Themen:

• Clickmoney
• Design
• Fotos
• Google
• Haha
• Hype
• Javascript
• Kurioses
• Linkbait
• Logfiles
• Omg
• Pagerank
• Privat
• Semantik
• Seo
• Shops
• Sicherheit
• Sonstige
• Spam
• Syntax
• Technologie
• Tricks
• Usability
• Webzwonull
• Yahoo

• Archiv

Wie sicher ist Ihr Server?

Peter Gabriels Server wurde am Wochenende beim Provider gestohlen. Netcraft nennt Rednet, eine nicht aktive Marke von Opal Telecoms, Teil der Carphone Warehouse-Gruppe, als Provider.

Site gehackt - was jetzt?

Mit der Einleitung, dass es trotz der vielen harten Arbeit, die viele Site-Betreiber in die Verhinderung von Einbrüchen stecken, trotzdem vielen solchen Leuten passiert, gibt Googles Webmaster Central Blog Empfehlungen, was zu tun ist, wenns zu spät ist.

Behandelt wird hier hauptsächlich, was man mit der Site machen soll, solange der Server nicht als lupenrein bezeichnet werden kann. Was fehlt, sind Hinweise, wie man solche Dinge verhindert. Angesichts der Tatsache, dass sich Betroffene normalerweise nur im Nachhinein für die Schadens-Limitierung statt proaktive Prävention interessieren, wäre es wohl müssig, sich damit auseinanderzusetzen.

Google-Positionierung

Sie wissen, dass Google vor einiger Zeit Postini gekauft hat. Jetzt wird die Sache als ein weiteres Pflaster für's Abschieben der Verantwortung positioniert: "Companies can lower the cost of deploying anti-spam and anti-malware software to offload the burden and cost of keeping the defenses updated, Swidler said. He also wrote that all applications launched from a Web browser must be updated to current patch levels."

Ich glaube, dass es heutzutage sicherer ist, wenn keine Anwendung im Browser gestartet wird. Was auf Ihrem Desktop passiert, sollten Sie nicht Wildfremden überlassen.

Zeitbombe CMS

Weil viele Content Management Systeme sich an das "Management" richten, sieht man in vielen Problem-Diskussionen die Empfehlung, durch Ausführung des Befehls chmod 777 die Handhabung beider zu vereinfachen. Die Vereinfachung betrifft dummerweise auch Leute, von denen man noch nie gehört hat, da ein Zugriffsrecht, bei dem "jeder alles" darf, Grund dafür ist, dass man immer wieder von missbrauchten CMS lesen kann. Auch wenn man ein entsprechendes Beispiel bei Wikipedia finden kann, hilft das nicht darüber hinweg, dass diese Rechte-Einstellung grob fahrlässig ist.

Sichere Delegation

Auf vielen Sites kann man heute lesen, diese seien, wie eine offenbar alleswissende Autorität bescheinigt, "Hacker Safe". Abgesehen von der Tatsache, dass eine solche Behauptung Unsinn ist - diese müsste den gesamten Code, der auf dem Server läuft, ständig prüfen - ist erkennbar, dass die Sache auf die abzielt, die's nicht besser wissen oder denen es egal ist. Solange Sie nicht wissen, dass der laufende Code korrekt ist und der Server selbst abgeschottet ist, behaupten nur Naive, eine Site wäre sicher.

Davon abgesehen: die meisten Zeitgenossen können immer noch nicht zwischen Hacker und Cracker unterscheiden, was der Grund ist, dass so alberne Quasidienstleistungen ihre Abnehmer finden. Erinnert mich sehr an Hände waschen.

Kraut und Rüben

Datenübernahme ohne Sanitätsfunktion ist genauso gefährlich, wie Code-Ausführung aus unbekannter Quelle. Schön wirds, wenn die richtige Kombination von Daten, Code und Server-Eigentümer zeigen, dass gegen Inkompetenz kein Kraut gewachsen ist. Wirklich kein einziges.

http://www.heise.de/newsticker/meldung/100630

Nichts geht über Kontrolle

Nur weil etwas kostenlos und als Open Source Software bereitgestellt wird, kommt das nicht automatisch einem Gütesiegel gleich. Sofern Sie nicht wirklich verstehen, welche Schritte Sie ausführen, dürfen Sie sich nicht wundern, wenn die Realität dann nicht mit den Erwartungen übereinstimmt. Die meisten CMS wurden nämlich nicht unter Sicherheitsgesichtspunkten erstellt. Wenn die Installierungs-Anweisungen die Aufforderung chmod 777 enthalten, erlauben Sie damit jedem [!], Dateien und Verzeichnisse nach Belieben zu verändern. Nicht unbedingt empfehlenswert.

Adobe Tag der Offenen Tür

Als ich vor längerer Zeit Photoshop auf meinem Apple Powerbook installierte, hatte ich mich schon gewundert, dass viele Dateien mit den Zugriffsrechten 0777 installiert worden waren [für nicht-Techies heisst das, dass jeder solche Dateien manipulieren darf]. Das Problem war relativ einfach zu fixen durch ein rekursives chmod go-w.

