MD5-Passwörter mit PHP erzeugen

Noch immer findet man sehr einfache Schutzmechanismen, die mit Klartext-Passwörtern arbeiten, welche im Quellcode der entsprechenden Routinen abgespeichert sind. Jeder, der Zugriff auf diese Routinen hat, kann solche Passwörter problemlos auslesen und dann missbrauchen. Die Sicherheit bei der Speicherung solcher Passwörter lässt sich mit einem MD5-Hash zwar nicht perfektionieren, aber doch recht deutlich verbessern. Und das lässt sich auch schon recht einfach mit PHP-Bordmitteln realisieren: <?PHP //Eine Zufallszahl zwischen 1000 und 9999 erzeugen $zzahl = mt_rand(1000, 9999); // MD5-Hash aus Zufallszahl und aktueller Zeit bilden $zahlzeit = md5($zzahl.microtime()); $passwort = substr($zahlzeit, "0" ,"8");  //Die Zahl 8 definiert dabei die Länge des Passworts echo $passwort;?> Dieser Codeschnipsel erzeugt ein 8-stelliges (maximal 32-stelliges) Passwort aus Buchstaben und Zahlen. Man muss hier darauf hinweisen, dass sich nicht alle Anforderungen an ein sicheres Passwort mit MD5 erfüllen lassen. Es ist zum Beispiel lange bekannt, dass voneinander verschiedene Zeichenfolgen durchaus denselben Hashwert liefern könnten. Ein MD5-Hash ist aber schon deutlich sicherer als die Speicherung eines Passwortes innerhalb der Routine im Klartext!

2020-10-05T09:28:50+02:00Oktober 5th, 2020|Allgemein, PHP, Sicherheit|Kommentare deaktiviert für MD5-Passwörter mit PHP erzeugen

Weiterleitungen mit PHP

Beim Erstellen von Internetseiten mit der beliebten Scriptsprache PHP kommt es gelegentlich vor, dass man eine Weiterleitung (Redirect) auf eine andere Internetseite benötigt. Der Standard-Code für für die Implementierung eines Redirects aus einer PHP-Datei kann relativ einfach erzeugt werden: header("Location: http://www.domain.de/neue-seite.php", true, 301); exit(); Der Code „301“ steht dabei für einen permanenten Redirect, für einen temporären gibt es den Code „302“. Dabei gibt es zwar keine Unterschiede beim Aufruf, sehr wohl aber bei der Beurteilung durch die Suchmaschinen und damit auch in der Position bei den Ergebnislisten einer Suche. Bei solchen Weiterleitungen sollte man beachten, dass es Probleme geben kann, wenn man versucht, diese Weiterleitung aus einer HTML-Datei heraus durchzuführen. In solchen Fällen muss die Extension (.html oder .htm) in der Datei .htaccess or httpd.conf erst bekannt gemacht werden, was man mit folgender Codezeile in diesen Dateien erreichen kann: Addtype application/x-httpd-php .htm .html

2020-09-17T09:48:08+02:00September 17th, 2020|Coding, HTML, PHP|Kommentare deaktiviert für Weiterleitungen mit PHP

Android Studio 3.6 ist da!

Soeben hat Google  die neue Version 3.6 seiner Entwicklungsumgebung Android Studio vorgestellt. Die Finalversion von Android Studio 3.6 soll es Android-Programmierern noch einfacher machen, Apps für das Mobilbetriebssystem zu erstellen. Google hat den Fokus bei Android Studio 3.6 auf die verbesserte Eingabe von Code und die Optimierung der Fehlersuche gelegt. Dadurch sollen Android-Entwickler ihre Apps auch komfortabler als bisher erstellen können. Beispielsweise bietet Android Studio 3.6 in den Design-Editoren jetzt auch einen Split-Screen-Modus. Sowohl im Layout Editor als auch im Navigation Editor können sich Programmierer den Code und die Designvorschau dadurch parallel ansehen. Im Emulator der Entwicklungsumgebung braucht man bei Android Studio 3.6 keine GPS-Koordinaten mehr eingeben, wenn man seine App bezüglich der Lokalisierungsoptionen testen möchte. Orte können jetzt direkt und auch deutlich einfacher über Google Maps ausgewählt werden. Apps können auf Falt-Smartphones emuliert werden Mit dem neuen Emulator hat man auch die Möglichkeit, seine Apps auf virtuellen Geräten mit mehr als einem Display zu testen. Es gibt ja schon von Herstellern wie Huawei, Motorola und Samsung Smartphones mit faltbaren Bildschirmen, die  je nachdem, wie sie geklappt sind, verschiedene Displayformate oder alternativ parallel nutzbare Bildschirmbereiche haben. Um Entwicklern die Möglichkeit zu geben, auch ohne derartige kostspielige Geräte ihre App testen zu können, gestattet das neue Android [...]

