Über GSL-Team

Der Autor hat bisher keine Details angegeben.
Bisher hat GSL-Team, 910 Blog Beiträge geschrieben.

Angriff auf das CMS WordPress vorgeführt

Sam Thomas vom britischen Sicherheitsanbieter Secarma hat gerade auf der Cybersecurity-Konferenz BSides in Manchester einen Angriff auf das WordPress PHP Framework vorgeführt, der zu einer vollständigen Kompromittierung einer auf WordPress basierenden Internetseite führen kann. Der Bug ist schon seit über einem Jahr bekannt Das ist deshalb möglich, weil eine Sicherheitslücke, die schon seit einem Jahr besteht, bis heute ungepatcht ist. Für den Angriff muss das WordPress den Upload von Dateien erlauben. Ist das der Fall, kann ein Angreifer eine speziell gestaltete Thumbnail-Datei hochladen, die dann unter anderem einen Server Side Request Forgery-Bug ausnutzt. Die Sicherheitsforscher betonten, dass dadurch nicht nur vertrauliche Daten offen gelegt werden können, sondern unter Umständen sogar die Ausführung von Remotecode möglich ist. Die Sicherheitslücke steckt dem Forscher zufolge in der Funktion „wp_get_attachment_thumb_file“ in der Datei „/wpincludes/post.php“. Angreifer müssen nur die Kontrolle über einen der Parameter im Aufruf „file_exists“ gewinnen. Wenn zusätzlich auch das Autoloading aktiv ist, kann sogar Code der Angreifer geladen und ausgeführt werden, um damit letztlich das gesamte PHP-Framework zu kompromittieren.

2018-11-07T18:50:25+02:00August 19th, 2018|CMS|Kommentare deaktiviert für Angriff auf das CMS WordPress vorgeführt
Weiterlesen

Die IDE NetBeans 9.0 ist verfügbar

Es brauchte drei Jahre Organisation und Entwicklung unter dem Dach der Apache Software Foundation, bis nun endlich mit NetBeans 9.0 ein erstes Release der Integrierten Entwicklungsumgebung (Integrated Development Environment – IDE) für Java-Entwickler erschienen ist. Die Unterstützung der Modularisierung hat viel Zeit gekostet Dass es drei Jahre für die Entwicklung von NetBeans 9 gebraucht hat, liegt auch an der mit Java 9 eingeführte Modularisierung dieser Sprache. Die Entwickler der IDE wollten natürlich dieses essenzielle Feature ebenfalls unterstützen. JavaScript, PHP, Groovy, Enterprise Java und C/C++ kommen nach Bisher war NetBeans nicht nur eine IDE für Java-SE-Entwickler, wie neue Hauptversion vielleicht nahelegt, sondern auch andere Programmierplattformen wie JavaScript, PHP sowie C/C++ und Java EE (bzw. Jakarta EE) wurden in den Vorversionen unterstützt. Ich selbst benutze die IDE schon seit Jahren für die Web-Programmierung mit PHP – für mich war es bisher das beste Werkzeug ever für diese Zwecke. Leider wurde die Unterstützung für diese Sprachen im Zuge der Entwicklungen von NetBeans 9 und des Transfers der wegen seiner rund 20 Jahre alten Geschichte riesigen Codebasis erst mal hintenan gestellt. Bei der neuen Hauptversion lag der Fokus also auf der Java-SE-Basis, und in diese Richtung ging auch die erste Codeübergabe durch Oracle. Inzwischen sind aber nach einem aktuellen Blogbeitrag die Module zur Unterstützung [...]

2018-07-30T19:27:35+02:00Juli 30th, 2018|Coding, Javascript, PHP, Webwerkzeuge|Kommentare deaktiviert für Die IDE NetBeans 9.0 ist verfügbar
Weiterlesen

Firefox demnächst ohne seinen RSS-Reader

Firefox-Hersteller Mozilla will bald den RSS-Reader aus seinem Browser Firefox entfernen. Das legt zumindest ein neuer Eintrag auf der Bug-Tracking-Seite von Mozilla nahe. Dort kann man lesen: "Nach sorgfältiger Abwägung verschiedener Optionen haben wir uns entschlossen, die eingebaute Feed-Unterstützung aus Firefox zu entfernen." Die Entfernung des Readers soll danach für die Firefox-Version 63 oder 64 geplant sein, die im September beziehungsweise im Oktober erscheinen sollen. Auch „Dynamische Lesezeichen“ verschwinden mit RSS Mit der wegfallenden Nutzung von RSS-Feeds sind auch die sogenannten "Dynamischen Lesezeichen", auch "Live Bookmarks" genannt, obsolet und werden nicht mehr unterstützt. Mit denen kann der Nutzer RSS-Feeds abonnieren, die dann wie die normalen Lesezeichen für Webseiten als Ordner in der Lesezeichen-Symbolleiste zu finden sind. Firefox ESR 60 kennt noch weiterhin RSS-Feeds Es gibt aber noch eine Verlängerungsmöglichkeit für User, die in diesem Jahr noch nicht auf RSS mit Firefox verzichten können, denn die Änderungen betreffen noch nicht den Firefox ESR 60, bei dem ESR für Extended-Support-Release steht. Erst die nächste ESR-Version 68 wird im Februar 2019 dann auch kein RSS mehr unterstützen.

