Viele Drupal-Websites sind immer noch verwundbar

Man mag es kaum glauben, aber noch immer gibt es über 100.000 auf dem CMS Drupal basierende Websites, die über eine lange bekannte kritische Sicherheitslücke, über die wir auch schon vor über zwei Monaten berichtet haben, angreifbar sind. Sicherheitsupdates gegen die Schwachstelle sind seit über zwei Monaten verfügbar. In diesen Tagen sind Sicherheitsforscher von Bad Pockets Report auf über 115.000 Drupal-Websites gestoßen, die anfällig für Angriffe über die kritische Sicherheitslücke CVE-2018-7600 sind, wie sie in einem Blogeintrag berichten. Die Schwachstelle ist schon seit Ende März bekannt, und zu diesem Zeitpunkt erschienen auch Sicherheitspatches gegen das Problem. Nach eigenen Angaben haben die Sicherheitsforscher eine halbe Million Drupal-Webseiten untersucht, die die Version 7 des Content Management Systems (CMS) nutzen. Davon war noch etwa ein Viertel über CVE-2018-7600 verwundbar. Rund ein Drittel hatten bereits eine abgesicherte Version installiert. Bei 47 Prozent der Websites konnten die Sicherheitsforscher die genutzte Drupal-Version nicht ermitteln. Updates schon seit Ende März verfügbar Erwartungsgemäß kam es nach der Veröffentlichung von Details zur Lücke  zu  ersten Angriffen,was unter anderem eine Webseite von des Computerherstellers Lenovo traf. Die Schwachstelle gibt es sowohl in Drupal 7.x als auch in Drupal 8.x. Die Ausgaben ab 7.58 und 8.5.1 sind schon abgesichert. Wegen der Schwere der Sicherheitslücke bekommen selbst die eigentlich nicht mehr [...]

2018-06-05T18:55:40+02:00Juni 5th, 2018|Allgemein, Coding, Javascript, PHP, Webwerkzeuge|Kommentare deaktiviert für Viele Drupal-Websites sind immer noch verwundbar
Weiterlesen

Gute Bewertung für Microsofts Sicherheitslösung Defender

Stolz informiert Microsoft die Welt in einem Blog-Beitrag über die neuesten Testergebnisse von unabhängigen Sicherheitsexperten in Bezug auf seine in dem Betriebssystem Windows 10 integrierte Sicherheitslösung MS Defender. Nach dem Artikel ist die Sicherheitslösung von Microsoft gegenüber ihren Wettbewerbern durchaus konkurrenzfähig. Der Microsoft-Blogpost im Detail Der Senior Program Manager Zaid Arafeh vom Windows Defender Research gibt in seinem Beitrag weitere Informationen dazu. Erst einmal zeigt sich der Mann verständlicherweise erfreut über die insgesamt guten Ergebnisse der eigenen Sicherheitslösung Windows Defender bei einem Dauertest von AV-Test. Bei der Schutzwirkung erzielte der Defender bei den von Januar bis Februar durchgeführten Tests 6 Punkte – das ist die Höchstpunktzahl. Benutzerfreundlichkeit und Performance In Sachen Benutzerfreundlichkeit, welche sich hauptsächlich auf falsche Einstufungen (false positives) bezieht, weist Arafeh darauf hin, dass von Windows Defender AV falsch klassifizierte Programme im geschäftlichen Kontext nicht besonders häufig genutzt werden. Unter dem Punkt Leistung wurden die Performanceeinbußen durch die laufende AV-Lösung bewertet. Auch dabei schnitt der Defender mit 5,5 von 6 Punkten insgesamt gut ab. Die weitere Entwicklung Bei den inzwischen auch schon veröffentlichten Ergebnissen für den Monat März war die Schutzwirkung wieder ein wenig rückläufig – im Monat April gab es dann aber wieder 100%igen Schutz vor Zero-Day-Malware.

