PayPal IPN unterstützt HTTP 1.0-Protokoll ab 1.2.2013 nicht mehr

Wer Internetseiten für Shops erstellt oder pflegt, die auch eine PayPal-Zahlungsschnittstelle nutzen, muss möglicherweise Änderungen vornehmen.  PayPal erweitert den IP-Adresspool seiner Server. Als Teil dieses Übergangs plant der Zahlungsdienstleister, die Unterstützung des HTTP 1.0-Protokolls ab 1. Februar 2013 einzustellen. Das wirkt sich auf die Instant Payment Notification (IPN) aus in den Zahlungsschnittstellen von Internetshops und Verkaufsstellen aus, die IPN nutzen. PayPal hat sich in einem Foren-Eintrag und per Email bei Kunden, die IPN schon nutzen, dazu geäußert und weist insbesondere darauf hin, dass die IPN- Scripte nur noch funktionieren, wenn das HTTP 1.1-Protokoll verwendet wird, das den Header "Host: www.paypal.com" im Request beinhalten muss. Hier ein Auszug aus der Email, nach dem Programmierer ihre Zahlungsschnittstelle umstellen können:   Was bedeutet das im Detail? Alle eingehenden Anfragen benötigen ab dem 1. Februar 2013 einen "Host"-Header, der den HTTP 1.1-Spezifikationen entspricht. Dieser Header wurde für HTTP 1.0 nicht benötigt. IPN- und PDT-Skripte, die nach dem 1. Februar 2013 HTTP 1.0 verwenden, werden möglicherweise die Fehlermeldung "HTTP/1.0 400 Bad Request" erhalten. Aus diesem Grund können IPN-Benachrichtigungen nicht erfolgreich bestätigt werden oder PDT-Skripte können keine Transaktionsinformationen abrufen. Erforderliche Maßnahmen vor dem 1. Februar 2013 Händler müssen Ihre IPN- und/oder PDT-Skripte aktualisieren, HTTP 1.1 verwenden und den "Host"-Header in dem IPN-Verifizierungsskript [...]

2012-09-07T08:27:10+02:00September 7th, 2012|Javascript, PHP|Kommentare deaktiviert für PayPal IPN unterstützt HTTP 1.0-Protokoll ab 1.2.2013 nicht mehr
Weiterlesen

Die Favoriten unter den Programmiersprachen

Die neue Studie der Projektbörse Gulp, die gestern herauskam, basiert auf der Untersuchung von über 60.000 Anfragen nach Programmierdienstleistungen von freiberuflichen Software-Entwicklern. Dabei geht es nicht nur um die Erstellung von Internetseiten oder Apps, sondern auch um System- und Anwendungsprogrammierung für den Desktop. Im Fokus der Analyse standen natürlich die Stundensätze der selbstständigen Software-Entwickler, die im Mittel bei gut 70 € lagen. Aber man kann der Auswertung auch die aktuell angesagten Programmiersprachen entnehmen. Bei der Erstellung von "normalen" Webseiten sind immer noch PHP, ASP, Javascript und Perl die Sprachen der Wahl.  Aber auch bei komplexen Projekten gibt es einen Favoriten: die Java-Programmierung. Java/JEE ist mit 50% die gefragteste Programmiersprache, gefolgt von C/C++ mit 36% und C# (C sharp) mit 14%.

2012-04-28T07:56:42+02:00April 28th, 2012|Allgemein|Kommentare deaktiviert für Die Favoriten unter den Programmiersprachen
Weiterlesen

Die Lilupophilupop-SQL-Injection

SQL-Injections gehören im Internet-Zeitalter zu den größten Schwachstellen von Servern. Dabei werden Sicherheitslücken der Komponenten ausgenutzt, um über die Datenbanksprache SQL  eigene Befehle an die Datenbank abzusetzen. So eine Methode, die sogenannte Lilupophilupop.com-SQL-Injection, hatte nach einem Bericht des Internet Storm Center inzwischen schon bei über einer Million Webserver Erfolg. Die Anzahl infizierter Seiten steigt noch weiter. Anfang Dezember waren es erst 80 Websites. Allein in Deutschland sin aktuell 50.000 Sites betroffen. Bei Lilupophilupop werden die Internetseiten so infiziert, dass dem Besucher Schadsoftware untergeschoben wird. Ob die eigenen Seiten auch betroffen sind, kann man mit einer Suche nach der Zeichenkette " <script src=http://lilupophilupop.com" in Verbindung mit dem site:-Parameter leicht festgestellt werden. Erste Hilfe bringt die Sperrung der Domain lilupophilupop.com auf dem Server. Der Angriff funktioniert auch nur, wenn man den Microsoft IIS als Server nutzt und dort auch noch ASP und die ColdFusion-Middleware von Adobe. LAMP-Server wie beim GSL-Webservice verwendet, sind gegen die Attacke sicher.

2012-01-07T08:51:10+02:00Januar 7th, 2012|Allgemein, MySQL|Kommentare deaktiviert für Die Lilupophilupop-SQL-Injection
Weiterlesen

POST-Anfragen können Internetserver lahmlegen

Auf dem Kongress des Chaos Computer Clubs wurde eine neue Schwachstelle von Internetservern offengelegt. Die Entwickler Alexander Klink und Julian Wälde haben das Problem entdeckt und beschrieben. Über POST-Requests kann man gezielt Hash-Kollisionen auslösen, die die Last eines Internetservers drastisch erhöhen, und so eine DoS-Angriff fahren. Das klappt im Grunde bei allen Webservern, denn das Problem liegt in den verwendeten Scriptsprachen wie PHP, ASP oder Javascript. Durch solche provozierten Hash-Kollisionen braucht man weniger als 100 kBit/s Bandbreite, um eine moderne CPU komplett auszulasten und einen Internetserver in die Knie zu zwingen. Als bestes Mittel dagegen gilt es, die Hash-Funktion zu randomisieren. Einige Hersteller haben schon auf die Angriffsmöglichkeit reagiert. Microsoft bietet einen Patch für ASP.Net an, der heute erscheinen soll. Bei PHP empfiehlt sich die Absicherung mit Suhosin an. Für Tomcat gibt es ein Workaround und für Ruby einen Patch.

2011-12-29T14:53:20+02:00Dezember 29th, 2011|Javascript, PHP|Kommentare deaktiviert für POST-Anfragen können Internetserver lahmlegen
Weiterlesen
Nach oben