WordPress Admin-Bereich absichern
Wenn meine Seiten nun schon mit gültigen SSL-Zertifikaten versehen sind, sollen diese natürlich auch zum Einsatz kommen. Daher habe ich u.a. den Verwaltungsbereich meines CMS und des Blogs auf https umgestellt. Hierfür werden entsprechende URLs auf die abgesicherte Variante umgeleitet.
Bei TYPOlight ist das auch kein Problem - bei WordPress scheint hier aber mehr Arbeit notwendig zu sein. So meldet der Browser stets, dass Teile der Seite über eine ungesicherte Verbindung geladen werden. Allerdings kann ein kleines Plugin Abhilfe für das Problem schaffen: Admin-SSL.
Diese Erweiterung wird von Haris zur Verfügung gestellt und sichert nicht nur den Admin-Bereich ab. So werden ab sofort auch Kommentare über https übertragen.
Damit man vom Browser keine Sicherheits-Warnung angezeigt bekommt sollte man das Root-Zertifikat von CAcert installiert haben.
Nachtrag: Das Plugin funktioniert nur einwandfrei, wenn in den Einstellungen das Komprimieren der Seiten deaktiviert ist.
fellowweb derzeit ohne XING-Import
Wie fellowweb am 17. August in einer Pressemitteilung erklärt, können derzeit keine Profildaten von XING importiert werden. fellowweb wollte es seinen Nutzern mit diesem Feature vereinfachen professionelle Profile aus XING in den neuen Internetdienst zu importieren.
Die Pressemitteilung beginnt mit dem Satz:
Die Xing AG folgt dem Beispiel manch unbeliebten Wettbewerbers und schränkt die Freiheit seiner Nutzer ein.
Weiter wird u.a. folgende Frage gestellt:
Was hat die Xing AG von einem sozialen Netzwerk wie Fellowweb.de zu befürchten?
Ich selbst nutze XING bereits seit Ende 2004 und finde den Dienst sehr hilfreich. Dass fellowweb von XING als Konkurrenz gesehen wird kann ich mir nicht vorstellen. Auch, dass XING meine Freiheit einschränkt sehe ich nicht. Dass zum Schutz von persönlichen Daten die Funktionalität von fellowweb engeschränkt wurde ist sicherlich ein herber Schlag für den neuen Internetdienst. Ich bin mir aber sicher, dass hierfür eine Lösung gefunden wird. Denn beide Netzwerke können sich sicherlich sehr gut ergenzen.
Windows XP: “Benutzer” für mehr Sicherheit
Was bei Linux alltäglich, schien mir bei Windows umständlich - das Arbeiten als normaler Benutzer. Es wurde einfach zur Gewohnheit weil es so selbstversändlich war. Dabei weißt sogar die Windowshilfe auf die Gefahren als Adminstrator hin: Warum Sie Ihren Computer nicht als Administrator ausführen sollten.
Da ich bei meinem Notebook ohnehin alles neu einrichten musste arbeite ich seit dem ausschließlich mit einem Benutzer mit eingeschränkten Rechten. Die höhere Sicherheit hat natürlich auch Ihren Preis.
Aufgepasst im Web2.0
Vor einiger Zeit hab ich in dem Artikel Sicherheit im Web2.0 vor allem auf ein paar Probleme beim Einsatz von Web2.0-Technologien in der Entwicklung hingewiesen. Viel problematischer ist aber wohl das Verständnis des Themas für den Anwender. Bei ordentlichen Diensten wird dieser (normalerweise) nichts zu befürchten haben - aber welche Möglichkeiten haben nun die schwarzen Schafe?
Die Anwender sind auch heute nicht aufgeklärt genug über das Thema Internet. Schon gar nicht was Web2.0 für sie bedeutet. Nicht umsonst gibt es noch immer regelmäßig Opfer von Phishing-Seiten. Denn meist fehlt wirklich schon das wesentlichste:
- aktueller Virenscanner
- aktuelle Firewall
- Nutzung von Diensten wie PhishTank
- Mitdenken vor dem Klick auf jede interessante Mail von unbekannt
- ...
Gefahren werden einfach unterschätzt oder garnicht erkannt. Dass eine SSL-Verbindung für eine sichere Verbindung beim Onlineshopping notwendig ist wissen sicher nicht alle. Und dass man gewisse Browser-Funktionen, wie das automatische Ausfüllen von Formularfelder mit Vorsicht einsetzen sollte ist sicherlich noch weniger bekannt. So fand ich bei Ajaxian einen interessanten Artikel über genau dieses Thema. Dort wird darauf hingewiesen wie einfach es möglich ist so z.B. an E-Mailadressen oder sogar Kreditkartendaten zu kommen. Eigentlich denkt man solche Funktionen seien nützlich. Doch auf einer entsprechend präparierten Seite können diese Daten automatisch übermittelt werden. Und der Nutzer bekommt es nicht mal mit.
Weitere Links zu dem Thema: ar.kadi.us, Whirlycott, Mayflower
anonymes Surfen mit Torpark
Das Torpark Projekt vereint die Leistung des Firefox mit der Sicherheit (Privatsphäre) von Tor. Als Ergebnis erhält man einen portablen und sicheren Internetbrowser. Da die Software nicht installiert werden muss kann er überall, ohne Spuren zu hinterlassen, eingesetzt werden.
Zum Download.
