Alternative zur Dropbox-Cloud fürs Heimnetzwerk

Nach dem NSA-Skandal und dem Bekanntwerden des Heartbleed-Bugs sind die Sorgen vieler Benutzer um die Sicherheit ihrer eigenen Daten im Internet berechtigt. Cloud-Lösungen der großen amerikanischen Anbieter werden von vielen Deutschen nicht akzeptiert. Besonders Dropbox ist als Cloud-Speicher deutlich weniger attraktiv geworden, seit Bushs frühere Sicherheitsberaterin Condoleezza Rice – die in dieser Funktion eng mit den Geheimdiensten zusammenarbeitete – in den Vorstand berufen wurde. Wer sich Sorgen um die Sicherheit seiner Daten im Internet macht, sollte sie lieber auf seinem eigenen Server speichern. Alternativen gibt es genug. Für einen Cloud-Speicher im eigenen Heimnetzwerk eignet sich beispielsweise Owncloud recht gut. Bei Golem wird ausführlich beschrieben, wie die Dropbox-Alternative auf einem Raspberry Pi installiert und sicher konfiguriert werden kann. Die Anleitung lässt sich auch auf anderen Rechnern mit den Linux-Betriebssystemen Debian oder Ubuntu nachvollziehen. So kann man als Entwickler von Internetseiten auch Kunden von den Vorteilen der Cloud-Technik für Mobilgeräte überzeugen, die wegen der Zugriffe von NSA und anderen Datenschnüfflern Lösungen in den USA nicht mehr akzeptieren.

2014-04-19T22:44:16+02:00April 19th, 2014|Allgemein|Kommentare deaktiviert für Alternative zur Dropbox-Cloud fürs Heimnetzwerk

Die neuen kostenlosen Getty-Images für Blogger

Für den unvoreingenommenen Blogger, der gerne hochwertige Artikelbilder für seine Posts nutzt, klingt es zunächst erfreulich, wenn die Bildagentur Getty Images kostenlose Bilder zur nicht kommerziellen Nutzung anbietet. Allerdings kann man das bei genauerer Betrachtung komplett vergessen. Sie kommen im iFrame daher… Allein die technische Implementierung steht der üblichen Funktionalität (Bildgröße festlegen, große Version auf Klick usw.) von Blogs wie WordPress bzw. ihren Themes entgegen: Denn die Darstellung von Bildern, die Getty Images zum Einbetten freigegeben hat, wird mit einem von Getty vorgegebenen iFrame-Code realisiert, der das Bild vom Getty-Images-Server lädt und anzeigt. Eventuell aber auch nicht – dann kommt an dieser Stelle sogar statt des Artikelbildes Werbung beliebiger Art von Getty, für die die Burschen natürlich nichts zahlen wollen. In jedem Fall werden außer dem eigentlichen Bild auch noch Getty- Links zu Twitter und Tumblr, ein Urheberrechtshinweis und ein Link auf den Embed-Code mit eingebunden und angezeigt – alles massive Werbung für Getty Images, die völlig vom Kontext des Artikels ablenkt und das Erscheinungsbild des Artikels komplett versaut. Kostenlose Getty-Bilder sind Trojanische Pferde Dies Angebot ist kommt mir vor wie ein Trojanisches Pferd. Es ist reine Werbung für Getty Images, ohne die Chance, die Bildgröße anzupassen oder gar durch Klick auf das Bild eine größere [...]

2014-03-06T20:14:35+02:00März 6th, 2014|Allgemein|Kommentare deaktiviert für Die neuen kostenlosen Getty-Images für Blogger

Windows XP muss und kann weiter aktiviert werden

Microsoft den Support für Windows XP bekannterweise ab dem 8. April 2014 weitestgehend ein. Trotzdem soll sich das Uralt-Betriebssystem weiterhin installieren und aktivieren lassen. Das kann die zahlende Kundschaft auch verlangen, den beim Kauf stand ja nicht dabei, dass man es nur bis zu einem bestimmten Datum benutzen kann. Zu der von vielen erwarteten Entfernng des Aktivierungszwangs durch einen Patch konnte sich Microsoft offensichtlich nicht durchringen. Unter Sicherheitsaspekten macht es aber auch mit weiter zur Verfügung stehenden Aktivierungsservern und Virensignaturen nicht wirklich Sinn, XP über den April 2014 hinaus zu nutzen, weil Microsoft dann keine Patches mehr für das Betriebssystem herausgeben wird. Deshalb sollten Sie sich im eigenen Interesse in den nächsten drei Monaten von XP verabschieden!

