Missbrauch von TLS 1.2-Client-Zertifikaten

Die Kombination von Client-Zertifikaten mit TLS 1.2 ist recht gefährlich, warnte ein Team von Forschern der TU München im Rahmen des Treffens der Internet Engineering Task Force (IETF) in dieser Woche in Montreal. Weil diese Zertifkate bei TLS 1.2 völlig unverschlüsselt übertragen werden, gestatteten sie bis Anfang letzten Jahres zum Beispiel das Tracking von Millionen von Apple-Push-Benutzern Bei umfangreichen Scans zur Umsetzung von Sicherheitsfeatures stießen Quirin Scheitle und seine Kollegen an der TU München auch auf das Problem mit TLS 1.2 (PDF). Anders als bei dessen Nachfolger TLS 1.3 werden dabei die zur Authentifizierung genutzten Zertifikate in TLS 1.2 beim Verbindungsaufbau ganz offen ausgetauscht. Spezialisten empfehlen deshalb, dass man die Kombination von TLS 1.2 und Client Zertifikaten man auf jeden Fall vermeiden sollte. Am besten sei es natürlich, auf das immer noch nicht perfekte, aber deutlich sicherere Nachfolgeprotokoll TLS 1.3 umzusteigen.

2018-07-21T00:08:15+02:00Juli 21st, 2018|Allgemein, Coding|Kommentare deaktiviert für Missbrauch von TLS 1.2-Client-Zertifikaten
Weiterlesen

Viele Drupal-Websites sind immer noch verwundbar

Man mag es kaum glauben, aber noch immer gibt es über 100.000 auf dem CMS Drupal basierende Websites, die über eine lange bekannte kritische Sicherheitslücke, über die wir auch schon vor über zwei Monaten berichtet haben, angreifbar sind. Sicherheitsupdates gegen die Schwachstelle sind seit über zwei Monaten verfügbar. In diesen Tagen sind Sicherheitsforscher von Bad Pockets Report auf über 115.000 Drupal-Websites gestoßen, die anfällig für Angriffe über die kritische Sicherheitslücke CVE-2018-7600 sind, wie sie in einem Blogeintrag berichten. Die Schwachstelle ist schon seit Ende März bekannt, und zu diesem Zeitpunkt erschienen auch Sicherheitspatches gegen das Problem. Nach eigenen Angaben haben die Sicherheitsforscher eine halbe Million Drupal-Webseiten untersucht, die die Version 7 des Content Management Systems (CMS) nutzen. Davon war noch etwa ein Viertel über CVE-2018-7600 verwundbar. Rund ein Drittel hatten bereits eine abgesicherte Version installiert. Bei 47 Prozent der Websites konnten die Sicherheitsforscher die genutzte Drupal-Version nicht ermitteln. Updates schon seit Ende März verfügbar Erwartungsgemäß kam es nach der Veröffentlichung von Details zur Lücke  zu  ersten Angriffen,was unter anderem eine Webseite von des Computerherstellers Lenovo traf. Die Schwachstelle gibt es sowohl in Drupal 7.x als auch in Drupal 8.x. Die Ausgaben ab 7.58 und 8.5.1 sind schon abgesichert. Wegen der Schwere der Sicherheitslücke bekommen selbst die eigentlich nicht mehr [...]

2018-06-05T18:55:40+02:00Juni 5th, 2018|Allgemein, Coding, Javascript, PHP, Webwerkzeuge|Kommentare deaktiviert für Viele Drupal-Websites sind immer noch verwundbar
Weiterlesen

Gute Bewertung für Microsofts Sicherheitslösung Defender

Stolz informiert Microsoft die Welt in einem Blog-Beitrag über die neuesten Testergebnisse von unabhängigen Sicherheitsexperten in Bezug auf seine in dem Betriebssystem Windows 10 integrierte Sicherheitslösung MS Defender. Nach dem Artikel ist die Sicherheitslösung von Microsoft gegenüber ihren Wettbewerbern durchaus konkurrenzfähig. Der Microsoft-Blogpost im Detail Der Senior Program Manager Zaid Arafeh vom Windows Defender Research gibt in seinem Beitrag weitere Informationen dazu. Erst einmal zeigt sich der Mann verständlicherweise erfreut über die insgesamt guten Ergebnisse der eigenen Sicherheitslösung Windows Defender bei einem Dauertest von AV-Test. Bei der Schutzwirkung erzielte der Defender bei den von Januar bis Februar durchgeführten Tests 6 Punkte – das ist die Höchstpunktzahl. Benutzerfreundlichkeit und Performance In Sachen Benutzerfreundlichkeit, welche sich hauptsächlich auf falsche Einstufungen (false positives) bezieht, weist Arafeh darauf hin, dass von Windows Defender AV falsch klassifizierte Programme im geschäftlichen Kontext nicht besonders häufig genutzt werden. Unter dem Punkt Leistung wurden die Performanceeinbußen durch die laufende AV-Lösung bewertet. Auch dabei schnitt der Defender mit 5,5 von 6 Punkten insgesamt gut ab. Die weitere Entwicklung Bei den inzwischen auch schon veröffentlichten Ergebnissen für den Monat März war die Schutzwirkung wieder ein wenig rückläufig – im Monat April gab es dann aber wieder 100%igen Schutz vor Zero-Day-Malware.