2020-02-26T00:07:28+02:00Februar 26th, 2020|Allgemein, Coding, Webwerkzeuge|Kommentare deaktiviert für Android Studio 3.6 ist da!

Script lässt Mozillas Browser Firefox abstürzen

Über ein einfaches Script konnte Sicherheitsforscher Sabri Haddouche nicht nur den Mozilla-Browser Firefox, sondern unter Umständen sogar das gesamte System kommentarlos abstürzen zu lassen. Betroffen sind die Versionen Firefox 62.0.2 und früher für Windows, macOS und Linux, aber nicht die Mobilversion für Googles Android. Unter macOS und Linux führt der Besuch einer mit dem auslösenden Script gestalteten Website dazu, dass der Browserprozess beendet wird und Firefox dann den Dialog von Mozillas Crash Reporter einblendet. Unter Windows kann das ganze BS einfrieren Schlimmer kann das unter Windows-Betriebssystemen ablaufen. Die Folgen unter Umständen deutlich gravierender. In einigen Fällen soll dieser Bug das komplette Betriebssystem einfrieren können, so dass nur noch ein Reset und im allerschlimmsten Fall das Herausziehen des Steckers aus der Steckdose als letzte Option gestatten, einen Neustart des betroffenen Rechners auszulösen. Der Fehler kann mit dem jüngsten stabilen Release von Firefox und auch mit den Developer- und Nightly-Builds ausgelöst werden. Mobilversionen für Android und iOS sind nicht betroffen Firefox für Android stürzte bei entsprechenden Tests nicht ab. Auch die iOS-Version des Feuerfuchses ist von dem Problem nicht betroffen, denn der Browser benutzt auf iPhones und iPads von Apple nicht seine eigene Rendering-Engine, in der der Fehler steckt. Das Script löst das Problem dadurch aus, dass es eine Datei mit [...]

2018-11-07T18:48:36+02:00September 24th, 2018|Allgemein, Browser|Kommentare deaktiviert für Script lässt Mozillas Browser Firefox abstürzen

Android Studio 3.1 ist verfügbar

Gute Nachricht für Entwickler von Android-Apps: Google hat soeben die Version 3.1 seiner kostenlosen Entwicklungsumgebung Android Studio veröffentlicht. In dem aktuellen Release finden sich viele kleine Neuerungen, die Entwickler insbesondere darin unterstützen, effizienteren Code zu schreiben und auch kleinere Apps zu erstellen. Als Basis für Android Studio 3.1 dient IntelliJ IDEA 2017.3.3, durch das es jetzt auch einige Ergänzungen unter anderem für Kotlin-Entwickler in die Android-Entwicklungsumgebung geschafft haben. Ab sofort ersetzt der Dex-Compiler D8 standardmäßig den bisherigen DX-Compiler. Er gehört zur Compiler-Toolchain und übersetzt den .class-Bytecode in .dex-Bytecode für die Android-Laufzeitumgebung. Nach einem Blogbeitrag vom letzten Sommer sind die mit D8 erstellten .dex-Pakete nicht nur deutlich kleiner als bei DX, sondern der neue Compiler arbeitet auch merklich schneller. Weitere Details zu Android Studio 3.1 Die neue Version Android Studio 3.1 arbeitet mit System-Images der drei Android-Versionen Nougat, Oreo und der Preview von Android P zusammen. Der Emulator ist schon auf den rahmenlosen Modus vorbereitet und kann Anwendungen auch im 18:9-Format darstellen. Die Entwickler haben die Quick-Boot-Funktion des Emulators deutlich überarbeitet, der schon seit Ende 2012 Teil des stabilen Release von Android Studio ist. Die Android-Entwicklung findet zwar hauptsächlich in Java statt, aber das Interesse an Kotlin als Alternative ist deutlich gestiegen, seit Google sich auf der Hausmesse I/O 2017 offiziell für [...]