2018-05-31T22:28:16+02:00Mai 31st, 2018|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Gute Bewertung für Microsofts Sicherheitslösung Defender
Weiterlesen

Der neue Google-Browser Chrome 67

In der aktuellen Version 67 seines Webbrowsers schließt Google einige Sicherheitslücken, entfernt einen Sicherheitsmechanismus und fügt im Gegenzug auch einen neuen für weitere Nutzer hinzu. Das Sicherheitsfeature Site Isolation soll zwar In Chrome 67 immer noch nicht standardmäßig, aber doch schon für immer mehr Nutzer aktiviert sein. Den Standard HTTPS Public Key Pinning (HPKP) hat Google jetzt wieder aus Chrome entfernt. In Version 67 haben die Entwickler immerhin 34 Sicherheitslücken geschlossen. Keine davon war aber als kritisch eingestuft und nur neun davon sind mit dem Bedrohungsgrad "hoch" eingestuft. Die Sandbox-Erweiterung Mit der Site Isolation sollen Webseiten effektiv voneinander abgeschottet werden, weil die Seiten jeweils als eigene Prozesse laufen. Dieser Schutz ergänzt die Sandboxen, in denen Chrome die Webseiten öffnet. Durch Site Isolation soll es Angreifern noch schwerer gemacht werden, über eine manipulierte Internetseite Informationen von anderen Seiten abzugreifen. Dieser Ansatz soll vor allem vor den gefürchteten Seitenkanal-Angriffe wie beispielsweise den CPU-Lücken Meltdown und Spectre sowie UXSS-Attacken schützen. Mit der neuen Browserversion Chrome 67 soll das Feature jetzt für noch mehr Nutzer aktiv sein. Wer die Funktion noch nicht hat und sie aktivieren möchte, gibt in die URL-Zeile chrome://flags ein. Danach sucht man dann nach "Strict site isolation" und aktiviert diesen Eintrag. Wenn Chrome dann neu gestartet wurde, ist das neue Sicherheitsfeature aktiv. [...]

2018-05-31T00:26:45+02:00Mai 31st, 2018|Browser, Coding, Webwerkzeuge|Kommentare deaktiviert für Der neue Google-Browser Chrome 67
Weiterlesen

Die neue Domainabfrage der DENIC

Wer in letzter Zeit eine Domain von einem anderen Eigentümer oder Provider übernehmen musste und den Fortschritt anhand der diversen Eintragungen wie beispielsweise „Kontakte“ von Eigentümer und Admin-C über Technik-C und Zonen-C oder anderer Daten der DENIC verfolgen will, steht damit nach dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) der EU inzwischen im Regen. Domaindaten nur noch für den Inhaber Einem mit dem Eigentümer der Domain nicht identischen Abfrage liefert das WHOIS der DENIC nur noch unter „Technische Daten“ die beiden eingetragenen Nameserver, unter „Infos zur Kontaktaufnahme“ nur noch Email-Adressen des zuständigen Providers für generelle Anfragen oder Mißbrauchsmeldungen. Die Inhaberdaten gibt es jetzt unter „Informationen zum Domaininhaber“ nur noch für den Eigentümer, der sich über seine Email-Adresse authentifizieren muss. Alles andere geht über spezielle Formulare Will man sich beispielsweise gegen die Verletzung von Rechten durch diese Domain wehren, muss man dazu ein Formular an die DENIC senden, in dem auch die nötigen Voraussetzungen stehen. Das gleiche gilt auch für zivilrechtliche Pfändungen, auch hier liefert das Formular Zusatzinfos. Bei behördlichen Anfragen geht das genauso. Und wenn es nicht um die Verletzung von Rechten, Pfändungen oder Behördenanfragen geht, gibt die DENIC keine Auskunft mehr, um nicht gegen die DSGVO zu verstoßen.