2018-05-31T22:28:16+02:00Mai 31st, 2018|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Gute Bewertung für Microsofts Sicherheitslösung Defender
Weiterlesen

Die neue Domainabfrage der DENIC

Wer in letzter Zeit eine Domain von einem anderen Eigentümer oder Provider übernehmen musste und den Fortschritt anhand der diversen Eintragungen wie beispielsweise „Kontakte“ von Eigentümer und Admin-C über Technik-C und Zonen-C oder anderer Daten der DENIC verfolgen will, steht damit nach dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) der EU inzwischen im Regen. Domaindaten nur noch für den Inhaber Einem mit dem Eigentümer der Domain nicht identischen Abfrage liefert das WHOIS der DENIC nur noch unter „Technische Daten“ die beiden eingetragenen Nameserver, unter „Infos zur Kontaktaufnahme“ nur noch Email-Adressen des zuständigen Providers für generelle Anfragen oder Mißbrauchsmeldungen. Die Inhaberdaten gibt es jetzt unter „Informationen zum Domaininhaber“ nur noch für den Eigentümer, der sich über seine Email-Adresse authentifizieren muss. Alles andere geht über spezielle Formulare Will man sich beispielsweise gegen die Verletzung von Rechten durch diese Domain wehren, muss man dazu ein Formular an die DENIC senden, in dem auch die nötigen Voraussetzungen stehen. Das gleiche gilt auch für zivilrechtliche Pfändungen, auch hier liefert das Formular Zusatzinfos. Bei behördlichen Anfragen geht das genauso. Und wenn es nicht um die Verletzung von Rechten, Pfändungen oder Behördenanfragen geht, gibt die DENIC keine Auskunft mehr, um nicht gegen die DSGVO zu verstoßen.

2018-05-28T19:35:04+02:00Mai 28th, 2018|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Die neue Domainabfrage der DENIC
Weiterlesen

Efail: FH Münster entzaubert PGP und S-MIME

Die Fachhochschule Münster hat sich die Standards und die konkreten Umsetzungen der Email-Verschlüsselung mit PGP und S/MIME genauer angeschaut und ist zu einem vernichtenden Urteil gekommen: S/MIME und OpenPGP können die Sicherheit von verschlüsselt versandten Nachrichten nicht ausreichend sicherstellen. Angreifer, welche die verschlüsselt verschickten Emails abfangen und manipulieren können, können sich auch Zugang zu Teilen des Klartexts der Nachricht verschaffen, warnen die Experten rund um Sebastian Schinzel von der FH Münster. Von dem "Efail" genannten Problem sind praktisch alle Programme betroffen, die Email-Verschlüsselung umsetzen – von Microsofts Outlook und Windows Mail bis hin zu Mozillas Thunderbird und Apple Mail. Besonders gefährlich ist das bei dem vor allem im Firmenumfeld eingesetzten S/MIME, wobei die Münsteraner Forscher letztlich diesen Standard als „unrettbar kaputt“ erklären. Aber auch das aus der Graswurzelbewegung kommende PGP weist gravierende Probleme auf, die sich für ganz konkrete Angriffen ausnutzen lassen. Hier besteht jedoch die Hoffnung, dass die Probleme durch Updates der Hersteller von OpenPGP-Erweiterungen wie beispielsweise Enigmail mittelfristig entschärft werden können. Nur vorbeugende Maßnahmen helfen ein wenig Um sich gegen Efail zu schützen, kann man in der aktuellen Situation im Grunde nur auf den Versand sehr brisanter Informationen per Email verzichten. Aber vorbeugende Maßnahmen wie z.B. das Deaktivieren der Anzeige von HTML und des [...]

