Tag-Archive for » Code «

Coding: WordPress – Email bei Aktualisierung

Wer zusammen mit mehrere Ko-Autoren an einem Blog schreibt, möchte in der Regel gerne immer auf dem aktuellsten Stand der Beiträge sein.

Ein in PHP geschriebener Code-Schnipsel mit der Funktion post_updated_email() aus dem Netz kann bei diesem Problem gut weiter helfen:


function post_updated_email( $post_id ) {
global $current_user;
get_currentuserinfo();


// Ist es nur eine Revision, dann keine Email senden
if ( wp_is_post_revision( $post_id ) )
return;
$post_title = strip_tags(get_the_title( $post_id ));
$post_url = get_permalink( $post_id );
$subject = '[UPDATE] ' . $post_title ;
$message = __('Update by ', 'domain') . $current_user->display_name . ' ('.date('c', current_time( 'timestamp', 0 )).')' . "\n\n";
$message .= $post_title . ": " . $post_url;
$message .= "\n\n" . __('Update in Post.', 'domain');
$headers = 'From: '.get_bloginfo('name').' <' . get_bloginfo('admin_email') . '>' . "\r\n";


// Email an den Admin
wp_mail( get_bloginfo('admin_email'), $subject, $message, $headers );
}
add_action( 'save_post', 'post_updated_email' );

Der Code-Schnipsel sendet dem Admin eine Email, wenn einer der Beiträge aktualisiert wurde. Den Code kann man natürlich auch durch Modifikation an die eigenen Bedürfnisse anpassen. Die kurze Funktion kann man am besten in der Funktionssammlung functions.php eines Themes von WordPress unterbringen.
Man sollte dabei aber auch bedenken, dass die kleine Hilfsroutine bei zu vielen Änderungen in kurzer Zeit auch einen kleinen Stau im Postfach des Admin auslösen könnte…

Chrome blockiert Code von Drittanbietern

Zwei von drei Chrome-Nutzern verwenden unter Windows Software, die mit dem Browser interagiert und sich dabei in dessen Prozesse einklinkt, hat Google festgestellt.

Als bestes Beispiel dafür nennt der Chrome-Hersteller Virenschutzprogramme, die ihren Code direkt in den Chrome-Browser „injizieren“, um die Nutzer dadurch besser vor Malware zu schützen.

Allerdings verschärfen genau solche Verfahren ein Problem verschärft: Durch den injizierten Fremdcode steigt nämlich die Absturzrate des „Wirts-Browsers“ Chrome um satte 15 Prozent, schreibt Chris Hamilton vom Chrome-Stabilitätsteam. In Zukunft sieht er Chrome-Erweiterungen und das Native-Messaging-API als modernere und absturzsicherere Alternativen zur Code-Injektion.

Dreistufige Absturzvermeidung

Um die hohe Absturzrate des aktuellen Platzhirschen unter den Browsern auf dem Markt merklich zu senken, will Chrome ab Juli 2018 Drittanbieter daran hindern, ihren Code in den Chrome-Browser unter Windows zu einzufügen.

Der Plan ist dreistufig: Ab April zeigt Chrome 66 nach einem solchen Absturz nur einen Warnhinweis an, der dem Nutzer erläutert, dass der Code eines Drittanbieters Ursaches des Crashs war. Außerdem empfiehlt der Browser dann, die betroffene Software upüzudaten– oder aber zu deinstallieren.

Ab Juli wird es dann wirklich ernst, denn ab dann hindert Chrome 68 die Programme Dritter daran, Code in einen Chrome-Prozess zu injizieren. Falls diese Blockierung dann aber den Start des Browsers verhindern sollte, wird Chrome das Einschleusen des Codes dann doch noch erlauben.

Auch in diesem Fall bekommt der Nutzer wieder einen Warnhinweis. In der dritten Stufe wird Chrome 72 ab Januar 2019 dann solchen externen Code komplett blockieren. Es soll dabei jedoch einige Ausnahmen geben. Dazu gehören beispielsweise von Microsoft-signierter Code, Software für barrierefreies Arbeiten und Eingabeprogramme (IME), die davon nicht betroffen sind.