(via Golem)
Sicherheit im Web2.0
COMPUTERWOCHE.de schreibt in dem Beitrag Sicherheitsloch2.0? von Angriffsmöglichkeiten und Beispielen im sogenannten Web2.0. Jeder möchte bei der Entwicklung mitwirken und entsprechende Produkte auf den Markt bringen. Oft sind darunter auch "Start-ups" die sich mit Büchern zum Thema "Ajax in 24 Stunden beherrschen" das notwendige Wissen selbst aneignen. Ebenso wird bei COMPUTERWOCHE.de darauf hingewiesen, dass es eben diese Entwickler sind, die schnell zu fertigen Framworks greifen. Denn hierfür muss man teilweise gar nicht vertsehen wie Ajax funktioniert und was es bedeutet. Ein Zitat eines Sicherheitsexperten aus dem Artikel sagt sehr viel:
Wer jedoch nicht versteht, wie Ajax funktioniert, weiß auch nicht, wie man es sicher einsetzt.
Klar ist, dass im Web2.0 der eigentliche Dienst in den Hintergrund tritt und die Information einen höheren Stellenwert erfährt. Die Aufbereitung der Daten kann der Nutzer meist selbst steuern, z.B. indem er interessante Daten via Mashups in sein Portal integriert. Das bedeutet natürlich auch, dass sehr viel mehr Dienste als noch im Web1.0 miteinander kommunizieren um Daten auszutauschen. Folglich bieten sich auch sehr viel mehr Angriffsflächen für die einzelnen Dienste.
Meiner Meinung nach sollte man den Einsatz jeder Technologie gut überdenken und bewusst vornehmen. Denn eine Seite muss nicht nur aus Ajax bestehen. Eine gute HTML-Seite erfüllt für viele Aufgaben ihren Zweck. Wenn man hier nun wohl dosiert Ajax hinzugibt, um z.B. News automatisch zu aktualisieren, kann das ein echter Mehrwert sein und man behält dennoch den Überblick was eigentlich passiert.
Windows vor dem Login komplett starten
Nutzt man bei Windows XP ein Passwort um sich einzuloggen kennt man folgendes Problem: Nachdem das System hochgefahren ist, und man seine Benutzerdaten eingegeben hat, wartet man nochmal bis Windows alle weiteren Applikationen (z.B. aus dem Autostart Ordner) geladen hat. Diese Wartezeit kann man sicherlich leicht umgehen, indem man kein Passwort nutzt und einen Standard-Benutzer wählt. Dieser wird dann automatisch angemeldet. Ein Passwortschutz ist dann jedoch nicht mehr vorhanden.
Ziel ist es nun diese zweite System-Ladezeit zu umgehen und dennoch den Arbeitsplatz durch ein Passwort zu schützen.
TrueCrypt 4.2 erschienen
Gestern ist eine neue Version von TrueCrypt erschienen. Vor allem der Funktionsumfang für Linux wurde in Version 4.2 stark verbessert. Aber auch für Windows, meinem Haupteinsatzgebiet für TrueCrypt, gibt es einiges an Neuerungen. Besonders hilfreich sind dynamische Container, welche jedoch nur unter NTFS genutzt werden können. Hierbei wächst die Größe des Containers, je mehr Daten er beinhaltet. Zum Changelog.
(via Golem)
Live-CD für anonyme Internetnutzung
Es gibt eine neue Live-CD auf OpenBSD 3.8 Basis. Anonym.OS soll durch die Nutzung des Onion-Routing-Netz Tor den anonymen Internetzugang ermöglichen. Um in der Masse unterzugehen gibt sich das System als Windows XP SP1 aus. Klingt auch nach einem guten Ersatz für das Browser Appliance Image für den VMWare Player.
Das ISO Image kann bei Sourceforge heruntergeladen werden.
(via Golem)
Patch für WMF-Sicherheitsproblem
Wie ich eben bei Heise gelesen habe hat Microsoft ein Sicherheitsupdate gegen die WMF-Sicherheitslücke fertiggestellt. Derzeit wird der Patch in die verschiedenen Sprachversionen übersetzt und noch ausgiebig getestet. Erscheinen soll das Update nächsten Dienstag (Januar-Patchday).
Einen vorläufigen Patch gibt es von Ilfak Guilfanov.
Translation
Kategorien
Letzte Artikel
- Eigene Schriftarten für das Web: sIFR, cufón oder Webfonts
- Blog Ausbau
- STRATO V-Server umziehen
- Webentwicklung mit Python: Einstieg
- Wechsel zu Google Apps
Informationen
Demnächst
- E-Mail auch für Kinder?
- Rails: 2.1.0 order bei include mit Tabellennamen
- Mercurial
- Rails: POST, Code
- UpdateStar vs. Secunia
- zarafa: mein Ersatz für funambol
- Downloads
- Trac authz_policy
- jQuery
- jabberd2 Umzug
- AVM FRITZ!fax im Netzwerk: mit Windows Live Sync
- Trac authz_policy
- Fehlerhafte Windowsinstallation (SATA)
- TYPO t3x erstellen
- PHP / MySQL Timezones
- mod_security
- Python with Pylons
- Python egg-Packages
- Pylons Elixir
- Python Descriptor
- Python finding calling method
- Python Metaclass
- Webanwendungen mit Python: virtualenv
- Über ...
- PHP vs. Python vs. Ruby
- Interfacedesign mit Balsamiq Mockups
- Android QVGA Anwendungen
- Windows Mobile vs. iPhone vs. Android
- Netbeans XDebug PHP Firefoxextension
- Apache2 Basic Authentication with Python Handler
- Redmine
- Projekte
- Vita
- Publikationen
- WYSIWYG vs. Wiki Syntax