Tag-Archive for » Yahoo «

HTTP-Header verwirren Internetserver

James Kettle von der Firma Portswigger hat auf der Black-Hat-Konferenz in Las Vegas unter dem Titel „Targeting HTTP’s Hidden Attack-Surface“ zahlreiche Varianten von sogenannten Server-Side-Request-Forgery-Angriffen (SSRF) gezeigt.

Der Sicherheitsforscher setzte dabei vor allem darauf, mit intelligent gewählten HTTP-Headern Webserver und Loadbalancer durcheinander zu bringen.

SSRF-Angriffe in der Praxis

Kettle demonstrierte einige Angriffe, die darauf basieren, an einen Server einen HTTP-Request mit ungültigem Host-Header zu abzusenden. Viele Systeme leiten solche Anfragen einfach nur weiter, ganz egal, wohin sie gehen. Bei Yahoo gelang es zum Beispiel auf diese Weise, Zugriff auf ein internes System zu erlangen. Im Host-Header wurde dazu einfach eine interne IP eingefügt.

Das Yahoo-System sprach offenbar nicht HTTP, sondern ein einfaches, zeilenorientiertes Protokoll. Dabei wurde die Antwort dieses Systems auch zurückgeschickt. So führte ein HTTP-Request mit der normalerweise nicht existenten Help-Methode dazu, dass das System, bei dem es sich um einen Apache Traffic Server und eine Software zum Cachen von HTTP-Verbindungen handelte, eine Hilfe ausgab. Mit seinem Angriff hätte Kettle Daten direkt in den internen HTTP-Cache von Yahoo schreiben können…

Britisches Zensursystem antwortet auf Header

Bei einem von ihm selbst kontrollierten Server bekam Kettle Antworten, allerdings nur bei HTTP- und nicht bei HTPS-Verbindungen. Die Antwort kam allerdings nicht von seinem eigenen System, sondern von dem britischen Zensursystem, das früher mal Bilder zum Kindesmissbrauch blockieren sollte und inzwischen hauptsächlich für die Verfolgung von Copyright-Verstößen benutzt wird.

Für Webworker mit Verantwortung für Internetserver könnte es eine gute Idee sein, einmal zu testen, wie die eigenen Server auf solche Header reagieren.

Apache Big Data Project stellt HBase 1.0 vor

HBaseWer Aufgaben im Big Data-Bereich erledigen muss, sollte sich die nach sieben Jahren Entwicklungsarbeit jetzt vorgestellte Hadoop-Datenbank HBase 1.0 der Apache Software Foundation ansehen.

Es handelt sich um eine verteilte NoSQL-Datenbank nach dem Prinzip von Googles BigTable-Technik, die vorrangig im Kontext von Hadoop- und HDFS-Anwendungen (Hadoop File System) zum Einsatz kommt – deshalbn auch als die Datenbank schlechthin für das Big-Data-Framework bezeichnet wird.

Sie kann mit verteilt liegenden Tabellen von Milliarden von Datensätzen uns Millionen von Spalten in Echtzeit sehr performant umgehen. Unternehmen wie Facebook, eBay, Salesforce und Yahoo, die ja sehr große Datenmengen verarbeiten müssen, setzen auf HBase – vielleicht auch für Ihr Projekt?

Die Suchmaschine Yandex kommt nach Deutschland

YandexMapsDie russische Konzern Yandex will demnächst eine Niederlassung in Berlin eröffnen. Die neuen Büroräume sind repräsentativ in der Nähe des Berliner Doms gelegen und sollen ab Ende dieses Jahres bis zu 130 Mitarbeitern Platz bieten.

Diese sollen sich vorrangig mit der Weiterentwicklung der internationalen Version des Kartendienstes Yandex Maps beschäftigen.