Chat-Widget mit Nebentätigkeit

Viele Unternehmen setzen zum Online-Kundensupport Chat-Widgets ein, über die sie den Kontakt mit ihren Kunden auf der Webseite pflegen können. Das bekannte Tool Live Help Now ist nun bei einer ungenehmigten Nebentätigkeit erwischt worden:

In das Programm war das Krypto-Mining-Script Coinhive integriert, das im Betrieb die Leistung der beteiligten Rechner missbrauchte um darauf Kryptogeld zu schürfen. Dieses Chat-Tool wird von etwa 1.500 Websites benutzt. Sollten Sie als Webworker das Widget ebenfalls benutzt haben, wäre eine Prüfung der entsprechenden Internetpräsenzen dringend anzuraten.

Es ist noch nicht ganz klar, ob die Entwickler des Dienstes das Skript vielleicht vorsätzlich eingebaut haben oder ob sie selbst Opfer eines Angriffes von Dritten geworden sind. Sie waren wegen Thanksgiving (Feiertag) und Black Friday in den USA nicht auf Anhieb zu erreichen.

Nach vorliegenden Screenshots steigt die CPU-Auslastung nach Einbau des Skriptes mit  dem Mining-Code stark an. Die ca. 1.500 Webseiten, die das Widget aktuell nutzen, trugen damit unwissentlich zu einer deutlich höheren Leistungsaufnahme der PCs ihrer Kunden bei.

Bei einem aktuellen Test vor 2 Tagen konnte Golem den Coinhive-Code in dem Widget nicht mehr feststellen.

Browser-Updates für Firefox, Firefox ESR und Tor

In Firefox, Firefox ESR (Extended Support Release) sowie dem auf ESR basierenden Tor Browser finden sich mehrere Sicherheitslücken, die Angreifern unter bestimmten Umständen das Ausspähen von Informationen, Cross-Site-Scripting-Angriffe und sogar das Ausführen beliebigen Codes mit den Rechten des Browsers möglich machen.

Nach aktuellen Sicherheitshinweisen von Mozilla sind alle Vorgänger-Versionen des Browsers Firefox 57 aka Quantum und Firefox ESR vor dem aktuellen Release 52.5 betroffen. Die Versionen vor 7.0.10 des anonymisierenden Tor Browsers sind such verwundbar, weil der Tor-Browser auf Firefox ESR aufsetzt.

Unter den insgesamt 15 in Firefox geschlossenen Sicherheitslücken bewerten die Entwickler drei als “kritisch” und eine als “hoch”. Weitere elf Lücken ordnen sie als “niedrig” bis “mittel” ein. Das Notfallteam des BSI CERT Bund sieht das aber durchaus etwas anders: Es stufte das von den Sicherheitslücken ausgehende Risiko durchgängig als “sehr hoch” ein.

Benutzer sollten in jedem Fall zügig updaten: Die abgesicherten Versionen des im Zuge des Projekts Quantum rundum überarbeiteten und nun deutlich schnelleren und ressourcenschonenderen Firefox 57 und von ESR 52.5 stehen zum Download bereit. Das gilt auch für den auf ESR 52.5 basierenden Tor Browser 7.0.10.

Vivaldi 1.10 dockt Entwickler-Tools an

Neben neuen Möglichkeiten zur Gestaltung der Startseite kommt die neue Version des Browsers Vivaldi 1.10 mit einem besonders für Entwickler und Seitenersteller interessanten Feature daher.

Entwicklungswerkzeuge andockbar

Ab diesem Release kann Vivaldi die beliebten Entwickler-Tools nicht nur wie bisher in einem separaten Fenster aufrufen. Jetzt können die Tools neben oder unter der angezeigten Internetseite andocken, um zum Beispiel Elemente zu inspizieren oder Code zu testen und debuggen.

