Quic – die schnelle Alternative zu HTTPS

Zeit ist Geld – und deshalb hat Google erfolgreich versucht, die Verschlüsselung über TCP-Verbindungen durch das Quic-Verfahren zu ersetzen. Denn das ist wesentlich schneller als die umständliche TCP-Variante, die zwischen das Transport Control Protol (TCP) zum reinen Datentransport und die Webanwendung mit ihrem Hypertext Transfer Protocol (HTTP) noch eine zusätzliche Transport Layer Security (TLS) eingesetzt wird – und das alles zusammen braucht weit mehr Zeit als das schnelle Quic (Quic UDP Internet Connections), das bei verschlüsselten Internetseiten deutlich schnellere Reaktionszeiten und letztlich auch viel schneller ladende Webseiten erlaubt. Die Internet Engineering Task Force will jetzt das neue Protokoll zum Internet-Standard führen. Für Webworker, die genauer wissen möchten, wie das funktioniert, hat Golem Quic in einem ausführlichen aktuellen Artikel erklärt. Foto: AndrewHart, Flickr, CC BY-SA 2.0

2016-11-08T00:52:51+02:00November 8th, 2016|Allgemein|Kommentare deaktiviert für Quic – die schnelle Alternative zu HTTPS
Weiterlesen

Sicherheitstest für Internetseiten von Mozilla

Unter der Bezeichnung Observatory bietet die Mozilla Foundation, der Hersteller des Browsers Firefox, einen Sicherheits-Check für beliebige Websites an. Nach der Eingabe der Domainadresse und einiger Optionen bekommt man in wenigen Sekunden die sicherheitsrelevanten Konfigurationsdaten der Site angezeigt. Zu den auf korrekte Implementierung untersuchten Verfahren gehören fast alle, die als Reaktion auf bekannt gewordene Sicherheitsprobleme implementiert wurden - von Content Security Policy über Cross-origin Resource Sharing und HTTP Public Key Pinning bis zu HTTP Strict Transport Security und X-XSS-Protection. Nicht geprüft wird dabei auf Probleme im Code wie beispielsweise auf SQL-Injection-Anfälligkeit. In den Dienst fließen nach Angaben von Mozilla Erfahrungen ein, die man beim Firefox-Hersteller bei der Untersuchung von Millionen von Internetseiten gemacht hat, wobei oft erschreckende Lücken aufgedeckt worden seien – nicht nur bei fremden Internetseiten, sondern auch im eigenen Haus, beispielsweise bei addons.mozilla.org. Wer für die Pflege oder die Sicherheit einer Internetseite verantwortlich ist, sollte das Tool durchaus einmal laufen lassen – es könnte Sicherheitslücken aufdecken, bevor das böswillige Kriminelle tun…

2016-08-27T18:07:16+02:00August 27th, 2016|Allgemein, test|Kommentare deaktiviert für Sicherheitstest für Internetseiten von Mozilla
Weiterlesen

SEO: Google straft mobile Popups ab

Der Suchmaschinen- und Werbegigant Google will jetzt Internetseiten abstrafen, die in ihrer Mobilansicht zu viele Inhalte durch Werbung überdecken. Die neue Regelung soll ab Januar 2017 in Kraft treten, gibt der Konzern im Webmaster Central-Blog bekannt. Die aktuell grassierenden Werbeformen irritierten die Nutzer, begründet Google diesen Schritt. Sogenannte Interstitials zum Beispiel mit Hinweisen auf die Cookie-Nutzung oder zur Altersprüfung und  "angemessen" kleine Banner sollen aber nicht zur Abstrafung führen. "Webseiten, die aufdringliche Werbung zeigen, bieten eine schlechtere Nutzererfahrung als Webseiten, die ihre Inhalte direkt anzeigen", begründet Produktmanager Doantam Phan diesen Schritt. Google-Mitarbeiter hätten viele Internetseiten gefunden, die die von der Suchmaschine indexierten Inhalte mit displayfüllenden Anzeigen überdeckten oder sogar entsprechende Popups einsetzen. Dies sei es aber nicht, was Nutzer erwarteten, wenn sie auf ein Suchergebnis bei Google klickten. Legale und technische Popups gestattet Internetseiten, auf denen solche Werbeformen für Mobilgeräte einsetzt werden, werden ab dem 10. Januar 2017 innerhalb der Google-Suchergebnisse heruntergestuft. Die Kernfrage für Google ist dabei: Ist der gewünschte Inhalt auf den ersten Blick sichtbar oder muss der Nutzer erst einen anderen Inhalt wegklicken oder überscrollen? Popups aus legalen Zwecken wie die allgegenwärtigen Cookie-Warnungen, ebenso Altersverifizierungen oder Login-Formulare sind weiterhin erlaubt. Werbebanner dürfen aber nur einen "angemessenen Teil des Bildschirms" bedecken - wieviel das genau [...]