2014-01-23T18:12:02+02:00Januar 23rd, 2014|Allgemein|Kommentare deaktiviert für Windows XP muss und kann weiter aktiviert werden

WordPress schließt 12 Sicherheitslücken mit Update 3.5.2

Das weltweit meistverbreitete Blog-CMS WordPress schließt mit dem soeben veröffentlichten Update auf Version 3.5.2 zwölf ernste Sicherheitslücken. Die Entwickler empfehlen, so schnell wie möglich upzudaten. Die neue Version 3.5.2 beseitigt Schwachstellen, die Cross-Site-Scripting(XSS), Server-Side-Request-Forgery- (SSRF) und Denial-of-Service-Attacken (DoS) zulassen. Wer schon jetzt mit der Betaversion WordPress 3.6 Beta arbeitet, bekommt mitdem Update 3.6 Beta 4 Sicherheitsupdates für dieselben Lücken. Diese gefährlichen Schwachstellen in Wordpress wurden dem Entwicklerteam direkt von den Nutzern gemeldet, bevor sie anderswo im Netz veröffentlicht wurden. Dies Vorgehen wurde vom Entwicklerteam besonders gelobt.

2018-01-27T21:20:23+02:00Juni 24th, 2013|Allgemein, CMS|Kommentare deaktiviert für WordPress schließt 12 Sicherheitslücken mit Update 3.5.2

Mehrere Fehler in Opera 12.12 beseitigt

Beim Erstellen von Internetseiten muss man schon die wichtigsten Browser auf seinem Rechner haben, um zu testen, ob Darstellung und Funktion der Seiten in Ordnung sind. Opera gehört zu den wichtigeren Browsern und hat vor wenigen Tagen die neue Version Opera 12.12 herausgebracht. Behoben wurden vor allem Sicherheits- und Stabilitätsprobleme, darunter auch der Fehler, der die Ausführung von Schadcode über entsprechend präparierte GIF-Dateien erlaubte. Auch die in Opera 12.11 bekannt gewordenen Fehler mit der Löschfunktion für Nutzungsdaten der Browsererweiterungen soll jetzt korrekt arbeiten. Ein guter Grund für ein Update!

2012-12-21T17:56:46+02:00Dezember 21st, 2012|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Mehrere Fehler in Opera 12.12 beseitigt

Die gefährliche Methode preventDefault()

Die DOM-Methode preventDefault() erlaubt es, den Aufruf einer aufgrund eines Ereignisses jetzt aufzurufende Methode nicht durchzuführen und stattdessen eigenen Code ablaufen zu lassen. Auch die Reaktion auf eine vom Benutzer eingegebene Tastenkombination kann damit geändert werden. Das sieht zum Beispiel so aus: $(window).keydown(function(evt){          if((evt.which == "70" && ( evt.metaKey || evt.ctrlKey ))){                 evt.preventDefault();                 /* Fake-Suche anzeigen */            }          });    Der Blogger h43z hat gezeigt, wie man die lokale Browsersuche, die mit „Strg+F“ aufgerufen wird, für das Ausspionieren eine Passwortes benutzen kann. Dazu wird dem Benutzer eine Passwortliste gezeigt, die angeblich durch einen Hack erbeutet wurde, und wenn dieser dann mal mit „Strg+F“ nachsehen möchte, ob sein Passwort auch dabei ist, kommt statt der Standard-Browsersuche ein täuschen ähnliches Fenster, über das ein Angreifer verfügen kann, wie er will.

