Browser Firefox friert User-Agent wegen Internet Explorer 11 ein

Es scheint einige Webseiten zu geben, welche Firefox 110 mit Internet Explorer 11 verwechseln. Deshalb mussten die Entwickler jetzt reagieren. Der offizielle und schon erweiterte Support von Microsoft für den veralteten Internet Explorer 11 endet noch in diesem Monat, und der Hersteller hat sich sogar dafür entschieden, den Browser auf Windows 10 zu deaktivieren. Speziell angepasste Internetseiten machen Probleme Trotzdem scheinen der |-Browser und auf diesen speziell angepasste Webseiten indirekt weiter Probleme für den Firefox-Browser der Konkurrenz zu verursachen. Das kann man dem entsprechenden Bug-Report entnehmen, über den der Blogger Sören Hentzschel berichtet. Danach hat sich das Entwicklungsteam von Firefox jetzt dafür entschieden, die im User-Agent des Browsers gespeicherte Angabe der Versionsnummer bei 109 einzufrieren. Aufgehoben soll dies erst wieder mit Version 120 werden. Damit werden die Versionen 110 bis 119 bei der Angabe also einfach übersprungen. Der User-Agent führt zu Problemen mit Webseiten Der Internet Explorer 11 nutzt in seinem User-Agent die Angabe rv:11.0. Für den Firefox geplant war die Versionsangabe rv:110 im User-Agent. In Tests führte dies allerdings zu Darstellungsfehlern auf mehreren großen Webseiten weltweit, weil diese offenbar eine angepasste Version ihrer Seite für den Internet Explorer ausspielen. Offensichtlich prüfen die Webseiten diese Versionsnummern fehlerhaft. So wäre etwa die Suche nach rv:11 im User-Agent sowohl beim Internet Explorer 11 als auch beim Firefox 110 [...]

2023-01-02T14:19:58+02:00Januar 2nd, 2023|Allgemein, Browser, Coding, Sicherheit|Kommentare deaktiviert für Browser Firefox friert User-Agent wegen Internet Explorer 11 ein

Hilfreiche Regeln für die Erstellung von Internetseiten

Immer wieder stößt man im Internet auf Seiten, die kaum eine Chance haben, ihre Ziele bei den Besuchern zu erreichen. Deshalb führen wir hier noch einmal einige wichtige Punkte auf, an denen das Projekt nicht scheitern sollte: Das Wichtigste zuerst: Denken Sie bei allem, was Sie tun an einen Besucher, der es eilig hat, denn Ihr Besucher ist fast immer ungeduldig! Achten Sie bei der Erstellung auf ein ausgewogenes Verhältnis von Texten und Bildern, denn viele Webseiten sind deutlich zu textlastig. Überlegen Sie gut, welche Farben Sie benutzen. Ihre Lieblingsfarben müssen sich nicht zwingend für Ihre Website eignen. Machen Sie in relativ kurzen Abständen Absätze und trennen Sie die durch eine Leerzeile oder Zwischenüberschrift. Schreiben Sie nicht zu lange Sätze und verzichten Sie so weit wie möglich auf Fremdwörter. Achten Sie darauf, dass Ihre Textblöcke nicht allzu breit sind, denn auf dem Bildschirm kann das Auge zu breiten Textblöcken nicht gut folgen. Wählen Sie eine leicht lesbare Schrift wie beispielsweise Calibri, Segoe oder Verdana und bedenken Sie, dass auch die Farbe der Schrift, die Schriftgröße und der Zeilenabstand Einfluss auf die Lesbarkeit Ihrer Texte haben. Schauen Sie sich die Seite auch auf dem kleineren Bildschirm eines Tablets und eines Smartphones an. Vermeiden Rechtschreib- und Grammatikfehler auf Ihrer [...]

2022-09-12T10:53:57+02:00September 12th, 2022|Allgemein|Kommentare deaktiviert für Hilfreiche Regeln für die Erstellung von Internetseiten