2018-05-28T19:35:04+02:00Mai 28th, 2018|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Die neue Domainabfrage der DENIC
Weiterlesen

Browser Chrome sieht HTTPS als Standard

Googles Browser Chrome setzt künftig voraus, dass die Verschlüsselung von Internetseiten mit sicherem HTTP (HTTPS) als Standard angesehen werden kann. Es beginnt mit Chrome 69... Deshalb markiert der Browser  solche Seiten in Zukunft nicht mehr mit dem grünen Schloss und dem Wort „Sicher“ in der Adressleiste. Diese Änderung soll mit der Einführung von Chrome 69 im September eingeführt werden. HTTP-Seiten ohne Verschlüsselung kennzeichnet Chrome zurzeit nur mit einem grauen Ausrufungszeichen. Ab der Version 68, die im Juli veröffentlicht werden soll, erscheint neben dem Ausrufungszeichen zusätzlich der Hinweis „Unsicher“ gegeben werden. …und geht mit Chrome 70 weiter Mit Chrome 70, der für Oktober geplant ist, soll die Warnung weiter verschärft werden. Dann soll bei allen Texteingaben in unverschlüsselte Websites die Farbe der Verschlüsselungs-Warnung von Grau nach Rot wechseln und das Ausrufezeichen gegen ein rotes Warndreieck ausgetauscht werden. Kostenlose und günstige SSL-Zertifikate Heutzutage sind Zertifikate für die Verschlüsselung von Websites schon bei so manchen Anbietern schon fester Bestandteil von Hostingpaketen. Außerdem bietet unter anderem die Non-Profit-Organisation Internet Security Research Group mit ihrer Initiative Let’s Encrypt kostenlose SSL-Zertifikate an. Schon länger setzt sich Google für die standardmäßige Verschlüsselung des Datenverkehrs zwischen Browser und Webserver ein. Um die Verbreitung von HTTPS-Websites zu erhöhen, werden sie schon seit mehreren Jahren in [...]

2018-05-22T16:40:00+02:00Mai 22nd, 2018|Browser, HTML, Webwerkzeuge|Kommentare deaktiviert für Browser Chrome sieht HTTPS als Standard
Weiterlesen

Efail: FH Münster entzaubert PGP und S-MIME

Die Fachhochschule Münster hat sich die Standards und die konkreten Umsetzungen der Email-Verschlüsselung mit PGP und S/MIME genauer angeschaut und ist zu einem vernichtenden Urteil gekommen: S/MIME und OpenPGP können die Sicherheit von verschlüsselt versandten Nachrichten nicht ausreichend sicherstellen. Angreifer, welche die verschlüsselt verschickten Emails abfangen und manipulieren können, können sich auch Zugang zu Teilen des Klartexts der Nachricht verschaffen, warnen die Experten rund um Sebastian Schinzel von der FH Münster. Von dem "Efail" genannten Problem sind praktisch alle Programme betroffen, die Email-Verschlüsselung umsetzen – von Microsofts Outlook und Windows Mail bis hin zu Mozillas Thunderbird und Apple Mail. Besonders gefährlich ist das bei dem vor allem im Firmenumfeld eingesetzten S/MIME, wobei die Münsteraner Forscher letztlich diesen Standard als „unrettbar kaputt“ erklären. Aber auch das aus der Graswurzelbewegung kommende PGP weist gravierende Probleme auf, die sich für ganz konkrete Angriffen ausnutzen lassen. Hier besteht jedoch die Hoffnung, dass die Probleme durch Updates der Hersteller von OpenPGP-Erweiterungen wie beispielsweise Enigmail mittelfristig entschärft werden können. Nur vorbeugende Maßnahmen helfen ein wenig Um sich gegen Efail zu schützen, kann man in der aktuellen Situation im Grunde nur auf den Versand sehr brisanter Informationen per Email verzichten. Aber vorbeugende Maßnahmen wie z.B. das Deaktivieren der Anzeige von HTML und des [...]