Bekannt ist Yandex vor allem für seine Suchmaschine, die im heimischen Russland Marktführer ist und weltweit als Nummer vier hinter Google, Baidu und Yahoo gilt. Damit liegt sie noch vor Microsofts Suchmaschine Bing und wird für Seitenersteller und Web-Dienstleister immer wichtiger.

Zurzeit gibt es noch keine Yandex-Version in deutscher Sprache. In Westeuropa hatte Yandex aktuell nur zwei Niederlassungen in Zürich und Luzern in der Schweiz.

Das Unternehmen aus Moskau finanziert sich ähnlich wie auch Platzhirsch Google durch Werbung und hat einen Börsenwert von ca 12,5 Milliarden US-Dollar.

Bei Yahoo angesteckt?

wurmWer sich in der letzten Woche eine Infektion zum Beispiel mit dem Onlinebanking-Trojaner ZeuS eingefangen hat und sich fragt, wie das Biest auf den Rechner gekommen ist, könnte zu den Yahoo-Geschädigten vom Jahreswechsel gehören.

Ab Silvester verteilte Yahoo nämlich fast eine Woche lang indirekt über eingeblendete Werbebanner Schadsoftware verschiedene Schädlinge wie den schon genannten Trojaner.

Die IT-Sicherheitsfirma Fox-IT hat auf der Yahoo-Seite speziell präparierte Werbeanzeigen entdeckt, die Besucher auf Angriffsseiten eines Exploit-Kits umleiteten.

Auf diesen Seiten wurden die Rechner der Besucher dann durch Sicherheitslücken in älteren Java-Versionen angegriffen. Fand das Exploit-Kit ein Schlupfloch, hat es nach Angaben von Fox-IT diverse Schädlinge wie beispielsweise den Onlinebanking-Trojaner ZeuS auf dem Rechner des Opfers platziert.

Seit Ende letzter Woche ist Yahoo wieder sauber und kann wieder ungefährdet angesteuert werden.

Yahoo gibt im Juli Emailadressen frei

yahoo_logo1Der Gratis-Emailprovider Yahoo will solche Email-Konten, die mindestens ein Jahr lang nicht mehr abgerufen wurden, löschen und dann neu vergeben.

Wer die Löschung seiner sehr lange nicht benutzten Yahoo-Mailadresse verhindern möchte, muss sich mit seiner Yahoo-ID spätestens am 14. Juli mindestens einmal einloggen, teilte das Unternehmen auf Tumblr mit.

Alle immer noch inaktiven Adressen werden ab dem 15. Juli neu vergeben, und dann können andere Nutzer ein Konto mit der freigewordenen Email-Adresse registrieren.

Das ist eine gute Chance für Sie, wenn Sie immer schon bestimmte Freemailer-Adresse haben wollten, die aber bisher schon belegt war.

Der Grund für diese Aufräumaktion soll die enorme Knappheit an einfachen, kurzen und damit auch einprägsamen Emailadressen sein.

Category: Allgemein  Tags: , , , ,  Comments off

Der neue Browser Axis von Yahoo

Für Ersteller von Internetseiten und andere Webschaffende ist ein neuer Browser schon ein Ereignis. Unter dem Motto „Axis erfindet das Suchen und Surfen im Internet neu“ bewirbt Yahoo seinen neuen Browser Axis als Spezialisten für die schnellere und intelligentere Suche im Netz.

Genau genommen gibt es diesen Super-Such-Browser nur für iPads und iPhones von Apple. Auf Desktop-Maschinen ist es nur eine Browsererweiterung für die Platzhirsche Firefox, Chrome, Internet Explorer oder Safari. Von daher muss man seine frisch erstellten Internetseiten nicht unbedingt auch noch unter Axis auf korrekte Darstellung  des Designs überprüfen.

Pech für Yahoo: Inzwischen wurde ein Sicherheitsproblem bei Axis bekannt: Die Chrome-Version von Axis nutzt ein Yahoo-Zertifikat, das beispielsweise Schadsoftware von kriminellen Angreifern als von Yahoo stammend ausgeben kann.