Neue und verbesserte Funktionen

Außer der Startseite und der Andockbarkeit der Entwicklerwerkzeuge wurden folgende Funktionen neu aufgenommen oder verbessert:

  • Sortierfunktion für Downloads
  • Bilder sichtbar/unsichtbar schalten
  • Schnelle Tastaturbefehle
  • Adressleise überarbeitet
  • Neue Tabs auch für Drittanbieter

Microsoft gibt Visual Studio Test frei

Microsoft hat jetzt die zentrale Unit-Test-Komponente Visual Studio Test Platform (VS Test) als Open-Source-Software freigegeben. Wie schon bei vielen anderen Software-Entwicklungsprojekten findet sich der Quellcode auf der Hosting-Plattform GitHub. Für VS Test nutzt Microsoft die MIT-Lizenz.

Mit der neuen, in Microsofts Entwicklungsumgebung Visual Studio integrierten Testplattform kann man Unit-Tests für Programmiersprachen wie C#, C++, JavaScript und Python laufen lassen, darüber hinaus Testdaten sammeln und Testberichte dazu ausgeben. Außerdem gibt es Erweiterungen für andere wichtige Testframeworks wie beispielsweise NUnit, xUnit, Google Tests, Jasmine und Karma, Code Coverage und Test-Impact-Analysen.

Das obige Diagramm zeigt, dass jetzt auch die zentralen Komponenten Cross-Platform-Runner und Host-Prozess zum Erkennen, Laden und Ausführen der Tests Open Source geworden sind. Ganz links stehen Visual Studio und Visual Studio Code als die wichtigsten Clients, aber die Tests kann man auch von der Befehlszeile aus durchführen.

Neue Testadapter hat Microsoft leider nicht quelloffen zur Verfügung gestellt. aber die überwiegende Mehrzahl dieser Adapter stamme sowieso nicht von Microsoft, meint dazu Brian Harry, Microsoft Corporate Vice President, in seiner Ankündigung zur Open-Source-Legung.

Der wichtigste Adapter von Microsoft selbst, MSTestV2, soll aber auch schon bald Open-Source-Software werden. Weiterführende Informationen zu Microsofts Strategie für VS Test können Sie in einem Dokument zur Roadmap nachlesen.

Angriff auf Tor-Nutzer mit Javascript

torBenutzer des Tor-Browsers werden aktuell aktiv über eine Zero-Day-Lücke angegriffen, die letztlich einen Fehler im Speichermanagement des zugrundeliegenden  Firefox-Browsers ausnutzt.

Eventuell sind auch Nutzer des Firefox-Browsers ohne Tor-Bundle betroffen. Die Sicherheitslücke soll es Angreifern erlauben, ihren Code auf dem Rechner der Tor-Nutzer auszuführen. Der vermutlich verwendete Schadcode wurde schon auf einer Tor-Mailingliste gepostet. Browser-Hersteller Mozilla arbeitet noch an einem Patch, um die Sicherheitslücke zu schließen.

Sicherheitsforscher weisen darauf hin, dass der verwendete Angriff einer Attacke aus dem Jahr 2013 sehr ähnlich ist. So schreibt Twitter-Nutzer @TheWack0lian“Es ist eigentlich fast exakt der gleiche Payload wie er im Jahr 2013 benutzt wurde.”

Damals hatte die Bundespolizei der USA, das FBI, einen Server, der mutmaßlich an der Verbreitung von Missbrauchsdarstellungen an Kindern beteiligt war, mit diesem Exploit infiziert, um einzelne Tor-Nutzer zu enttarnen.

Sicherheitstest für Internetseiten von Mozilla

ObservatoryUnter der Bezeichnung Observatory bietet die Mozilla Foundation, der Hersteller des Browsers Firefox, einen Sicherheits-Check für beliebige Websites an.