2018-05-15T17:06:05+02:00Mai 15th, 2018|Allgemein, Coding, Webwerkzeuge|Kommentare deaktiviert für Efail: FH Münster entzaubert PGP und S-MIME
Weiterlesen

Die freie Bildbearbeitung Gimp 2.1 ist fertig

Sechs Jahre hat es gebraucht, bis die Entwickler der freien Bildverarbeitungssoftware GNU Image Manipulation Program, kurz Gimp, mit der neuen Version 2.10 ein neues Major Update fertiggestellt haben. Gimp 2.1 steht als Download für Linux und Windows schon zur Verfügung, eine Version für Apples macOS soll später noch folgen. Neben  der Portierung des Programms auf eine neue Bildverarbeitungs-Engine, GEGL, bietet die neue Version auch viele neue Funktionen. Dazu gehören neue und verbesserte Tools, bessere Unterstützung von Dateiformaten, diverse Verbesserungen der Benutzerfreundlichkeit, überarbeitete Farbmanagement-Unterstützung, jede Menge Verbesserungen für digitale Maler und Fotografen und vieles mehr. Eine Auflistung aller neuen Features haben die Entwickler in einem Blogbeitrag zusammengefasst. Die Neuerungen von Gimp 2.1 Hauptziel der Entwickler für Version 2.1 war sicher die Komplettierung der Umstellung von Gimp auf die GEGL-Bildverarbeitungsbibliothek. Nach der schrittweisen Einführung in den vorausgangenen Versionen benutzt Gimp 2.1 GEGL jetzt für das gesamte Kachelmanagement. Die Unterstützung für hohe Bittiefen ermöglicht die Verarbeitung von Bildern mit einer Genauigkeit von bis zu 32 Bit pro Farbkanal und auch das Öffnen bzw. Exportieren von PSD-, TIFF-, PNG-, EXR- und RGBE-Dateien in ihrer originalen Farbtreue. Außerdem können FITS-Bilder mit einer Genauigkeit von bis zu 64 Bit pro Kanal geöffnet werden. Gimp 2.1 nutzt auch die Ressourcen von modernen Prozessoren durch die Unterstützung [...]

2018-05-05T12:36:10+02:00April 30th, 2018|Allgemein, Bildbearbeitung, Webwerkzeuge|Kommentare deaktiviert für Die freie Bildbearbeitung Gimp 2.1 ist fertig
Weiterlesen

Das neue Chrome-Design wird runder

Mit deutlich weniger Ecken und Kanten kommt das neue Design des Google-Browsers Chrome in Zukunft daher. Einen ersten Eindruck von den kommenden Änderungen gewinnt man nun schon bei der Canary-Entwicklerversion des Browsers. Zuerst fallen vor allem die auffällig abgerundeten Browser-Tabs und die abgerundete "Omnibar"-Adressleiste ins Auge. Auch das Nutzer-Icon rutscht jetzt neben die Omnibar. und die bisherige Schaltfläche für neue Tabs hat sich in einem Plus-Symbol verwandelt. Ein erster Blick auf das neue Design Wer schon mal einen Blick auf das neue Chrome-Design werfen möchte, muss man die aktuelle Canary-Version 68 installieren und unter chrome://flags#top-chrome-md das UI-Layout "Refresh" einstellen. Nach einem notwendigen Neustart kann man dann die runden Tabs sehen. Dabei handelt es sich um einen frühen Status, und in den nächsten Wochen sind noch weitere Änderungen zu erwarten, bevor das neue Design dann auch irgendwann in der stabilen Version von Googles Browser zu sehen sein wird. Laut 9to5Google folgt das neue Chrome-Design dem "Material Design Refresh" (MdRefresh), das man auch als "Material Design 2" (MD2) kennt, Mehr Details zu diesem überarbeiteten Material Design könnte es auf der Entwicklerkonferenz Google I/O 2018 geben, die am 8. Mai startet. Auf der I/O 2014 hatte Google ja seine Designrichtlinien zum ersten Mal vorgestellt.

2018-04-25T07:11:18+02:00April 25th, 2018|Allgemein, Browser, Webwerkzeuge|Kommentare deaktiviert für Das neue Chrome-Design wird runder
Weiterlesen

Wo bleiben die Besucher von Facebook?

