ohne seine Nutzer darüber zu informieren. Das brachte kürzlich unter anderem der Nutzer Nicolas Petton per Twitter ans Licht, berichtet unter anderem Ghacks. Zum Tracking mit Analytics kommt es allerdings nur dann, wenn in den Add-ons des Browsers die Registerkarte Add-ons entdecken angeklickt wird. Mozilla gibt den Fehler zu und verspricht Besserung Inzwischen bestätigte Mozilla-Mitarbeiter Matthew Riley MacPherson, dass die Add-on-Verwaltung in der Tat einen iFrame mit Inhalten lade, die auf einer Mozilla-Internetpräsenz gehostet seien, in welcher das Google-Analytics-Skript enthalten sei. Gemäß einer speziellen Vereinbarung mit Google sollen diese Daten allerdings nur anonymisiert an Mozilla weitergegeben worden. Den Nutzern geht es aber weniger um die unberechtigte Nutzung dieser Daten, sondern mehr um den Bruch des Versprechens von Mozilla auf Datensicherheit. Problem zum Wochenende beseitigt Firefox bietet zwar eine Option, die Google Analytics deaktivieren soll - den Tracking-Schutz Do Not Track. MacPherson gibt aber in einem Beitrag auf Github zu, dass die Add-ons-Website bisher die Do-Not-Track-Anforderung des Browsers schlichtweg ignoriert habe. „Wir haben heute einen Hotfix für [...]

2017-07-18T16:41:40+02:00Juli 18th, 2017|Allgemein, CSS, HTML, Javascript, Webwerkzeuge|Kommentare deaktiviert für Firefox-Browser trackt seine User mit Google Analytics

Chrome 53 ohne Flash-Tracking

Wer immer noch auf Flash baut, ist gut beraten, endlich auf HTML5 umzusteigen. Google hat jetzt mit den automatischen Updates auf Chrome 53 für  Linux, Mac OS X und Windows begonnen. Das Update schließt 33 Sicherheitslücken und verhindert wie angekündigt die Ausführung von Flash-Programmen im Hintergrund, die dem Tracking der Anwender dienen. Nach Googles Ankündigung vom August sind heute ca. 90 Prozent aller Flash-Elemente für den Endanwender gar nicht sichtbar. Sie haben absolut keinen Nutzen für Besucher der Website und sorgen auch noch dafür, dass die Seite langsamer geladen wird. Hauptsächlich rufen sie die Flash-APIs enumerateFonts und ExternalInterface auf, um so eine Liste der auf dem Rechner installierten Schriftarten und damit ein weiteres Merkmal zur Identifikation auch nicht eingeloggter Anwender zu bekommen – also für das sogenannte Fingerprinting. Die neue Browser-Version Chrome 53.0.2785.89 steht ab sofort für Windows, Mac OS X und Linux zum Download bereit. Nutzer, die den Browser schon installiert haben, bekommen das Update automatisch, aber es kann auch von Googles Website geladen werden.

2016-09-02T23:58:35+02:00September 2nd, 2016|Allgemein|Kommentare deaktiviert für Chrome 53 ohne Flash-Tracking