2018-05-15T17:06:05+02:00Mai 15th, 2018|Allgemein, Coding, Webwerkzeuge|Kommentare deaktiviert für Efail: FH Münster entzaubert PGP und S-MIME
Weiterlesen

Die freie Bildbearbeitung Gimp 2.1 ist fertig

Sechs Jahre hat es gebraucht, bis die Entwickler der freien Bildverarbeitungssoftware GNU Image Manipulation Program, kurz Gimp, mit der neuen Version 2.10 ein neues Major Update fertiggestellt haben. Gimp 2.1 steht als Download für Linux und Windows schon zur Verfügung, eine Version für Apples macOS soll später noch folgen. Neben  der Portierung des Programms auf eine neue Bildverarbeitungs-Engine, GEGL, bietet die neue Version auch viele neue Funktionen. Dazu gehören neue und verbesserte Tools, bessere Unterstützung von Dateiformaten, diverse Verbesserungen der Benutzerfreundlichkeit, überarbeitete Farbmanagement-Unterstützung, jede Menge Verbesserungen für digitale Maler und Fotografen und vieles mehr. Eine Auflistung aller neuen Features haben die Entwickler in einem Blogbeitrag zusammengefasst. Die Neuerungen von Gimp 2.1 Hauptziel der Entwickler für Version 2.1 war sicher die Komplettierung der Umstellung von Gimp auf die GEGL-Bildverarbeitungsbibliothek. Nach der schrittweisen Einführung in den vorausgangenen Versionen benutzt Gimp 2.1 GEGL jetzt für das gesamte Kachelmanagement. Die Unterstützung für hohe Bittiefen ermöglicht die Verarbeitung von Bildern mit einer Genauigkeit von bis zu 32 Bit pro Farbkanal und auch das Öffnen bzw. Exportieren von PSD-, TIFF-, PNG-, EXR- und RGBE-Dateien in ihrer originalen Farbtreue. Außerdem können FITS-Bilder mit einer Genauigkeit von bis zu 64 Bit pro Kanal geöffnet werden. Gimp 2.1 nutzt auch die Ressourcen von modernen Prozessoren durch die Unterstützung [...]

2018-05-05T12:36:10+02:00April 30th, 2018|Allgemein, Bildbearbeitung, Webwerkzeuge|Kommentare deaktiviert für Die freie Bildbearbeitung Gimp 2.1 ist fertig
Weiterlesen

Das neue Chrome-Design wird runder

Mit deutlich weniger Ecken und Kanten kommt das neue Design des Google-Browsers Chrome in Zukunft daher. Einen ersten Eindruck von den kommenden Änderungen gewinnt man nun schon bei der Canary-Entwicklerversion des Browsers. Zuerst fallen vor allem die auffällig abgerundeten Browser-Tabs und die abgerundete "Omnibar"-Adressleiste ins Auge. Auch das Nutzer-Icon rutscht jetzt neben die Omnibar. und die bisherige Schaltfläche für neue Tabs hat sich in einem Plus-Symbol verwandelt. Ein erster Blick auf das neue Design Wer schon mal einen Blick auf das neue Chrome-Design werfen möchte, muss man die aktuelle Canary-Version 68 installieren und unter chrome://flags#top-chrome-md das UI-Layout "Refresh" einstellen. Nach einem notwendigen Neustart kann man dann die runden Tabs sehen. Dabei handelt es sich um einen frühen Status, und in den nächsten Wochen sind noch weitere Änderungen zu erwarten, bevor das neue Design dann auch irgendwann in der stabilen Version von Googles Browser zu sehen sein wird. Laut 9to5Google folgt das neue Chrome-Design dem "Material Design Refresh" (MdRefresh), das man auch als "Material Design 2" (MD2) kennt, Mehr Details zu diesem überarbeiteten Material Design könnte es auf der Entwicklerkonferenz Google I/O 2018 geben, die am 8. Mai startet. Auf der I/O 2014 hatte Google ja seine Designrichtlinien zum ersten Mal vorgestellt.

2018-04-25T07:11:18+02:00April 25th, 2018|Allgemein, Browser, Webwerkzeuge|Kommentare deaktiviert für Das neue Chrome-Design wird runder
Weiterlesen

Wo bleiben die Besucher von Facebook?

