Framework Django: Zu lange Passwörter wirken wie DoS-Angriffe

Böswillige Angreifer können nach einem Bericht von Heise die Authentifizierung des freien Webentwicklungs-Frameworks Django mit der Eingabe extrem langer Passwörter außer Gefecht setzen. Der Grund für diese DoS-Schwachstelle (Denial of Service) liegt in dere django.contrib.auth-Funktion, die die Länge der zu überprüfenden Passwörter bei der Authentifizierung nicht einschränkt. Drei Updates Django (1.4.8, 1.5.4 und 1.6 beta 4) beseitigen das Problem. Sie können auf der Internetseite des Django-Projekts heruntergeladen werden.

2013-09-16T16:37:52+02:00September 16th, 2013|Allgemein|Kommentare deaktiviert für Framework Django: Zu lange Passwörter wirken wie DoS-Angriffe
Weiterlesen

Mit Google-Software und Raspberry Pi programmieren lernen

Der Suchmaschinenkonzern Google hat eine quelloffene Software für den britischen Mini-PC Raspberry Pi veröffentlicht, mit der Anfänger die Programmierung mit HTML, CSS und JavaScript lernen können. Die Software “Coder” macht aus den kleinen und preiswerten Einplatinencomputern einfache Internetserver inklusive der dazugehörigen Web-Entwicklungsumgebung. Coder ist eine Imagedatei für  4 GB-SD-Cards daher, die einfach in den Slot des Raspberry Pi-Rechners eingeschoben werden – und schon können die ersten Internetseiten und Programme erstellt werden.

2013-09-16T14:11:43+02:00September 16th, 2013|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Mit Google-Software und Raspberry Pi programmieren lernen
Weiterlesen

Ein Unicode-Bug bringt iOS- und OS X-Apps zum Absturz

Die Anzeige einer einfachen Zeichenkette kann Apples iOS- und OS X-Anwendungen zum Absturz bringen. Das passiert zumindest mit dem Browser Safari unter OS X 10.8.4 und iOS 6.1.3, aber wahrscheinlich auch mit früheren Versionen und auch mit Apps wie Messages, iMessage und der iPhone-SMS-App. Nach einem Bericht von Ars Technica sieht das nach einem Rendering-Fehler in Apples CoreText-API zu handeln, die auch von WebCore verwendet wird. Die „tödlichen“ Schriftzeichen stammen allerdings aus dem arabischen Alphabet, so dass Entwickler von Apps in europäischen Sprachen damit vermutlich eher keine Probleme kriegen werden… Ars Technica konnte den Fehler außerdem in weiteren Anwendungen wie Limechat (IRC), Chrome und Adium nachvollziehen, die auch CoreText verwenden.

2013-09-01T14:04:45+02:00September 1st, 2013|CSS, HTML|Kommentare deaktiviert für Ein Unicode-Bug bringt iOS- und OS X-Apps zum Absturz
Weiterlesen

OpenSSH lernt: Technik und Zufall passen nicht zusammen

Zufallszahlen braucht man zwar für alle möglichen Anwendungen, in der Welt der Computer ist aber die Killeranwendung für den Zufall die sichere (sprich: abhörgeschützte) Verbindung zwischen zwei Computern. Echte Zufallszahlen kann man im Grunde nur auf Basis physikalischer Effekte vom Fall eines Würfels, dem Wurf einer Münze, Rauschgeneratoren oder radioaktiven Zerfallsprozessen bis hin zu quantenmechanischen Effekten erzeugen – alles Generatoren, die normalen Rechnern in aller Regel nicht zur Verfügung stehen. In der heutigen Computerpraxis werden Zufallszahlen deshalb in der Regel mit einem sogenannten Software-“Zufallszahlengenerator” erzeugt – im einfachsten Fall dem Befehl random, der in vielen Programmiersprachen implementiert ist. Dabei handelt es sich nicht wirklich um echte Zufallszahlen, sondern um sogenannte Pseudo-Zufallszahlen, die aber durchaus ihren Zweck erfüllen können. Zu den wichtigsten Eigenschaften einer zufälligen Zahl gehört, dass nicht von früheren Ausgaben ihres Generators  abhängig ist. Und hier patzt leider die bei Verschlüsselungsanwendungen  wohl meistgenutzte Software OpenSSL nach einem Bericht von Heise wohl zu oft und es kommt zu häufig vor, dass die gleichen “Zufallszahlen” mehrfach benutzt werden. Jetzt denken die Entwickler von OpenSSL darüber nach, warum Gott nach einer Feststellung von Albert Einstein angeblich nicht würfelt…