Neue EU-Richtline zu Cookies wurde gestern wirksam

Für deutsche Betreiber von Internetseiten wirft die neue EU-Richtlinie zu Cookies, die seit gestern wirksam sein soll, mehr Fragen auf, als sie beantwortet. Bei Golem kann man beispielsweise lesen: “Am 26. Mai 2012 treten neue Datenschutzregeln der EU in Kraft. Websitebetreiber und Werbenetzwerke müssen Nutzer um Erlaubnis fragen, wenn sie Cookies setzen. ” Deutschlands oberster Datenschützer Peter Schaar sagte dazu auf dem 13. Datenschutzkongress am 9.  Mai 2012, dass die neue EU-Richtlinie in Deutschland direkt angewendet werden könne. Allerdings ist es eine EU-Richtlinie, und keine EU-Verordnung, weshalb sie zunächst als nationales Gesetz umgesetzt sein muss, bevor sie in einem Land Gesetzeskraft hat. Für diese Umsetzung gab es eine Frist bis gestern, die nun abgelaufen ist, ohne dass Deutschland den Vorgaben der EU folgte (wie bei vielen anderen Regelungen ja auch). Unter bestimmten Voraussetzungen werden dann solche nicht in nationales Recht umgesetzte EU-Richtlinien nach EU-Recht trotzdem für ein Land wirksam. Im konkreten Fall der Cookie-Richtlinie kann man aber keine eindeutige Rechtslage erkennen. Von daher ist kaum zu erwarten, dass man nun mit seiner Website in Angst vor restriktiven  Aktionen der Behörden leben muss. Allerdings sollte man sich als Betreiber von Internetseiten, die Cookies benutzen, jetzt schon einmal Gedanken machen, wie man auf die Cookie-Nutzung hinweisen kann. Die [...]

2012-05-27T07:26:32+02:00Mai 27th, 2012|Allgemein|Kommentare deaktiviert für Neue EU-Richtline zu Cookies wurde gestern wirksam

Warum sollte man (k)eine Website erstellen?

Das Wie der Erstellung einer Website ist hier schon öfter beleuchtet worden, aber das Warum ist bisher etwas zu kurz gekommen. Es gibt da eine genauso nette wie falsche Antwort auf die Frage, warum man auf einen Berg steigt: Weil er da ist. Bitte nicht missverstehen – ich bezweifle nicht, dass es Menschen gibt, die auf einen Berg steigen, weil er da ist. Allerdings ist das ein ziemlich oberflächlicher Grund, der die tieferliegenden Beweggründe überdecken soll. Ähnlich ist es bei Webseiten. Die Tatsache alleine, dass man Internetseiten erstellen kann, ist sicher kein ausreichender Grund dafür, auch eine Website zu machen. Denn wer kann das eigentlich nicht im Zeitalter von Seitenbaukästen und CMS? Solche Schnellschüsse führten früher sehr schnell zu sogenannten "Me Too"-Seiten, die aber zum Glück in Zeiten von Facebook und anderen Sozialen Netzwerken merklich seltener geworden sind. Diese Seiten verkünden dem geneigten Leser nichts Anderes, als dass man "auch im Internet" ist – das wollte die Welt schon immer mal wissen… Man braucht schon eine inhaltliche Grundlage, ein Thema, mit dem sich die Webseite beschäftigt. Und das sollte auch eine Anzahl Menschen interessieren – oder aber für eine ausreichende Anzahl von Menschen interessant gemacht werden. Dazu gibt es die Suchmaschinenoptimierung (Search Engine Optimization oder kurz [...]

2012-02-14T07:32:25+02:00Februar 14th, 2012|Allgemein|Kommentare deaktiviert für Warum sollte man (k)eine Website erstellen?

HTML 5: Optimales Einbinden von Videos in HTML 5

Wenn ein Video auf Ihrer HTML 5-Website möglichst in allen Browsern, die HTML 5 unterstützen, ablaufen soll, brauchen Sie die Video-Datei in drei verschiedenen Formaten: MPEG4, OGV und WEBM. Zur Umwandlung Ihres Videos in die entsprechenden Formate können Sie Freeware-Tools wie zum Beispiel  XMedia Recode verwenden. Die Einbindung des Videos in die Internetseite wird mit dem <video> - Tag realisiert: <video preload controls width=300 height=177 poster= suleitec.jpg> <source src=suleitec.mp4 type='video/mp4; codecs="avc1.42E01E, mp4a.40.2"'> <source src= suleitec.ogv type='video/ogg; codecs="theora, vorbis"'> <source src= suleitec.webm type='video/webm; codecs="vp8, vorbis"'> Leider kann Ihr Browser das Video nicht zeigen. </video> Mit der preload-Option wird die Videodatei vorgeladen und die controls-Option sorgt für die Darstellung der Steuerelemente (Start, Pause, Stopp usw.). Mit der poster-Option kann man ein Vorschaubild des Videos anzeigen.