Als Photoshop CS3 veröffentlicht wurde, gab es Warnmeldungen, dass beim Installationsvorgang der Firewall des Systems deaktiviert würde, etwas, was bisher kein anderes Unternehmen zu praktizieren wagte. Jetzt meldet Heise, Adobes Webserver steht sperrangelweit offen. Haben die Leute bei Adobe keine Ahnung von Sicherheit?

http://www.heise-security.co.uk/news/96605

Erster Preis!

Das passiert nur beschlippsten Pomaderednern: J.B. arbeitet für eine Firma, die ein CMS [Content Management System, oder zu deutsch Inhaltsverwaltungssystem für Leute, die vi nicht beherrschen] entwickelt, und er ist verantwortlich für die folgende Episode aus dem Leben eines Dazulernenden. CM Systeme erlauben das Füttern, Ändern und auch Löschen von Inhalten auf dem Web Server durch jeden, der zugriffsberechtigt ist.

Zugriffsberechtigung kann man durch so etablierte wie bewährte Standardmethoden regeln, z.B. HTTP Authorisation, oder man kann - wie auf den meisten Systemen, die einen "Login"-Prompt bieten, seit Jahren üblich - eine eigene Lösung stricken. In diesem Fall wurde eine "Lösung" gehäkelt, die auf einer recht komplizierten Methode der freiwilligen Selbstkontrolle basierte: der Browser entschied, ob er zugriffsberechtigt war, wenn der JavaScript-Code, der im Browser läuft, einen Cookie richtig auswertete.

User-agents, die Cookies nicht akzeptieren oder speichern, und bzw oder die JavaScript nicht ausführen oder überhaupt zur Kenntnis nehmen [weil sie von Erwachsenen eingesetzt werden, die auf Integrität wert legen], können an dieser Art der freiwilligen Selbstkontrolle nicht teilnehmen. Soll heissen, diesen Anwendungen steht jeder einzelne Link uneingeschränkt und vor allem durch den Webserver ungehindert[!] zur Verfügung.

Eine der Anwendungen, die Webseiten ohne Ausführung von Code aus dritter Quelle [und oft auch dritter Hand] abruft, ist ein Web-Spider namens Googlebot. Dieser konnte auf der über Monate hinweg mit alten und an das CMS angepassten Inhalten gefütterten Site, die kürzlich online ging, nicht an der freiwilligen Selbstkontrolle für unbedacht konfigurierte Anwendungen partizipieren, weil diese sich eben nicht an dafür vorgesehenen Richtlinien orientiert. Und der so nichts Böses ahnend auch alle mit "Löschen" gekennzeichnete Links verfolgte und damit die Inhalte entsorgte.

Was kann man da sagen? Cool :-)

Google Spyware

Völlig entsetzt melden Journalisten bei Medien, die überwiegend Microsofts Spin verbreiten, Googles neue Desktop-Suche stelle ein Sicherheitsrisiko dar. Erlaubt die Anwendung doch, Dateien zu indexieren und einzusehen, die anderen Anwendern der gleichen Maschine gehören. Googles Desktop-Suche bietet damit - etwas komfortabler - die gleichen Möglichkeiten, die die in Windows eingebaute Suche, und jedes andere Programm, das beliebige Dateien öffnen und lesen kann, schon immer besass. Wie soll man das auf einer Maschine, die Sicherheit nur simuliert, auch verhindern?

In diesem Zusammenhang: den evolutionären Stillstand unserer Gesellschaft dokumentiert der Financial Express soeben. Dem Artikel nach ist auf ca 90% aller Computer Spyware installiert. Die anderen setzen auf Linux, BSD, MacOs oder andere erwachsene Mehrplatzlösungen.

Google-Hack

In einem so irreführenden wie schreierischen Artikel auf einer Site, die sich überwiegend mit Endverbraucher-Technologie befasst und zumindest ein Minimum an Verständnis der Zusammenhänge aufbringen sollte, wird u.a. behauptet:

• Betrügern wird es im Web leicht gemacht
• Die Suchmaschine Google liefert ... Kredikartendaten sowie Namen, Adressen und Telefonnummern der Inhaber.
• Damit ist ein weiterer Fall von Google-Hacking ans Tageslicht gekommen.

Oder sind da wieder zwei Schreiberlinge aufgeflogen, die nach der Gleichung besorgniserregendes Gezeter + Google = Sensation produzieren, da ihnen offenbar nichts besseres einfällt?

Dass es in jedem einzigen Fall der angeblich über Google möglichen Sicherheitsverstösse stets an der Ignoranz, der fahrlässigen Leichtfertigkeit liegt, mit der binäre Information von Kravatten-Trägern mangels Sachverstand gehandhabt werden, dokumentiert Heise qualifiziert und sachlich an einem kürzlich in Deutschland aktuell gewordenen Fall.

http://www.heise.de/newsticker/meldung/49730

Suchmaschinen Blog Archiv

© Copyright 1998 - 2008 Klaus Schallhorn.