2013-08-26T16:49:30+02:00August 26th, 2013|Allgemein|Kommentare deaktiviert für OpenSSH lernt: Technik und Zufall passen nicht zusammen
Weiterlesen

Facebook statt PayPal als Online-Bezahldienst?

Heute früh machte die Nachricht die Runde in Radio und Fernsehen: Nach einem Bericht von Forbes will Facebook die Onlinezahlung vereinfachen. Sofort wurde das als Konkurrenzdienst zu PayPal interprätiert. Bevor Sier als Ersteller von Internetseiten nach den Zahlungsdienst- APIs von Facebook googeln, um sich schlau zu machen, sei gleich gesagt, dass es nicht wirklich um einen neuen potenten PayPal-Konkurrenten handelt. Es geht eigentlich um Folgendes: Bei von Facebook ausgesuchten Partnern soll es zukünftig  möglich sein, mit Daten zu bezahlen, die vorab bei Facebook hinterlegt wurden. Dies erspart das Eintippen von Kreditkarteninformation und erleichtert und beschleunigt den Einkauf mit mobilen Apps. Ein US-Onlineshop dient dabei als Pilotprojekt zum Test der Bezahlfunktionen. Aber die eigentliche Abwicklung der Zahlung wird Facebook nicht durchführen. Konkurrenz zu PayPal sei nicht geplant, korrigierte Facebook in einem Statement, aus dem Forbes zitiert. Das Soziale Netzwerk hält nur die Zahlungsdaten bereit, die ein Partnershop auf Wunsch seiner Kunden während des Bezahlens abrufen kann. Verarbeitet wird die Zahlung weiterhin von den Zahlungsdienstleistern PayPal, Braintree oder Stripe. Viele Facebook-Nutzer in den USA haben Facebook sowieso schon ihre Kreditkartendaten anvertraut, um damit “Gifts” sprich:Geschenke zu kaufen.

2013-08-16T11:37:40+02:00August 16th, 2013|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Facebook statt PayPal als Online-Bezahldienst?
Weiterlesen

Apples Entwicklerseite ist wieder komplett online

Vor gut drei Wochen gab es einen  Ausfall der Entwicklerseite der Firma Apple. Nach und nach wurden dann die einzelnen Funktionen wieder freigeschaltet. Jetzt hat Apple auch die letzten mit seiner Entwicklerseite verbundenen Dienste wieder online. Wie vergangenen Montag angekündigt, stehen jetzt sowohl das Mitglieder-Center als auch der technische Support sowie die Werkzeuge für Kauf und Verlängerung von Abos wieder zur Verfügung. Wenn man der Statusseite glaubt, sind damit alle Dienste nach bis zu dreiwöchigem Ausfall wieder online.