2018-07-28T22:47:20+02:00Juli 28th, 2018|Allgemein, Browser, Webwerkzeuge|Kommentare deaktiviert für Firefox demnächst ohne seinen RSS-Reader
Weiterlesen

Missbrauch von TLS 1.2-Client-Zertifikaten

Die Kombination von Client-Zertifikaten mit TLS 1.2 ist recht gefährlich, warnte ein Team von Forschern der TU München im Rahmen des Treffens der Internet Engineering Task Force (IETF) in dieser Woche in Montreal. Weil diese Zertifkate bei TLS 1.2 völlig unverschlüsselt übertragen werden, gestatteten sie bis Anfang letzten Jahres zum Beispiel das Tracking von Millionen von Apple-Push-Benutzern Bei umfangreichen Scans zur Umsetzung von Sicherheitsfeatures stießen Quirin Scheitle und seine Kollegen an der TU München auch auf das Problem mit TLS 1.2 (PDF). Anders als bei dessen Nachfolger TLS 1.3 werden dabei die zur Authentifizierung genutzten Zertifikate in TLS 1.2 beim Verbindungsaufbau ganz offen ausgetauscht. Spezialisten empfehlen deshalb, dass man die Kombination von TLS 1.2 und Client Zertifikaten man auf jeden Fall vermeiden sollte. Am besten sei es natürlich, auf das immer noch nicht perfekte, aber deutlich sicherere Nachfolgeprotokoll TLS 1.3 umzusteigen.

2018-07-21T00:08:15+02:00Juli 21st, 2018|Allgemein, Coding|Kommentare deaktiviert für Missbrauch von TLS 1.2-Client-Zertifikaten
Weiterlesen

Die Common Table Expressions in MySQL 8.0

Vor zwei Monaten erschien die Version 8.0 der relationalen Datenbank MySQL von Oracle. Zu den fehlenden Eigenschaften, die das Konkurrenzprodukt PostgreSQL schon seit der Version 8.4 aus dem Jahr 2009 beherrscht, gehören die Common Table Expressions (CTEs). Diese Konstrukte in der Datenbank-Abfragesprache SQL gestatten es, komplexe Querys in überschaubare Chunks aufzuteilen, die danach ähnlich den bekannten Views über ihren Namen benutzt werden können, und das anders als bei einfachen Subquerys auch mehrfach. Beispiel für die Nutzung von CTEs In dem kurzen SQL-Listing im Artikelbild sehen Sie, dass die CTEs vor der Haupt-Query zunächst mit WITH definiert werden müssen. In meinem Beispiel werden in der ersten CTE die Online-Verkäufe aus einer imaginären Sales-Tabelle ausgewählt und dann in der zweiten CTE nach Monaten aggregiert. Die Hauptabfrage berechnet den Anteil eines einzelnen Online-Verkaufs am Monatsumsatz. Common Table Expressions reduzieren dabei nicht nur Redundanzen, sondern verringern auch die Fehleranfälligkeit. Wettbewerber MariaDB hat die CTEs schon seit der Version 10.1 implementiert - seit Version 10.2 vom Mai 2017 kann MariaDB das sogar auch rekursiv…

2018-06-29T08:39:05+02:00Juni 29th, 2018|Coding, MySQL, Webwerkzeuge|Kommentare deaktiviert für Die Common Table Expressions in MySQL 8.0
Weiterlesen

