MD5-Passwörter mit PHP erzeugen

Noch immer findet man sehr einfache Schutzmechanismen, die mit Klartext-Passwörtern arbeiten, welche im Quellcode der entsprechenden Routinen abgespeichert sind. Jeder, der Zugriff auf diese Routinen hat, kann solche Passwörter problemlos auslesen und dann missbrauchen. Die Sicherheit bei der Speicherung solcher Passwörter lässt sich mit einem MD5-Hash zwar nicht perfektionieren, aber doch recht deutlich verbessern. Und das lässt sich auch schon recht einfach mit PHP-Bordmitteln realisieren: <?PHP //Eine Zufallszahl zwischen 1000 und 9999 erzeugen $zzahl = mt_rand(1000, 9999); // MD5-Hash aus Zufallszahl und aktueller Zeit bilden $zahlzeit = md5($zzahl.microtime()); $passwort = substr($zahlzeit, "0" ,"8");  //Die Zahl 8 definiert dabei die Länge des Passworts echo $passwort;?> Dieser Codeschnipsel erzeugt ein 8-stelliges (maximal 32-stelliges) Passwort aus Buchstaben und Zahlen. Man muss hier darauf hinweisen, dass sich nicht alle Anforderungen an ein sicheres Passwort mit MD5 erfüllen lassen. Es ist zum Beispiel lange bekannt, dass voneinander verschiedene Zeichenfolgen durchaus denselben Hashwert liefern könnten. Ein MD5-Hash ist aber schon deutlich sicherer als die Speicherung eines Passwortes innerhalb der Routine im Klartext!

2020-10-05T09:28:50+02:00Oktober 5th, 2020|Allgemein, PHP, Sicherheit|Kommentare deaktiviert für MD5-Passwörter mit PHP erzeugen

Chrome 79 prüft Passwörter

Mit der neuen Version 79 des Browsers Chrome bringt Google neben den üblichen Fehlerbeseitigungen auch neue Funktionen. Dazu gehören das Echtzeit-Blacklisting bösartiger Websites über die Safe Browsing API, die allgemeine Verfügbarkeit von Predicitive Phishing-Schutzmaßnahmen, das Verbot des Ladens von HTTPS „mixed content“ – und last not least die Überprüfung von Passwörtern auf Kompromittierung, Dabei ist Password Checkup ein Online-Dienst, mit dem Google alle in Chrome synchronisierten Passwörter speichert und dann überprüft, ob sie möglicherweise komprommitiert sind. Diese Passwort-Überprüfung hat es damit von einer nur als separate Chrome-Erweiterung oder als Abschnitt im Google Web-Dashboard verfügbaren Funktion in den Browser selbst geschafft. Um die Funktion auch nutzen zu können, müssen die Chrome-Benutzer bei ihrem Google-Konto in dem Browser angemeldet sein. Die neue Browser-Version wird auch gerade erst ausgeliefert - es könnte also noch einige Tage dauern, bis alle Chrome-Anwender den Passwort-Check nutzen können. Wenn die Funktion dann aktiviert ist, überprüft Chrome die vom Nutzer abgespeicherten Passwörter daraufhin, ob sie eventuell schon kompromittiert sind. Wenn das so sein sollte, fordert Chrome den Benutzer auf, die betroffenen Passwörter umgehend zu ändern. In seinem Blogbeitrag dazu beschreibt Google das Verfahren detailliert. Bild: Pixabay

2019-12-16T11:47:46+02:00Dezember 16th, 2019|Browser, Webwerkzeuge|Kommentare deaktiviert für Chrome 79 prüft Passwörter

Video-Player VLC 3.0.8 veröffentlicht

Good News für Webschaffende: VLC ist in Version 3.0.8 veröffentlicht worden. Der beliebte Videolan-Client hält trotz des nur „kleinen“  Versionssprungs, bedutende Neuerungen. Erweiterte Hardwareunterstützung Nicht nur Youtuber, sondern auch Webworker und Videophile, die technisch besonders hochwertiges Videomaterial abspielen möchten, dürften sich zum Beispiel über die erweiterte Hardwareunterstützung freuen, denn die Entwickler haben die Hardwarebeschleunigung für H.264 und H.265 mit der neuen Version auch für 8 bzw. 10 Bit pro Farbkanal freigeschaltet - und das auf allen unterstützten Plattformen. Zusätzliche Videoformate Dadurch lassen sich sowohl 4K60- als auch 8K-Inhalte mit nur wenig CPU-Last abspielen. Auch High-Dynamic Range (HDR) wird im neuen VLC-Player sichtbar. Außerdem wird 360-Grad-Video und dazu passend auch 3D-Audio unterstützt, hinzu kommen weitere neue Videoformate. Hier nennen die Entwickler unter anderem die Formate WebVTT, TTML, HQX, 708, AV1 und Cineform. Für Blu-rays werden jetzt auch Java-basierte Menüs unterstützt. Sichere Passwörter Neu ist auch das sichere Abspeichern von Passwörtern in VLC. Lokale Netzlaufwerkelassen sich nun auch unter anderem mit SMB, FTP, SFTP und NFS durchsuchen. Nach Angaben der Videolan-Entwickler wurden außerdem 13 Sicherheitslücken in VLC 3.0.8 beseitigt.  Auch mehrere kleine Fehler wurden beseitigt. Weiterführende Informationen zur neuen VLC-Version finden Sie im Changelog unter git.videolan.org.