Update für Drupal macht Archiv-Uploads sicher

In einer der Bibliotheken, die das beliebte CMS Drupal einsetzt, steckt ein Fehler und gefährdet Internetseiten mit bestimmten Einstellungen der Konfiguration. Inzwischen sind aber schon Sicherheitsupdates verfügbar. Es gibt aber auch einen Workaround, über den die Admins die Seiten auch einen gegen solche Angriffe schützen können. Die in der Warnmeldung der Entwickler als „kritisch“ bezeichnete Lücke (CVE-2020-36193) steckt in der pear-Archive_Tar-Bibliothek. Diese Library kümmert sich um die Verarbeitung von komprimierten Archiven wie zum Beispiel .tar. War ein Angriff erfolgreich, dann könnten Angreifer schreibend auf den Internetserver zugreifen (Directory Traversal). Workaround: Upload von Archiven verbieten Allerdings sind nur Seiten bedroht, bei denen der Upload solcher Dateien erlaubt ist. Wenn die Admins diese Funktion deaktivieren, ist die Gefahr erst einmal gebannt. Besser wäre es aber, jetzt eine der abgesicherten Versionen 7.78, 8.9.13, 9.0.11 oder 9.1.3 zu installieren. Die Drupal-Entwickler weisen auch darauf hin, dass der Support für älter Versionen als 8.9.x inzwischen ausgelaufen ist und dass diese veralteten Versionen keine Sicherheitsupdates mehr bekommen.

2021-01-22T10:26:51+02:00Januar 22nd, 2021|CMS, Sicherheit|Kommentare deaktiviert für Update für Drupal macht Archiv-Uploads sicher

Weiterleitungen mit PHP

Beim Erstellen von Internetseiten mit der beliebten Scriptsprache PHP kommt es gelegentlich vor, dass man eine Weiterleitung (Redirect) auf eine andere Internetseite benötigt. Der Standard-Code für für die Implementierung eines Redirects aus einer PHP-Datei kann relativ einfach erzeugt werden: header("Location: http://www.domain.de/neue-seite.php", true, 301); exit(); Der Code „301“ steht dabei für einen permanenten Redirect, für einen temporären gibt es den Code „302“. Dabei gibt es zwar keine Unterschiede beim Aufruf, sehr wohl aber bei der Beurteilung durch die Suchmaschinen und damit auch in der Position bei den Ergebnislisten einer Suche. Bei solchen Weiterleitungen sollte man beachten, dass es Probleme geben kann, wenn man versucht, diese Weiterleitung aus einer HTML-Datei heraus durchzuführen. In solchen Fällen muss die Extension (.html oder .htm) in der Datei .htaccess or httpd.conf erst bekannt gemacht werden, was man mit folgender Codezeile in diesen Dateien erreichen kann: Addtype application/x-httpd-php .htm .html

2020-09-17T09:48:08+02:00September 17th, 2020|Coding, HTML, PHP|Kommentare deaktiviert für Weiterleitungen mit PHP

Aktuelles Sicherheitsupdate: CMS Drupal 7.70

Wer seine Seiten als Website-Admin mit dem Content Management System (CMS) Drupal 7 erstellt hat, sollten jetzt dringend das soeben erschienene Sicherheitsupdate von Drupal installieren. Ansonsten könnten böswillige Angreifer die Besucher seiner Internetseiten ganz einfach auf eine von ihnen erstellte Website umleiten. In ihrer Sicherheitswarnung stufen die Drupal-Entwickler auch das Angriffsrisiko, das von der Lücke ausgeht, nur als "moderat kritisch" ein. Vermutlich wurde deshalb auch noch keine CVE-Nummer zur Kennzeichnung der Schwachstelle vergeben. Bei der Schwachstelle handelt es sich um eine sogenannte Open-Redirect-Lücke, die nur in  Drupal 7 steckt. Wenn ein Angriff erfolgreich ist, könnten die Angreifer das Opfer – also einen Besucher Ihrer Website - auf eine von ihnen kontrollierte Internet-Seite locken. Das könnte wegen der unzureichenden Überprüfung des Destination-Abfrage-Parameters drupal_goto() zum Beispiel über einen entsprechend präparierten Link geschehen. Die  ist gegen das Problem abgesichert.

2020-05-26T16:18:26+02:00Mai 26th, 2020|CMS, Sicherheit|Kommentare deaktiviert für Aktuelles Sicherheitsupdate: CMS Drupal 7.70