2011-05-05T08:52:15+02:00Mai 5th, 2011|Allgemein|Kommentare deaktiviert für HTML 5: Optimales Einbinden von Videos in HTML 5

Formularspam mit einem Topf Honig abwehren Teil 2

Wie schon im ersten Teil dieses Artikels beschrieben, wird bei der Honeypot-Methode zur Abwehr von Formularspam ein zusätzliches Formularfeld erzeugt, das für Menschen nicht sichtbar ist. Das style-Attribut wurde wegen der Verständlichkeit ins span-Element gesetzt. Besser ist es, hier eine Klasse einzutragen und das style-Attribut in der CSS-Datei des Formulars anzugeben. Das hilft dann auch gegen intelligenter programmierte Spambots. <!—Der Honeypot gegen Formularspam  --> <span style="display:none"> <label for="mail">Das folgende Feld muss leer bleiben:</label> <input type="text" name="mail" id="mail" title="Dieses Feld muss leer bleiben " /> </span> Die Auswertung des Honeypots wird in die meist schon vorhandene PHP-Fallverzweigung mit den Plausibilitäts-Prüfungen eingesetzt. Hat ein Spambot das Honeypot-Feld ausgefüllt, verzweigt das Programm per Header-Befehl zurück zur Formulareingabe. foreach($_POST as $key => $value) { switch ($key) { // Hier stehen alle Plausibilitätskontrollen case "mail":                           // Honeypot-Feld gegen Formularspam muss leer sein If ($value != "") { $go="n"; $location="formular.php "; header("Location: $location"); } break; } } Denken Sie bitte daran, dass der Header-Befehl nur dann funktioniert, wenn vorher noch keine Ausgaben durch das Programm erzeugt wurden.

2011-02-28T12:15:46+02:00März 3rd, 2011|Allgemein|Kommentare deaktiviert für Formularspam mit einem Topf Honig abwehren Teil 2

Formularspam mit einem Topf Honig abwehren Teil 1

Sie kennen sicher den lästigen Formularspam. Spambots tragen ihre zweifelhaften Werbebotschaften in jedes erreichbare Formular ein, selbst Suchformulare mit nur einem Eingabefeld ohne Chance auf Sichtbarkeit der Werbung bleiben nicht verschont. Es sieht natürlich nicht gut aus, wenn im Gästebuch einer Website Werbung für Viagra und Suchanzeigen für Cash-Manager erscheinen. Aber auch in Formularen, die keine öffentlich sichtbaren Resultate produzieren oder deren Resultate vor Veröffentlichung von Menschen gesichtet werden, kann Formularspam die Listen ziemlich unübersichtlich machen. Der erste Gedanke eines Spamgeplagten Webmasters ist häufig die Einführung von Captchas, also verzerrten Bildchen mit Zahlen oder Buchstaben darin, die der Benutzer erkennen und in ein Formularfeld eingeben muss. Wenn die aber so gut sind, dass Roboter damit Probleme haben, haben Menschen auch Probleme damit und müssen häufig mehrere Versuche machen, bis das Formular abgeschickt wird. Es gibt verschiedene bessere Ansätze, die alle mehr oder weniger darauf beruhen, dass es sich bei diesen "Spammern" um Robots handelt, also Programme, die sich so verhalten, wie sie programmiert sind. Man nutzt zum Beispiel die Messung der Zeit zwischen Laden und Absenden des Formulars, um Roboter zu erkennen, die das in Bruchteilen einer Sekunde machen können. Es gibt aber schon Robots, die diese Zeit per Algorithmus erhöhen. Andere Ansätze prüfen alle Inhalte [...]

2011-02-28T10:25:26+02:00Februar 28th, 2011|Allgemein|Kommentare deaktiviert für Formularspam mit einem Topf Honig abwehren Teil 1
Nach oben