Wenn Sie sich in den letzten Tagen gefragt haben, ob über Facebook weniger Besucher als früher auf Ihrer Internetseite aufschlagen, dürften Sie wohl auf die ersten deutlichen Auswirkungen des Datenskandals beim Gesichterbuch gestoßen sein. Facebook verliert merklich an Reichweite Denn die von Facebook stammenden Benutzerdaten, mit deren Hilfe nicht nur der Pussy-Grabscher Donald Trump Präsident der USA geworden und die Brexitentscheidung in Großbritannien herbeigeführt worden sein sollen, haben zunächst zu einem deutlichen Gesichtsverlust beim Facebook geführt. Das heißt aber nicht nur, dass eine große Zahl von Usern ihre Facebook-Konten geschlossen haben, sondern auch, dass das „Gesichterbuch“ sein Renomée und seine Attraktivität als Werbepartner mehr und mehr verliert. „Ich spüre, dass ein gewisser Verdruss in der Werbewirtschaft entsteht, die ersten Unternehmen wenden sich ab“, sagte dazu die Chefin des Medien-Unternehmens Gruner + Jahr, Julia Jäkel, der Süddeutschen Zeitung – und weiter: „Jetzt stellen die ersten Werbekunden fest: Es gibt kaum Kontrolle, in welchem Kontext die Anzeigen erscheinen, das Werbeerlebnis ist flüchtig“. Änderungen am Algorithmus reduzieren die Besucherzahl zusätzlich Auch dort würden nach den jüngsten Algorithmus-Änderungen als Reaktion auf den massiven Datenmissbrauch bei Facebook  jetzt deutlich weniger Besucher über Facebook auf die beworbenen Internetseiten weitergeleitet.

2018-04-17T05:57:16+02:00April 17th, 2018|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Wo bleiben die Besucher von Facebook?
Weiterlesen

Das Comeback des Windows-Dateimanagers

Vor Windows 95 war das Fenster zum Dateisystem von Windows das Programm "Dateimanager". Der Microsoft-Mitarbeiter Craig Wittenberg hat den Datei-Manager von Windows NT 4 seit dem Jahr 2007 durchgehend gepflegt und an alle neuen Versionen des Betriebssystems und der Entwicklungsumgebung Visual Studio angepasst. Das Resultat wurde jetzt unter einer MIT-Lizenz als Open Source veröffentlicht. Original plus oder Current master Die GitHub-Seite des Windows File Manager zeigt zwei Entwicklungszweige des Tools: Die mit "original_plus" markierten Dateien gehören zum weitgehend in seinem Originalzustand gehaltenen Datei-Manager, nur an aktuelle Windows-Versionen und Compiler angepasst. Mit "current master" merkierte Dateien weisen darüber hinaus einige Ergänzungen und Verbesserungen Wittenbergs auf, beispielsweise zusätzliche Kontextmenüs und eine erweiterte Dateisuche. Alle Programmierer sind eingeladen, bei der weiteren Entwicklung des Projektes mit eigenen Ideen und Vorschlägen zu helfen. Der Weg zum installierbaren Programm Auf GitHub wird keine lauffähige Version als ausführbare Datei zum Download angeboten, und wer ein wenig nostalgieren oder das Programm einfach mal unter den Fingern erleben will, muss deshalb den Quelltext selbst übersetzen. Eine .EXE-Datei der 32-Bit-Version des Datei-Managers hat Heise als Binary zum Download im Angebot.

2018-04-09T17:20:05+02:00April 9th, 2018|Allgemein, test|Kommentare deaktiviert für Das Comeback des Windows-Dateimanagers
Weiterlesen

Apps Blue Mail und Type App stehlen Email-Passwörter

Nach einem Bericht von Golem leiten die beiden Email-Clients für das Betriebssystem Android die Passwörter für die Anmeldung beim Email-Postfach einfach an die Anbieter der beiden Apps weiter, fand der Sicherheitsexperte Mike Kuketz heraus. E.T. Phone Home Er testete Email-Apps für das Online-Magazin Mobilsicher, als er auf das gravierende Sicherheitsproblem stieß: Beim Einrichten beider Apps übertragen die beiden Email-Clients die Emailadresse zusammen mit dem dazugehörigen Passwort im Klartext an den Anbieter. Das Recht zum Einsacken der Anmeldedaten gewähren sich die Anbieter der App Blue Mail selbst in der dazugehörigen "Datenschutzerklärung", die in der Praxis erfahrungsgemäß kaum jemand liest. Blue Mail liest sogar alle Emailadressen aus Dabei liest zumindest Blue Mail auch noch weitere Daten aus. So landen beispielsweise alle Emailadressen des Postfachs auch beim den Anbietern der App. Kuketz nimmt an, dass beide Apps vom selben Hersteller stammen, was sich aber kaum zweifelsfrei klären lässt. Beide Email-Clients haben im Play Store relativ viele positive Bewertungen und kommen auf 5-10 Millionen (Blue Mail) bzw. 1-5 Millionen (Type App) Installationen. Wer eines der Programme nutzt, ist sicher gut beraten, die App zu löschen und sein eigenes Email-Konto mit einem neuen Passwort zu versehen…

2018-03-06T19:36:49+02:00März 6th, 2018|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Apps Blue Mail und Type App stehlen Email-Passwörter
Weiterlesen
Nach oben