Tag-Archive for » online «

Chat-Widget mit Nebentätigkeit

Viele Unternehmen setzen zum Online-Kundensupport Chat-Widgets ein, über die sie den Kontakt mit ihren Kunden auf der Webseite pflegen können. Das bekannte Tool Live Help Now ist nun bei einer ungenehmigten Nebentätigkeit erwischt worden:

In das Programm war das Krypto-Mining-Script Coinhive integriert, das im Betrieb die Leistung der beteiligten Rechner missbrauchte um darauf Kryptogeld zu schürfen. Dieses Chat-Tool wird von etwa 1.500 Websites benutzt. Sollten Sie als Webworker das Widget ebenfalls benutzt haben, wäre eine Prüfung der entsprechenden Internetpräsenzen dringend anzuraten.

Es ist noch nicht ganz klar, ob die Entwickler des Dienstes das Skript vielleicht vorsätzlich eingebaut haben oder ob sie selbst Opfer eines Angriffes von Dritten geworden sind. Sie waren wegen Thanksgiving (Feiertag) und Black Friday in den USA nicht auf Anhieb zu erreichen.

Nach vorliegenden Screenshots steigt die CPU-Auslastung nach Einbau des Skriptes mit  dem Mining-Code stark an. Die ca. 1.500 Webseiten, die das Widget aktuell nutzen, trugen damit unwissentlich zu einer deutlich höheren Leistungsaufnahme der PCs ihrer Kunden bei.

Bei einem aktuellen Test vor 2 Tagen konnte Golem den Coinhive-Code in dem Widget nicht mehr feststellen.

Browser Internet Explorer und Edge blocken SHA-1

Schon seit mehr als 10 Jahren gilt das SHA1-Hash-Verfahren zur Verschlüsselung von Internetseiten als geknackt. Im Februar dieses Jahres gab es dann auch den praktischen Nachweis, dass man Kollisionen, also zwei verschiedene Datensätze, die denselben Hash-Wert ergeben, berechnen kann.

Hersteller Microsoft hat schon länger angekündigt, seine beiden Browser Internet Explorer und Edge so umzustellen, dass sie auf durch SHA-1-Signaturen erzeugte HTTPS-Seiten mit Fehlermeldungen reagieren, was Mozillas Firefox und Googles Chrome  schon seit längerem machen. Seit der letzten Woche liefert der Hersteller Updates für beide Browser aus, um das geknackte Hash-Verfahren SHA-1 jetzt zu blockieren.

Genauere Details zu seiner SHA1-Blockade beschreibt Microsoft im Security Advisory 4010323, eine deutsche Übersetzung dazu finden Sie hier. Diese Updates können auch manuell downgeloadet werden, sie sind im Knowledge Base Artikel 4010323 zu finden.

Als Nachfolgemethode für das Hash-Verfahren wird von Microsoft SHA-2 empfohlen. Dessen zwei Varianten SHA256 und SHA512 werden als genügend sicher angesehen, um auch langfristig die Unterscheidbarkeit unterschiedlicher Online-Dokumente sicherstellen zu können.

„Happy Birthday“ könnte gemeinfrei werden

HappyBirthdayWas fällt dem Webdesigner ein, wenn er Besucher einer Plattform an deren Geburtstag gratulieren möchte? Natürlich „Happy Birthday“ in einer der über hundert Varianten in Englisch, Deutsch oder meinetwegen auch in Klingonisch (gibt es wirklich!).

Sobald dieser Programmierer die Begrüßung von Geburtstagskindern mit Happy Birthday in Javascript oder PHP online gestellt hat, dürften sich dann der Musikriese Warner mit einer in der Regel vierstelligen Rechnung bei ihm melden, denn die Burschen glauben, sie hätten das Copyright auf den fast 100 Jahre alten Gassenhauer und kassieren damit jährlich zwei Millinen Dollar.