Wenn Sie sich in den letzten Tagen gefragt haben, ob über Facebook weniger Besucher als früher auf Ihrer Internetseite aufschlagen, dürften Sie wohl auf die ersten deutlichen Auswirkungen des Datenskandals beim Gesichterbuch gestoßen sein. Facebook verliert merklich an Reichweite Denn die von Facebook stammenden Benutzerdaten, mit deren Hilfe nicht nur der Pussy-Grabscher Donald Trump Präsident der USA geworden und die Brexitentscheidung in Großbritannien herbeigeführt worden sein sollen, haben zunächst zu einem deutlichen Gesichtsverlust beim Facebook geführt. Das heißt aber nicht nur, dass eine große Zahl von Usern ihre Facebook-Konten geschlossen haben, sondern auch, dass das „Gesichterbuch“ sein Renomée und seine Attraktivität als Werbepartner mehr und mehr verliert. „Ich spüre, dass ein gewisser Verdruss in der Werbewirtschaft entsteht, die ersten Unternehmen wenden sich ab“, sagte dazu die Chefin des Medien-Unternehmens Gruner + Jahr, Julia Jäkel, der Süddeutschen Zeitung – und weiter: „Jetzt stellen die ersten Werbekunden fest: Es gibt kaum Kontrolle, in welchem Kontext die Anzeigen erscheinen, das Werbeerlebnis ist flüchtig“. Änderungen am Algorithmus reduzieren die Besucherzahl zusätzlich Auch dort würden nach den jüngsten Algorithmus-Änderungen als Reaktion auf den massiven Datenmissbrauch bei Facebook  jetzt deutlich weniger Besucher über Facebook auf die beworbenen Internetseiten weitergeleitet.

2018-04-17T05:57:16+02:00April 17th, 2018|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Wo bleiben die Besucher von Facebook?
Weiterlesen

Cloudflares neue DNS-Server sind online

Ab sofort können die DNS-Server beziehungsweise Resolver des US-Unternehmens Cloudflare unter den öffentlichen IP-Adressen 1.1.1.1 und 1.0.0.1 genutzt werden. Das kündigt das Unternehmen in einem Blogeintrag an. Die beiden Server sind für rekursive Domainauflösung ausgelegt, wie es im Internet normalerweise Standard ist. Außerdem unterstützen beide Server DNS-over-HTTPS und DNS-over-TLS, wodurch die DNS-Abfragen selbst verschlüsselt werden können. Cloudflare weist besonders auf die schnellen Reaktionszeiten und auf die Sicherheit dieses DNS-Systemes hin. Die Server haben sehr geringe Latenzzeiten Das Unternehmen hat den DNS-Dienst im März 2018 auf 31 Rechenzentren weltweit verteilt. Ein Großteil der Standorte befindet sich in Europa, in China und in den USA, deshalb sind kurze Latenzzeiten zumindest für diese Kontinente und Länder nicht erstaunlich. Erste Tests zeigen gute Resultate. Nykolas Z vom Medium-Blog hat auch die Leistung verglichen. Danach kann keiner der dabei getesteten DNS-Dienste einen großen Geschwindigkeitsvorsprung erreichen, aber Cloudflare ist immer an erster Stelle dabei. Verglichen wurde die Cloudflare-DNS mit den Servern von Google (8.8.8.8), von Quad9 (9.9.9.9 ) und von OpenDNS (208.67.222.222). Eine Frage der Datensicherheit Für die dauerhafte Nutzung stellt sich die Frage, ob man als Nutzer seine über das Internet gesendeten Daten an ein unreguliertes Unternehmen, insbesondere aus Staaten wie den USA, übertragen sollte. Denn DNS-Server speichern zum Beispiel aufgerufene Domains [...]

2018-04-03T16:14:08+02:00April 3rd, 2018|Webwerkzeuge|Kommentare deaktiviert für Cloudflares neue DNS-Server sind online
Weiterlesen
Nach oben