2012-12-04T12:45:24+02:00Dezember 4th, 2012|Javascript|Kommentare deaktiviert für Die gefährliche Methode preventDefault()

Dienstag ist wieder Patchday bei Microsoft

Insgesamt neun Sicherheitsupdates will Microsoft beim Februar-Patchday am nächsten Dienstag verteilen. Damit sollen Sicherheitslücken im Betriebssystem Windows, im Internet Explorer und in Silverlight geschlossen werden. Die damit geschlossenen Sicherheitslücken werden vom Risiko her mit "hoch" eingestuft. Sie ermöglichen die Ausführung von Programmcode über das Netz oder die unauthorisierte Erweiterung der Rechte eines Nutzers. Zusätlich will Microsoft an diesem Tag das .NET-Framework auf einen neuen Stand bringen. Dadurch sollen die Stabilität, die Leistung und die Zuverlässigkeit des Frameworks erhöht werden. Die Veröffentlichung der Updates beginnt am Dienstagabend.

2012-02-10T11:12:53+02:00Februar 10th, 2012|Allgemein|Kommentare deaktiviert für Dienstag ist wieder Patchday bei Microsoft

Die Stärken und Schwächen textbasierter Captchas

Sicherheitsforscher der Stanford University fanden heraus, dass die bei Seitenerstellern und –betreibern als Mittel gegen automatisierten Spam beliebten Captchas recht einfach zu umgehen sind. Die Forscher untersuchten 15 existierende visuelle Captchas, die auf verzerrten Buchstaben und Ziffern mit aufgeprägten Störungen bestehen, um zu verhindern, dass Computer sie auflösen können. Sie entwickelten ein Tool namens Decaptcha und waren damit in der Lage, 13 von den 15 untersuchten Captchas auszuhebeln und maschinell aufzulösen. Einzig Captcha und Recaptcha von Google konnten dem Programm Decaptcha Widerstand leisten. Wir sollten uns also besser die nicht textbasierten Varianten der Mensch-Maschine-Unterscheidung ansehen Es müssen ja nicht unbedingt Katzenbilder (die sind übrigens auch schon geknackt) oder Audioclips (können Copyright-Probleme machen) sein, ein gutes einfaches Rechen-Captcha (2+7=?) ist da sicher vorzuziehen.

2011-11-07T09:55:21+02:00November 7th, 2011|HTML|Kommentare deaktiviert für Die Stärken und Schwächen textbasierter Captchas

Sicherheitsupdate für Java SE von Oracle

Zum Ende letzter Woche hat Oracle ein Java SE-Update veröffentlicht, das insgesamt 20 Sicherheitslücken schließen soll. Das Update gibt es für Windows, Linux und Solaris. Die Windows-Version wird über die automatische Schnittstelle Windows Update angeboten, man kann aber alle Patches bei Oracle downloaden. Bis auf eine lassen sich alle 20 Sicherheitslücken über das Netz ohne Authentifizierung nutzen. Sechs davon werden von Oracle als "kritisch" eingestuft. Auch die seit Ende September bekannte Lücke in Version 1.0 der Transport Layer Security (TLS), einer Verschlüsselung, die per HTTPS aufgerufene Websites sichern soll, wird mit diesem Update geschlossen.

2011-10-24T09:33:20+02:00Oktober 24th, 2011|Javascript|Kommentare deaktiviert für Sicherheitsupdate für Java SE von Oracle

Häufige Sicherheitslücken bei Webanwendungen

In einer vor Kurzem veröffentlichten Analyse des Open Web Application Security Projekts, kurz OWASP, wurden die häufigsten zehn Fehler in Webprogrammen und auch die dadurch erzeugten Schwachstellen dargelegt. Im Jahr 2010 wurden als größtes Problem die Injection-Angriffe identifiziert.  Als nächstes folgen in der Liste das Cross Site Scripting und fehlerhaftes Anmeldungs- und Session-Management. Hier die gesamte Fehlerliste der OWASP geordnet in der Reihenfolge der Häufigkeit ihres Auftretens: Injection Cross Site Scripting Broken Authentication and Session-Management Insecure Direct Object References Cross Site Request Forgery (CSRF) Security Misconfiguration Insecure Cryptografic Storage Failure to Restrict URL Access Insufficient Transport Layer Protection Unvalidated Transport Layer Protection Der Report will auf diese Sicherheitsrisiken bei der Webprogrammierung hinweisen und vor allem die Entwickler von Webanwendungen für die typischen Fehler dieser Art bei der Programmierung sensibilisieren.

2010-07-14T21:39:10+02:00Juli 15th, 2010|Allgemein|Kommentare deaktiviert für Häufige Sicherheitslücken bei Webanwendungen
Nach oben