Firefox 61 wird schneller und schlauer

Mozillas Browser Firefox soll "noch intelligenter und schneller als alle anderen" werden. Die frisch erschienene Version 61 beschleunigt unter Windows und Linux unter anderem den Tab-Wechsel. Fährt der Nutzer mit der Maus über einen Tab, dann lädt Firefox dessen Inhalt schon einmal vor (Tab Warming). Klickt der Nutzer abschließend auf den Tab, ist die Webseite schon fertig aufgebaut und wird nur noch angezeigt. APIs für verbessertes Tab-Management Firefox 61 bietet den WebExtensions dazu neue APIs an, die ein flexibleres Tab-Management erlauben. Versteckte Tabs lädt der Browser zwar, aber er zeigt sie nicht an. Erweiterungen können so ganze Gruppen von Tabs beispielsweise austauschen. In der Version für macOS laufen WebExtensions ab sofort in einem eigenen CPU-Prozess, so dass Firefox 61 weiter läuft, wenn eine der Erweiterungen abstürzt. Mehrere Suchmaschinen in der Adressleiste Firefox-Nutzer, die nicht nur Google, sondern auch ander Suchmaschinen nutzen, können jetzt ganz einfach weitere Suchmaschinen in die Adressleiste einfügen. Um beispielsweise die Suche der Internet Movie Database (IMDb) hinzuzufügen, muss man nur imdb.com aufrufen, auf die drei Punkte in der Adressleiste ("Page Action Menu") klicken und dann "Suchmaschine hinzufügen" auswählen. Darüber hinaus unterstützt Firefox jetzt auch die neue Transportverschlüsselung TLS 1.3 und das Dark-Theme wurde feinjustiert. Firefox 61 steht ab sofort für Windows, macOS und [...]

2018-06-26T23:59:36+02:00Juni 26th, 2018|Browser, CSS, HTML, Webwerkzeuge|Kommentare deaktiviert für Firefox 61 wird schneller und schlauer
Weiterlesen

Viele Drupal-Websites sind immer noch verwundbar

Man mag es kaum glauben, aber noch immer gibt es über 100.000 auf dem CMS Drupal basierende Websites, die über eine lange bekannte kritische Sicherheitslücke, über die wir auch schon vor über zwei Monaten berichtet haben, angreifbar sind. Sicherheitsupdates gegen die Schwachstelle sind seit über zwei Monaten verfügbar. In diesen Tagen sind Sicherheitsforscher von Bad Pockets Report auf über 115.000 Drupal-Websites gestoßen, die anfällig für Angriffe über die kritische Sicherheitslücke CVE-2018-7600 sind, wie sie in einem Blogeintrag berichten. Die Schwachstelle ist schon seit Ende März bekannt, und zu diesem Zeitpunkt erschienen auch Sicherheitspatches gegen das Problem. Nach eigenen Angaben haben die Sicherheitsforscher eine halbe Million Drupal-Webseiten untersucht, die die Version 7 des Content Management Systems (CMS) nutzen. Davon war noch etwa ein Viertel über CVE-2018-7600 verwundbar. Rund ein Drittel hatten bereits eine abgesicherte Version installiert. Bei 47 Prozent der Websites konnten die Sicherheitsforscher die genutzte Drupal-Version nicht ermitteln. Updates schon seit Ende März verfügbar Erwartungsgemäß kam es nach der Veröffentlichung von Details zur Lücke  zu  ersten Angriffen,was unter anderem eine Webseite von des Computerherstellers Lenovo traf. Die Schwachstelle gibt es sowohl in Drupal 7.x als auch in Drupal 8.x. Die Ausgaben ab 7.58 und 8.5.1 sind schon abgesichert. Wegen der Schwere der Sicherheitslücke bekommen selbst die eigentlich nicht mehr [...]

2018-06-05T18:55:40+02:00Juni 5th, 2018|Allgemein, Coding, Javascript, PHP, Webwerkzeuge|Kommentare deaktiviert für Viele Drupal-Websites sind immer noch verwundbar
Weiterlesen

Gute Bewertung für Microsofts Sicherheitslösung Defender

Stolz informiert Microsoft die Welt in einem Blog-Beitrag über die neuesten Testergebnisse von unabhängigen Sicherheitsexperten in Bezug auf seine in dem Betriebssystem Windows 10 integrierte Sicherheitslösung MS Defender. Nach dem Artikel ist die Sicherheitslösung von Microsoft gegenüber ihren Wettbewerbern durchaus konkurrenzfähig. Der Microsoft-Blogpost im Detail Der Senior Program Manager Zaid Arafeh vom Windows Defender Research gibt in seinem Beitrag weitere Informationen dazu. Erst einmal zeigt sich der Mann verständlicherweise erfreut über die insgesamt guten Ergebnisse der eigenen Sicherheitslösung Windows Defender bei einem Dauertest von AV-Test. Bei der Schutzwirkung erzielte der Defender bei den von Januar bis Februar durchgeführten Tests 6 Punkte – das ist die Höchstpunktzahl. Benutzerfreundlichkeit und Performance In Sachen Benutzerfreundlichkeit, welche sich hauptsächlich auf falsche Einstufungen (false positives) bezieht, weist Arafeh darauf hin, dass von Windows Defender AV falsch klassifizierte Programme im geschäftlichen Kontext nicht besonders häufig genutzt werden. Unter dem Punkt Leistung wurden die Performanceeinbußen durch die laufende AV-Lösung bewertet. Auch dabei schnitt der Defender mit 5,5 von 6 Punkten insgesamt gut ab. Die weitere Entwicklung Bei den inzwischen auch schon veröffentlichten Ergebnissen für den Monat März war die Schutzwirkung wieder ein wenig rückläufig – im Monat April gab es dann aber wieder 100%igen Schutz vor Zero-Day-Malware.