2018-03-28T22:58:18+02:00März 28th, 2018|Coding, Javascript, Webwerkzeuge|Kommentare deaktiviert für Android Studio 3.1 ist verfügbar

Coding: WordPress – Email bei Aktualisierung

Wer zusammen mit mehrere Ko-Autoren an einem Blog schreibt, möchte in der Regel gerne immer auf dem aktuellsten Stand der Beiträge sein. Ein in PHP geschriebener Code-Schnipsel mit der Funktion post_updated_email() aus dem Netz kann bei diesem Problem gut weiter helfen: function post_updated_email( $post_id ) { global $current_user; get_currentuserinfo(); // Ist es nur eine Revision, dann keine Email senden if ( wp_is_post_revision( $post_id ) ) return; $post_title = strip_tags(get_the_title( $post_id )); $post_url = get_permalink( $post_id ); $subject = '[UPDATE] ' . $post_title ; $message = __('Update by ', 'domain') . $current_user->display_name . ' ('.date('c', current_time( 'timestamp', 0 )).')' . "\n\n"; $message .= $post_title . ": " . $post_url; $message .= "\n\n" . __('Update in Post.', 'domain'); $headers = 'From: '.get_bloginfo('name').' <' . get_bloginfo('admin_email') . '>' . "\r\n"; // Email an den Admin wp_mail( get_bloginfo('admin_email'), $subject, $message, $headers ); } add_action( 'save_post', 'post_updated_email' ); Der Code-Schnipsel sendet dem Admin eine Email, wenn einer der Beiträge aktualisiert wurde. Den Code kann man natürlich auch durch Modifikation an die eigenen Bedürfnisse anpassen. Die kurze Funktion kann man am besten in der Funktionssammlung functions.php eines Themes von WordPress unterbringen. Man sollte dabei aber auch bedenken, dass die kleine Hilfsroutine bei zu vielen Änderungen in kurzer Zeit auch einen kleinen Stau [...]

2018-01-27T21:19:51+02:00Dezember 16th, 2017|Allgemein, CMS, Coding, PHP|Kommentare deaktiviert für Coding: WordPress – Email bei Aktualisierung

Chrome blockiert Code von Drittanbietern

Zwei von drei Chrome-Nutzern verwenden unter Windows Software, die mit dem Browser interagiert und sich dabei in dessen Prozesse einklinkt, hat Google festgestellt. Als bestes Beispiel dafür nennt der Chrome-Hersteller Virenschutzprogramme, die ihren Code direkt in den Chrome-Browser „injizieren“, um die Nutzer dadurch besser vor Malware zu schützen. Allerdings verschärfen genau solche Verfahren ein Problem verschärft: Durch den injizierten Fremdcode steigt nämlich die Absturzrate des „Wirts-Browsers“ Chrome um satte 15 Prozent, schreibt Chris Hamilton vom Chrome-Stabilitätsteam. In Zukunft sieht er Chrome-Erweiterungen und das Native-Messaging-API als modernere und absturzsicherere Alternativen zur Code-Injektion. Dreistufige Absturzvermeidung Um die hohe Absturzrate des aktuellen Platzhirschen unter den Browsern auf dem Markt merklich zu senken, will Chrome ab Juli 2018 Drittanbieter daran hindern, ihren Code in den Chrome-Browser unter Windows zu einzufügen. Der Plan ist dreistufig: Ab April zeigt Chrome 66 nach einem solchen Absturz nur einen Warnhinweis an, der dem Nutzer erläutert, dass der Code eines Drittanbieters Ursaches des Crashs war. Außerdem empfiehlt der Browser dann, die betroffene Software upüzudaten– oder aber zu deinstallieren. Ab Juli wird es dann wirklich ernst, denn ab dann hindert Chrome 68 die Programme Dritter daran, Code in einen Chrome-Prozess zu injizieren. Falls diese Blockierung dann aber den Start des Browsers verhindern sollte, wird Chrome das Einschleusen des Codes [...]