Einige Künstler sehen das anders und haben nach einem Bericht von Heise vor einem amerikanischen Gericht geklagt – mit guten Aussichten, daß Happy Birthday bald gemeinfrei ist und ohne Lizenzgebühren benutzt werden darf.

Phishing-Emails für WordPress-Administratoren

AllInOneSEOWPVon der Sicherheitsfirma Sukuri  kommt eine aktuelle Warnung vor Phishing-Mails an WordPress-Administratoren, die diese verleiten sollen, ein Plugin zu installieren, dass an die Besucher dieser WordPress-Seiten Schadsoftware verteilt.

Vorgeblich bietet die E-Mail die Pro-Version des beliebten Plugins All in One SEO Pack kostenlos an.

Wer aber auf den Download-Link in dieser Email klickt, landet nicht etwa auf der offiziellen WordPress-Plugin-Seite, sondern auf einer offensichtlich von den Spammern infizierten Domain in Australien (.com.au) oder Brasilien (.com.br). Spätestens an dieser Stelle sollten die Admins eigentlich stutzig werden.

Nach Sucuri haben einige Admins dieses bösartige Plugin tatsächlich installiert, was dann dazu führte, dass der Schadcode eine Backdoor auf dem Server öffnete und die Startdatei index.php  des infizierten Blogs austauschte. Von dem Moment an verteilten die betroffenen WordPress-Installationen Schadsoftware an ihre Besucher.

Wegen der enorm großen Verbreitung als CMS oder Blogsoftware ist insbesondere WordPress immer wieder ein beliebtes Ziel für Hacker, die probieren, die Seiten anderer als Spamschleudern oder für DDoS-Angriffe zu missbrauchen.

Bleiben Sie bitte vorsichtig!

Der Flash zu HTML5-Konverter Swiffy von Google zieht um

Kennen Sie Swiffy schon? Es ist ein Online-Werkzeug, mit dem man swf-Dateien (Flash) in HTML5-Dateien umwandeln kann. Mit Swiffy kann man sehr einfach Flash-Content auf seine mobilen Geräte bringen, insbesondere auch die iPhones und iPads von Apple, die von Haus aus Flash nicht unterstützen. So geht das aufwendig gemachte Intro nicht für die mobile Internetwelt verloren…

Swiffy kann noch nicht immer aus allen Flash-Inhalten korrekte HTML5-Ergebnisse erzeugen, das ist der Tatsache geschuldet, dass das Tool noch sehr jung ist und noch Einiges lernen muss. Also am besten einfach ausprobieren. In Webkit-Browsern wie Safari oder Chrome wird der Output korrekt dargestellt.

Im Zusammenhang mit dem allgemeinen “Frühjahrsputz im Herbst” bei Google soll Swiffy in Zukunft unter einer anderen Adresse zu finden sein. Ein entsprechender Hinweis findet sich auf der Swiffy-Website.

Category: HTML  Tags: , , , , , ,  Comments off

PHP: Erreichbarkeit von Internetseiten prüfen

Wer mehrere Internetpräsenzen auf verschiedenen Servern betreuen muss, möchte vielleicht wissen, ob auch wirklich alle online sind und gegebenenfalls einen Hinweis bekommen, wenn eine davon aus irgendeinem Grunde nicht mehr erreichbar ist.

Dazu muss man einfach nur eine Verbindung zu der Website öffnen und schauen ob das klappt. Der Code dazu lautet zum Beispiel:

<?php
$url = “www.homepage-anleitung.de”;
$online = @fsockopen (“$url”, 80);
if (!$online) {
echo “Seite $url ist nicht erreichbar”;
} else {
echo “Seite $url ist erreichbar”;
}
?>

Dies einfache Beispiel zeigt das Prinzip einer Online/Offline-Prüfung. Wenn man mehrere Seiten zu überwachen hat, sollte man die am besten in einer Schleife nacheinander testen und statt der einfachen Textausgabe über eine Email nachzudenken, zumindest für den Fall, dass die Seite nicht mehr erreichbar ist.