2013-08-13T17:03:49+02:00August 13th, 2013|Allgemein|Kommentare deaktiviert für Apples Entwicklerseite ist wieder komplett online
Weiterlesen

SSH-Client Putty 0.63 veröffentlicht

Fast jeder, der mit Internetservern arbeitet oder Internetseiten erstellt, kennt den beliebten SSH-Client Putty als optimales Tool für die Remote-Wartung und Pflege. Insgesamt vier Sicherheitslücken waren in Putty 0.62 sowie den meisten Vorläufern des SSH- und Telnet-Clients bekannt. Deshalb hat Entwickler Simon Tatham eine neue Version erzeugt und jetzt veröffentlicht. Putty und die anderen dazugehörigen Tools stehen in der neuen Version 0.63 als Download zur Verfügung. Jeder Nutzer sollte seine alte Putty-Installation möglichst bald gegen Putty 0.63 austauschen.

2013-08-07T11:15:38+02:00August 7th, 2013|Allgemein|Kommentare deaktiviert für SSH-Client Putty 0.63 veröffentlicht
Weiterlesen

Es wird Zeit für die S€PA-Anpassungen

Wer auf seinen Internetseiten auch Waren verkauft, wird sein Verkaufsformular bald anpassen müssen, denn ab dem 1. Februar 2014 dürfen Kreditinstitute Überweisungen und Lastschriften von Unternehmen und Vereinen nur noch im Single Euro Payments Area (SEPA)-Format bearbeiten. Dabei lösen die internationale Kontonummer IBAN und die internationale Bankleitzahl BIC die alte Kontonummer und die alte Bankleitzahl ab. Internationale Kontonummer und internationale Bankleitzahl werden jetzt zur 22-stelligen IBAN zusammengefasst. Diese Standardisierung soll auch helfen, den Zahlungsverkehr zu beschleunigen. Privatpersonen haben noch zwei Jahre länger die Möglichkeit, Überweisungen statt mit IBAN und BIC noch mit Kontonummer und BLZ abzuwickeln. Also: Formular ändern, Plausibilitätsprüfung ändern, eventuell Datenbank und Weiterverarbeitung ändern. Und wenn es für einen Kunden gemacht wird -> Rechnung schreiben! ;)

2013-08-01T10:47:20+02:00August 1st, 2013|HTML, Javascript, PHP|Kommentare deaktiviert für Es wird Zeit für die S€PA-Anpassungen
Weiterlesen

Elf Sicherheitslücken in Googles Chrome dicht gemacht

Zum Monatswechsel hat Google seinen Browser Chrome auf die Version 28.0.1500.95 aktualisiert. Die Updates für Windows, Linux, Mac OS X und Chrome Frame stehen zum Download bereit. Von den elf Sicherheitslücken, die mit dem Update geschlossen werden, waren erst fünf bekannt. Das Update erhalten sie automatisch über die Update-Schnittstelle des Browsers.  

2013-08-01T09:09:45+02:00August 1st, 2013|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Elf Sicherheitslücken in Googles Chrome dicht gemacht
Weiterlesen

If-Bedingung mit MySQL statt PHP

Häufig soll eine Ausgabe vom Inhalt eines Tabellenfeldes einer SQL-Datenbank abhängig gemacht werden. Hier ein Beispiel dazu in PHP, bei dem in einer Personenliste durch ein Bild gekennzeichnet werden soll, ob es sich um eine Frau oder einen Mann handelt: while ($zeile = mysql_fetch_array( $ergebnis )) {     if ($zeile['geschlecht'] == 1)     {         echo '<img src="frau.png" />';     }     elseif ($zeile['geschlecht'] == 0)     {         echo '<img src="mann.png" />';     } } Das lässt sich mit einer IF-Bedingung direkt in MySQL deutlich eleganter lösen: $sql = "SELECT IF(`geschlecht`=1, 'frau.png', 'mann.png') as `sex`         FROM `tabelle`"; // Die Ausgabe dazu... while ($zeile = mysql_fetch_array( $ergebnis )) {     echo '<img src="' . $zeile['sex'] . '" />'; }

2013-07-30T09:05:49+02:00Juli 30th, 2013|MySQL, PHP|Kommentare deaktiviert für If-Bedingung mit MySQL statt PHP
Weiterlesen
Nach oben