2017-12-04T00:35:58+02:00Dezember 4th, 2017|Browser, Javascript|Kommentare deaktiviert für Chrome blockiert Code von Drittanbietern

Chat-Widget mit Nebentätigkeit

Viele Unternehmen setzen zum Online-Kundensupport Chat-Widgets ein, über die sie den Kontakt mit ihren Kunden auf der Webseite pflegen können. Das bekannte Tool Live Help Now ist nun bei einer ungenehmigten Nebentätigkeit erwischt worden: In das Programm war das Krypto-Mining-Script Coinhive integriert, das im Betrieb die Leistung der beteiligten Rechner missbrauchte um darauf Kryptogeld zu schürfen. Dieses Chat-Tool wird von etwa 1.500 Websites benutzt. Sollten Sie als Webworker das Widget ebenfalls benutzt haben, wäre eine Prüfung der entsprechenden Internetpräsenzen dringend anzuraten. Es ist noch nicht ganz klar, ob die Entwickler des Dienstes das Skript vielleicht vorsätzlich eingebaut haben oder ob sie selbst Opfer eines Angriffes von Dritten geworden sind. Sie waren wegen Thanksgiving (Feiertag) und Black Friday in den USA nicht auf Anhieb zu erreichen. Nach vorliegenden Screenshots steigt die CPU-Auslastung nach Einbau des Skriptes mit  dem Mining-Code stark an. Die ca. 1.500 Webseiten, die das Widget aktuell nutzen, trugen damit unwissentlich zu einer deutlich höheren Leistungsaufnahme der PCs ihrer Kunden bei. Bei einem aktuellen Test vor 2 Tagen konnte Golem den Coinhive-Code in dem Widget nicht mehr feststellen.

2017-11-26T20:57:28+02:00November 26th, 2017|Allgemein, Browser, Javascript, Webwerkzeuge|Kommentare deaktiviert für Chat-Widget mit Nebentätigkeit

Browser-Updates für Firefox, Firefox ESR und Tor

In Firefox, Firefox ESR (Extended Support Release) sowie dem auf ESR basierenden Tor Browser finden sich mehrere Sicherheitslücken, die Angreifern unter bestimmten Umständen das Ausspähen von Informationen, Cross-Site-Scripting-Angriffe und sogar das Ausführen beliebigen Codes mit den Rechten des Browsers möglich machen. Nach aktuellen Sicherheitshinweisen von Mozilla sind alle Vorgänger-Versionen des Browsers Firefox 57 aka Quantum und Firefox ESR vor dem aktuellen Release 52.5 betroffen. Die Versionen vor 7.0.10 des anonymisierenden Tor Browsers sind such verwundbar, weil der Tor-Browser auf Firefox ESR aufsetzt. Unter den insgesamt 15 in Firefox geschlossenen Sicherheitslücken bewerten die Entwickler drei als "kritisch" und eine als "hoch". Weitere elf Lücken ordnen sie als "niedrig" bis "mittel" ein. Das Notfallteam des BSI CERT Bund sieht das aber durchaus etwas anders: Es stufte das von den Sicherheitslücken ausgehende Risiko durchgängig als "sehr hoch" ein. Benutzer sollten in jedem Fall zügig updaten: Die abgesicherten Versionen des im Zuge des Projekts Quantum rundum überarbeiteten und nun deutlich schnelleren und ressourcenschonenderen Firefox 57 und von ESR 52.5 stehen zum Download bereit. Das gilt auch für den auf ESR 52.5 basierenden Tor Browser 7.0.10.

2017-11-17T09:24:08+02:00November 16th, 2017|Browser, Webwerkzeuge|Kommentare deaktiviert für Browser-Updates für Firefox, Firefox ESR und Tor

Vivaldi 1.10 dockt Entwickler-Tools an

Neben neuen Möglichkeiten zur Gestaltung der Startseite kommt die neue Version des Browsers Vivaldi 1.10 mit einem besonders für Entwickler und Seitenersteller interessanten Feature daher. Entwicklungswerkzeuge andockbar Ab diesem Release kann Vivaldi die beliebten Entwickler-Tools nicht nur wie bisher in einem separaten Fenster aufrufen. Jetzt können die Tools neben oder unter der angezeigten Internetseite andocken, um zum Beispiel Elemente zu inspizieren oder Code zu testen und debuggen. Neue und verbesserte Funktionen Außer der Startseite und der Andockbarkeit der Entwicklerwerkzeuge wurden folgende Funktionen neu aufgenommen oder verbessert: Sortierfunktion für Downloads Bilder sichtbar/unsichtbar schalten Schnelle Tastaturbefehle Adressleise überarbeitet Neue Tabs auch für Drittanbieter

2017-07-09T13:17:54+02:00Juli 9th, 2017|Allgemein, test, Webwerkzeuge|Kommentare deaktiviert für Vivaldi 1.10 dockt Entwickler-Tools an
Nach oben