Nach der Eingabe der Domainadresse und einiger Optionen bekommt man in wenigen Sekunden die sicherheitsrelevanten Konfigurationsdaten der Site angezeigt.

Zu den auf korrekte Implementierung untersuchten Verfahren gehören fast alle, die als Reaktion auf bekannt gewordene Sicherheitsprobleme implementiert wurden – von Content Security Policy über Cross-origin Resource Sharing und HTTP Public Key Pinning bis zu HTTP Strict Transport Security und X-XSS-Protection. Nicht geprüft wird dabei auf Probleme im Code wie beispielsweise auf SQL-Injection-Anfälligkeit.

In den Dienst fließen nach Angaben von Mozilla Erfahrungen ein, die man beim Firefox-Hersteller bei der Untersuchung von Millionen von Internetseiten gemacht hat, wobei oft erschreckende Lücken aufgedeckt worden seien – nicht nur bei fremden Internetseiten, sondern auch im eigenen Haus, beispielsweise bei addons.mozilla.org.

Wer für die Pflege oder die Sicherheit einer Internetseite verantwortlich ist, sollte das Tool durchaus einmal laufen lassen – es könnte Sicherheitslücken aufdecken, bevor das böswillige Kriminelle tun…

Neues in Google Go 1.7

Google hat gerade die Version 1.7 seiner Programmiersprache Go freigegebenGo ist eine von Google gepushte Sprache, die der Konzern erstmals 2009 vorstellte. Seinerzeit platzierte Google Go als Alternative zur Sprache C.

2015 befreite sich das Projekt dann allerdings von letzten C-Überbleibseln in seinem eigenen Code. Zu den bekannteren Systemen, die in Go geschrieben wurden, gehören beispielsweise die MongoDB-Tools und Docker. Go kommt auch bei Google selbst zum Einsatz, aber auch zum Beispiel bei SoundCloud. Das vorherige Release Go 1.6 erschien im Februar .

Das neue Release Go 1.7 hat jetzt unter anderem einen neuen Port für IBMs Mainframe System z (s390x) und wurde auf Compilerebene stark überarbeitet. Es gibt nun auch ein neues, kompakteres Format für den Export von Daten. Außerdem ist von Beschleunigungen bei der Garbage Collection und von Änderungen beim Erzeugen von Metadaten und Stack Frame Pointers für Profiling-Werkzeuge wie perf unter Linux oder VTune von Intel die Rede.

Auch die Standardbibliotheken wurden deutlich überarbeitet. Es gibt auch eine kleine Änderung bei der Sprachdefinition: An die Stelle des bisherigen, nicht präzise definierten “Final Statements” tritt jetzt das “Terminating Statement“. Es ist formal so definiert, wie es dem Verhalten der gc– und gccgo-Compiler entspricht.

Beta von Googles Android Studio 2.0 veröffentlicht

AndroidAppsBauenBei Google gibt es jetzt die erste Beta seiner runderneuerten Entwicklungsumgebung Android Studio 2.0. Die aktuelle Version ist schon die Beta 2, weil es einige Probleme mit der ersten Testversion gab.

AndroidStudio2EmulatorNeu in Version 2.0 von Android Studio sind unter anderem die höhere Arbeitsgeschwindigkeit beim Kompilieren von Apps und beim Ausliefern von Paketen über die ADB-Schnittstelle zum neuen, auch deutlich verbesserten Emulator.

Der Emulator wurde in der Beta im Vergleich zur Vorschau aus dem Dezember weiter ausgebaut. Instant Run macht Code-Anpassungen deutlich schneller: Mit der neuen Funktion Cold Swap kann die App jetzt mit einem Klick im Emulator neu gestartet werden, wenn Änderungen am Code gemacht wurden. Die Steuerung der Ausrichtung wurde auch repariert. Die Multi-Touch-Unterstützung ermöglichlaubt es jetzt, solche Zoomgesten zu simulieren.

Sie erhalten die Beta 2 über den Canary-Channel in Android Studio und auf der Projektseite.