2019-08-20T10:51:51+02:00August 20th, 2019|Allgemein, Bildbearbeitung, Webwerkzeuge|Kommentare deaktiviert für Video-Player VLC 3.0.8 veröffentlicht

Der neue Google-Browser Chrome 67

In der aktuellen Version 67 seines Webbrowsers schließt Google einige Sicherheitslücken, entfernt einen Sicherheitsmechanismus und fügt im Gegenzug auch einen neuen für weitere Nutzer hinzu. Das Sicherheitsfeature Site Isolation soll zwar In Chrome 67 immer noch nicht standardmäßig, aber doch schon für immer mehr Nutzer aktiviert sein. Den Standard HTTPS Public Key Pinning (HPKP) hat Google jetzt wieder aus Chrome entfernt. In Version 67 haben die Entwickler immerhin 34 Sicherheitslücken geschlossen. Keine davon war aber als kritisch eingestuft und nur neun davon sind mit dem Bedrohungsgrad "hoch" eingestuft. Die Sandbox-Erweiterung Mit der Site Isolation sollen Webseiten effektiv voneinander abgeschottet werden, weil die Seiten jeweils als eigene Prozesse laufen. Dieser Schutz ergänzt die Sandboxen, in denen Chrome die Webseiten öffnet. Durch Site Isolation soll es Angreifern noch schwerer gemacht werden, über eine manipulierte Internetseite Informationen von anderen Seiten abzugreifen. Dieser Ansatz soll vor allem vor den gefürchteten Seitenkanal-Angriffe wie beispielsweise den CPU-Lücken Meltdown und Spectre sowie UXSS-Attacken schützen. Mit der neuen Browserversion Chrome 67 soll das Feature jetzt für noch mehr Nutzer aktiv sein. Wer die Funktion noch nicht hat und sie aktivieren möchte, gibt in die URL-Zeile chrome://flags ein. Danach sucht man dann nach "Strict site isolation" und aktiviert diesen Eintrag. Wenn Chrome dann neu gestartet wurde, ist das neue Sicherheitsfeature aktiv. [...]

2018-05-31T00:26:45+02:00Mai 31st, 2018|Browser, Coding, Webwerkzeuge|Kommentare deaktiviert für Der neue Google-Browser Chrome 67

Filezilla jetzt mit Master-Passwort

Die Nutzer des für diverse Betriebssysteme verfügbaren FTP-Clients Filezilla sollen die Passwörter für ihre FTP-Sites jetzt endlich mit einem Master-Passwort verschlüsselt auf der Festplatte speichern können. Bisher sind diese Daten in einer Textdatei ohne Verschlüsselung abgelegt, und wer sich Zugang zu dieser Datei verschafft, hat auch alle Passwörter für die von Filezilla gespeicherten FTP-Zugänge. Das neue Master-Passwort steht schon im Release Candidate der Betaversion 3.26.00 zur Verfügung. Das Master-Passwort muss der User in den Optionen erst aktivieren. Wie beispielsweise Bleepingcomputer.com und andere berichten, haben die Nutzer von Filezilla schon seit zehn Jahren immer wieder erfolglos gebeten, dass die FTP-Passwörter bei Filezilla durch ein Master-Passwort geschützt und nur noch verschlüsselt gespeichert werden. Ende 2016 hat nach dem Bericht dann ein frustierter Benutzer einen Fork des Filezilla-Programms mit einem solchen Master-Passwort erstellt, weil ihm durch Malware alle seine Passwörter kopiert und damit gestohlen wurden. Man vermutet, dass dieser Fork den Druck auf den Entwickler von Filezilla erhöht hat, jetzt endlich selbst tätig zu werden.