2018-05-31T22:28:16+02:00Mai 31st, 2018|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Gute Bewertung für Microsofts Sicherheitslösung Defender
Weiterlesen

Der neue Google-Browser Chrome 67

In der aktuellen Version 67 seines Webbrowsers schließt Google einige Sicherheitslücken, entfernt einen Sicherheitsmechanismus und fügt im Gegenzug auch einen neuen für weitere Nutzer hinzu. Das Sicherheitsfeature Site Isolation soll zwar In Chrome 67 immer noch nicht standardmäßig, aber doch schon für immer mehr Nutzer aktiviert sein. Den Standard HTTPS Public Key Pinning (HPKP) hat Google jetzt wieder aus Chrome entfernt. In Version 67 haben die Entwickler immerhin 34 Sicherheitslücken geschlossen. Keine davon war aber als kritisch eingestuft und nur neun davon sind mit dem Bedrohungsgrad "hoch" eingestuft. Die Sandbox-Erweiterung Mit der Site Isolation sollen Webseiten effektiv voneinander abgeschottet werden, weil die Seiten jeweils als eigene Prozesse laufen. Dieser Schutz ergänzt die Sandboxen, in denen Chrome die Webseiten öffnet. Durch Site Isolation soll es Angreifern noch schwerer gemacht werden, über eine manipulierte Internetseite Informationen von anderen Seiten abzugreifen. Dieser Ansatz soll vor allem vor den gefürchteten Seitenkanal-Angriffe wie beispielsweise den CPU-Lücken Meltdown und Spectre sowie UXSS-Attacken schützen. Mit der neuen Browserversion Chrome 67 soll das Feature jetzt für noch mehr Nutzer aktiv sein. Wer die Funktion noch nicht hat und sie aktivieren möchte, gibt in die URL-Zeile chrome://flags ein. Danach sucht man dann nach "Strict site isolation" und aktiviert diesen Eintrag. Wenn Chrome dann neu gestartet wurde, ist das neue Sicherheitsfeature aktiv. [...]

2018-05-31T00:26:45+02:00Mai 31st, 2018|Browser, Coding, Webwerkzeuge|Kommentare deaktiviert für Der neue Google-Browser Chrome 67
Weiterlesen

Die neue Domainabfrage der DENIC

Wer in letzter Zeit eine Domain von einem anderen Eigentümer oder Provider übernehmen musste und den Fortschritt anhand der diversen Eintragungen wie beispielsweise „Kontakte“ von Eigentümer und Admin-C über Technik-C und Zonen-C oder anderer Daten der DENIC verfolgen will, steht damit nach dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) der EU inzwischen im Regen. Domaindaten nur noch für den Inhaber Einem mit dem Eigentümer der Domain nicht identischen Abfrage liefert das WHOIS der DENIC nur noch unter „Technische Daten“ die beiden eingetragenen Nameserver, unter „Infos zur Kontaktaufnahme“ nur noch Email-Adressen des zuständigen Providers für generelle Anfragen oder Mißbrauchsmeldungen. Die Inhaberdaten gibt es jetzt unter „Informationen zum Domaininhaber“ nur noch für den Eigentümer, der sich über seine Email-Adresse authentifizieren muss. Alles andere geht über spezielle Formulare Will man sich beispielsweise gegen die Verletzung von Rechten durch diese Domain wehren, muss man dazu ein Formular an die DENIC senden, in dem auch die nötigen Voraussetzungen stehen. Das gleiche gilt auch für zivilrechtliche Pfändungen, auch hier liefert das Formular Zusatzinfos. Bei behördlichen Anfragen geht das genauso. Und wenn es nicht um die Verletzung von Rechten, Pfändungen oder Behördenanfragen geht, gibt die DENIC keine Auskunft mehr, um nicht gegen die DSGVO zu verstoßen.

2018-05-28T19:35:04+02:00Mai 28th, 2018|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Die neue Domainabfrage der DENIC
Weiterlesen
Nach oben