Edge bringt vertikale Tabs und Passwortschutz

Soeben hat Microsoft einige neue Funktionen für den Edge-Browser auf Basis von Chromium vorgestellt. In Zukunft kann der Microsoft-Browser offene Tabs in einer vertikal untereinander angeordneten Liste zeigen, statt sie oberhalb der Adresszeile aufzureihen. Ein Menü für vertikalen Tabs Das Menü zu den Tabs lässt sich über einen Button an der linken oberen Ecke des Edge-Fensters ausklappen. Dort lassen sich die Tabs dann auch umschalten, schließen oder in der Reihenfolge ändern. Die Benutzer können dabei auch mehrere Tabs in der Liste zusammen auswählen und dann auch als Gruppe verschieben. Dabei bleibt die normale Tab-Ansicht oberhalb der Adress-Zeile weiterhin parallel erhalten. Browser inklusive Paßwortschutz Ganz neu ist auch eine Sicherheitsfunktion, mit der gespeicherte Passwörter vor Diebstahl geschützt werden sollen: Password Monitor untersucht im Browser gespeicherte Kombinationen aus Nutzernamen und Passwörtern und gleicht sie dabei mit einer Datenbank mit Informationen aus dem Dark Web ab – zum Beispiel frei zugänglichen Passworttabellen von zwischenzeitlich kompromittierten Internetseiten. Wird ein Match gefunden, dann weist der Browser den Benutzer darauf hin, dass die Zugangsdaten eventuellen Angreifern bekannt sein könnten und rät zu einem Wechsel des Passworts. Password Monitor soll zunächst erst einmal als Preview-Version starten. Screenshot: Microsoft

2020-03-31T19:14:04+02:00März 31st, 2020|Browser, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Edge bringt vertikale Tabs und Passwortschutz

Auch Firefox kennzeichnet jetzt HTTP-Seiten als unsicher

Der Mozilla-Browser Firefox wird künftig alle Internetseiten, die noch das HTTP-Protokoll ohne Verschlüsselung benutzen, als „unsicher“ markieren. Dann zeigt der Mozilla-Browser in der Adressleiste links von der URL ein durchgestrichenes Schloss-Symbol mit dem Hinweis „Not Secure“ (unsicher) an. Ghacks berichtet dazu, dass die Änderung mit der stabilen Version von Firefox 70 eingeführt werden soll, die Mozilla schon für den 23. Oktober angekündigt hat. Internetseiten, die auf eine verschlüsselte Datenübertragung per sicherem HTTPS verzichten, sind aktuell eigentlich nur daran zu erkennen, dass das grüne Schloss neben ihrer URL dabei nicht erscheint. Klickt man dann auf das Ausrufezeichen in der Adressleiste, wird bestätigt, dass die Verbindung nicht sicher ist und Daten wie zum Beispiel Passwörter und Kreditkartendaten eventuell von unbefugten Dritten mitgelesen werden können. Warnung schon mit Firefox 68 aktivierbar Nach der Installation ist die neue Sicherheitswarnung dem Bericht zufolge inzwischen in der Nightly-Version von Firefox 70 schon aktiviert. Wer die Warnung schon in Firefox 68 haben möchte, kann sich das Feature schon über die Konfigurationsseite „about:config“ freischalten. Hier müssen die vier Parameter „security.insecure_connection_icon.enabled“, „security.insecure_connection_icon.pbmode.enabled“, „security.insecure_connection_text.enabled“ „security.insecure_connection_text.pbmode.enabled“ durch einen Doppelklick auf den Wert „True“ geändert werden. Danach wird beim Laden einer unsicheren die „Nicht sicher“-Warnung in der Adressleiste erscheinen.

2019-07-18T23:44:05+02:00Juli 18th, 2019|Browser, Webwerkzeuge|Kommentare deaktiviert für Auch Firefox kennzeichnet jetzt HTTP-Seiten als unsicher

Mozilla arbeitet an einem Tracking-Report

Inzwischen blockiert der Mozilla-Browser Firefox schon diverse Varianten von Trackern. Dabei unterscheidet Mozilla zwischen verschiedenen Formen des Trackings wie Social, Cross-Site-Tracker, Ad-Tracker und Fingerprint-Varianten. Dazu zeigt Firefox Nightly jetzt die Vorschau eines detaillierten Tracking-Reports, der über bis dahin blockierte Anfragen differenziert nach Tracking-Typ informiert. Noch stammen die dort gezeigten Daten noch nicht aus der Benutzung des Browsers, sondern sind fest vorgegeben. Ab wann das Feature voll funktionell freigeschaltet wird, ist aktuell noch nicht bekannt. Schutz vor Trackern und Kryptominern Mit der aktuellen Version Firefox 67 hat Mozilla den Schutz vor Trackern auch auf Kryptominer und Fingerprint-Verfolgung erweitert, wobei die genutzte Anti-Fingerprinting-Technik vom Tor-Browser für anonymes Surfen stammt. Diese Technik verhindert, dass Internetseiten bestimmte Daten wie verwendeten Browser, die Fenstergröße oder das Betriebssystem erfassen, um daraus einen digitalen Fingerabdruck zu erstellen, der dann seitenübergreifend verfolgt wird. Die Kryptominer wiederum nutzen Ressourcen eines Rechners, um damit Kryptowährungen zu berechnen. Durch die ressourcenhungrigen Berechnungen wird der Prozessor des Rechners deutlich stärker ausgelastet, was den PC verlangsamt und seinen Energiebedarf erhöht. Das ist vor allem bei mobilen Geräten sehr ärgerlich, weil dadurch die Akkulaufzeit unter Umständen stark reduziert wird. Aktivieren vonTracker- und Kryptominerschutz Beide Schutzfunktionen kann man in Firefox 67 über das „i“-Symbol in der Adressleiste bzw. über das kleine Zahnrad im Menü „Seitenelemente blockieren“ aktivieren. [...]