2017-05-29T07:24:45+02:00Mai 29th, 2017|Allgemein|Kommentare deaktiviert für Filezilla jetzt mit Master-Passwort

70 Millionen Dropbox-Zugangsdaten gestohlen

Anfang der Woche forderte der bei Internetschaffenden beliebte Cloud-Dienst Dropbox seine Nutzer angeblich rein vorsorglich zu einem Passwortwechsel auf, wenn ihr Zugangscode seit mindestens Mitte 2012 unverändert sein sollte, weil andernfalls ein unnötiges Sicherheitsrisiko bestehen würde. Jetzt wissen wir auch, warum: Dropbox hat jetzt bestätigt, daß Hacker tatsächlich 68 Millionen Zugangsdaten von Kunden gestohlen haben. Nach Angaben von Patrick Heim, Head of Trust & Security bei Dropbox, stammen die Benutzernamen und Passwörter offensichtlich von Mitte 2012. „Dropbox-Accounts sind damit zwar geschützt, betroffene Nutzer, die ihr Passwort aber auch für andere Seiten nutzen, sollten entsprechende Schritte in die Wege leiten, um sich auch dort entsprechend zu schützen“, ergänzte Heim seine Information. Über die Internetseite „Have I been pwned“ können Dropbox-Nutzer überprüfen, ob und in welchem Zusammenhang ihre Emailadresse und das entsprechende Passwort schon aufgetaucht sind.

2016-09-01T17:36:51+02:00September 1st, 2016|Allgemein|Kommentare deaktiviert für 70 Millionen Dropbox-Zugangsdaten gestohlen

Chrome wird zum Spionagewerkzeug

Der Verlauf des Google-Browsers Chrome soll jetzt auch zu Werbezwecken ausgewertet werden. Dazu muß man wissen, daß der Chrome-Verlauf nicht nur die gesamte Browserhistorie, sondern nach Angaben von Google auch eine Liste aller Downloads, Cookies, Plugins und Offlinedaten von Internetseiten und auch die gespeicherten Passwörter und individuellen Eingaben in Formulare enthält. Diese Daten lassen treffende Rückschlüsse auf sehr Intimes wie zum Beispiel Ihre Religionszugehörigkeit, ihre sexuellen Vorlieben oder ihre politische Meinung zu. Deshalb hat der Konzern seine Datenschutzrichtlinie schon im Juni entsprechend angepasst. Im Internet rief diese Ausweitung der Datennutzung zu Werbezwecken in Chrome neben großer Verärgerung auch derben Spott hervor – gefolgt von Aufrufen, diesen Browser nicht mehr zu benutzen. Deshalb hat wohl jetzt ein Google-Sprecher verlautbart, dass die neue Datenauswertung ausschließlich auf einer Opt-in-Basis freigeschaltet werde und daß Nutzer, die dem nicht zustimmen, von diesen Änderungen nicht betroffen sind.

2016-07-19T09:44:05+02:00Juli 19th, 2016|Allgemein|Kommentare deaktiviert für Chrome wird zum Spionagewerkzeug

Drupal-Accounts auf drupal.org gehackt

Nach einem Bericht von Heise wurden die Drupal-Server vorgestern gehackt. Zugriffe auf alle Nutzerdaten für Drupal.org und Groups.Drupal.org wurden dabei registriert. Deshalb hat der Betreiber alle Passwörter auf drupal.org zurückgesetzt. Wenn Sie Webseiten mit Drupal erstellen und einen Account dort haben, können Sie sich dort ein neues Passwort geben lassen. Es sind insgesamt fast eine Million Accounts betroffen! Die Kriminellen hatten offensichtlich Zugriff auf alle Nutzerdaten. Dazu gehörten Benutzernamen, Emailadressen, Länderinformationen und die gehashten Passwörter, einige ältere dieser Passwörter „ungesalzen“. Ob auch noch andere Daten gestohlen wurden, untersucht Drupal noch. Kreditkartendaten von Benutzern sollen nicht auf den Servern gespeichert worden sein.

2013-05-31T16:22:11+02:00Mai 31st, 2013|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Drupal-Accounts auf drupal.org gehackt

Verräterische Statusseiten beim Webserver Apache

Eine Untersuchung von Securi deckte auf, dass viele Internetserver ihre Statusseiten öffentlich anzeigen. Dabei können natürlich die IP-Adressen oder sogar Passwörter der Besucher verraten werden. Bei Bezahldienstleistern erscheinen auf den Seiten unter Umständen Sitzungstoken, über die man die gesamte Sitzung entführen und echte Schäden anrichten kann. Eine Liste der vom Automatiktest von Securi gefundenen Server mit offenen Statusseiten wurde unter Urlfind.org ins Internet gestellt. Ursache dafür ist eine fehlerhafte Konfiguration des Apache-Tools  mod_status. Wie man das korrekt konfiguriert, findet sich in der Apache-Dokumentation.

2012-11-03T10:07:35+02:00November 3rd, 2012|Allgemein|Kommentare deaktiviert für Verräterische Statusseiten beim Webserver Apache
Nach oben