2019-07-08T22:30:49+02:00Juli 8th, 2019|Browser, Webwerkzeuge|Kommentare deaktiviert für Mozilla arbeitet an einem Tracking-Report

Drupal-Module anfällig für Angriffe

Sollten Sie das Content Management System (CMS) Drupal mit einem der Module "Menu Item Extra" oder "Workflow" benutzen, sollten Sie die beiden Module dringend auf den aktuellen Stand bringen. Denn sonst könnten böswillige Angreifer Internetseiten, die mit dem CMS gebaut wurden, erfolgreich angreifen. Vom Notfallteam des Bundesamt für Sicherheit in der Informationstechnik CERT Bund wurde das Angriffsrisiko als "hoch" eingestuft. Details zu möglichen Angriffen Weil es in beiden Modulen an Überprüfungen der Eingaben fehlt, könnten Angreifer sowohl CSRF- als auch XSS-Attacken durchführen. Für einen erfolgreichen Angriff müssten sie aber je nach Modul über die Berechtigungen "administrator nodes", "administrator menu" oder "administrator workflow" verfügen. Weiter e Infos zu den Lücken erläutern die Entwickler in zwei Sicherheitswarnungen zu Menu Item Extras und Workflow. Abhilfe schafft die Installation der aktuellsten Versionen Menu Item Extras 8.x-2.5 für Drupal 8.x und Workflow 7.x-2.12 für Drupal 7.x.

2019-05-24T17:28:13+02:00Mai 24th, 2019|CMS, Coding, Webwerkzeuge|Kommentare deaktiviert für Drupal-Module anfällig für Angriffe

Warnung vor Angriffen auf Drupal-Installationen

Die Sicherheitsforscher von Imperva warnen aktuell erneut vor einer Angriffswelle, die sich gegen auf dem weit verbreiteten Content-Management-System (CMS) Drupal basierende Internetseiten richtet. Übernahme von Drupal-Sites mit Drupalgeddon und Dirty Cow Die Angreifer versuchen dabei, Zugang zu einem Root-Konto des Webservers zu bekommen. Dann installieren sie einen SSH-Client, der ihnen dann in Zukunft jederzeit den Zugriff auf den Server mit Root-Rechten erlaubt. Der erste Versuch mit Drupalgeddon 2 Die Cyberkriminellen setzen dabei auf zwei schon länger bekannte Exploits und greifen Websites an, die noch eine veraltete Version von Drupal nutzen und nicht gegen Angriffe auf die schon vor über einem halben Jahr im März veröffentlichte Schwachstelle Drupalgeddon 2 geschützt sind. Wer vernünftige Wartung betrieben und alle Updates immer eingespielt hat, braucht sich wegen der aktuell laufenden Angriffswelle keine Gedanken machen. Wenn sie eine solche noch ungeschützte Seite finden, nutzen sie Drupalgeddon 2 als Startpunkt ihres Angriffs. Damit suchen die Hacker in der lokalen Drupal-Konfiguration nach den Anmeldedaten für die Datenbank. Der zweite Versuch mit Dirty Cow Finden sie dabei die Login-Daten für ein Root-Konto, versuchen sie, sich mit den gefundenen Zugangsdaten auch beim Webserver anzumelden. Wenn diese Methode nicht funktioniert, kommt Dirty Cow dann als zweiter Exploit zum Einsatz. Dirty Cow wurde schon 2016 zum ersten Mal beschrieben. [...]

2018-11-21T22:24:04+02:00November 21st, 2018|CMS|1 Kommentar
Nach oben