2016-08-24T18:02:22+02:00August 24th, 2016|Allgemein|Kommentare deaktiviert für SEO: Google straft mobile Popups ab
Weiterlesen

Googles veröffentlicht Android 7

Webschaffende müssen den Mobilgerätemarkt immer mehr im Auge haben, denn die von ihnen erstellten Internetseiten werden mehr und mehr von Smartphones und Tablets abgerufen. Gerade hat Google die nächste Android-Hauptversion veröffentlicht und für die Mobilgeräte seiner Nexus- und Pixel-Familien bereitgestellt. Andere Hersteller dürften aber wie üblich einige Monate für ihre Android 7-Updates brauchen, wenn die denn überhaupt kommen… Android 7 bringt einen Mehrfenstermodus, verbesserte Benachrichtigungen direkter Antwortmöglichkeit, schnellere 3D-Grafik für Spiele und viele Verbesserungen im Detail. Gestern wurde das seit Monaten unter dem Codenamen Nougat getestete Android N veröffentlicht und auch Updates für die hauseigenen Geräte bereitgestellt, gab der Konzern im Android-Blog bekannt. Auch für die Entwickler stehen schon ausführliche Informationen bereit. Googles Smartphones Nexus 5X, 6 und 6P, die Tablets Nexus 9 und Pixel C und auch der Nexus Player bekommen das Update auf Android 7 zum Download am Gerät (OTA), alternativ stehen aber auch Images zum Download bereit. Als erstes Fremdgerät mit Android 7 nennt Google das LG V20. Samsung hat für das neulich vorgestellten Galaxy Note 7 ein zeitnahes Update angekündigt, liefert das Smartphone aber erst einmal weiter mit Android 6 aus.

2016-08-23T10:10:44+02:00August 23rd, 2016|Allgemein|Kommentare deaktiviert für Googles veröffentlicht Android 7
Weiterlesen

Politik plant Aktionsplan gegen Verschlüsselung

Wer bei Google mit seiner Homepage optimal punkten will, muss seine Seiten verschlüsselt ausliefern – sonst wird die Homepage nicht so weit vorn in den Suchergebnissen gezeigt, wie es sein könnte. Ähnlich schwierig sieht es auch schon mit unverschlüsselt transferierten Emails aus – bei so manchem Email-Provider geht das gar nicht mehr. Politik und Sicherheit – eine Posse auf großer Bühne Die Politik sieht Verschlüsselung aber offensichtlich eher kritisch, denn nach einem Bericht von Golem plant Frankreich gemeinsam mit Deutschland eine internationale Initiative zur Entschlüsselung verschlüsselter Kommunikation. "Das ist eine zentrale Frage im Kampf gegen den Terrorismus", sagte der französische Innenminister Bernard Cazeneuve am letzten Donnerstag in Paris. Zusammen mit seinem deutschen Amtskollegen Thomas de Maizière (CDU) wolle er am 23. August 2016 in Paris über eine gemeinsame europäische Initiative gegen Verschlüsselung sprechen. Das soll dann eine internationale Aktion vorbereiten, ergänzte Cazaneuve. Weiterhin und stärker verschlüsseln! Was will uns das sagen? De Maizière hatte sich im letzten Jahr mehrmals gegen Überlegungen gewandt, Hersteller von Handys oder Anbieter von Messengerdiensten zur Einrichtung von Hintertüren zu zwingen. Ganz im Gegenteil: Deutschland solle"Verschlüsselungsstandort Nr. 1 auf der Welt" werden, heißt es unter anderem beispielsweise in der Digitalen Agenda der Regierung. Offenbar nutzen die Politiker vor den anstehenden Wahlen einmal wieder [...]

2016-08-15T10:04:49+02:00August 15th, 2016|Allgemein|Kommentare deaktiviert für Politik plant Aktionsplan gegen Verschlüsselung
Weiterlesen

Firefox 5 für iPhones und iPads

Hersteller Mozilla hat soeben die Version 5.0 von Firefox für iOS freigegeben. Änderungen am Kern des Browsers sollen schnelleres Laden von Internetseiten ermöglichen und dabei auch noch den Akkuverbrauch niedrig halten. In internen Testläufen habe der zuständige Entwickler eine Reduzierung der Prozessorauslastung von bis zu 40 Prozent und eine Verringerung des Speicherbedarfs um bis zu 30 Prozent gemessen. Natürlich  seien dabei "alle Geräte und Nutzer unterschiedlich", deshalb können die Einsparwerte variieren, betont Mozilla. Außerdem erlaubt Firefox 5, die Suche auf spezifischen Webseiten in die Suchmaschinenliste aufzunehmen. Damit können Nutzer beispielsweise über die Adressleiste direkt nach Wikipedia-Artikel suchen oder Produkte bei Amazon oder Ebay finden.

2016-07-27T17:45:11+02:00Juli 27th, 2016|Allgemein|Kommentare deaktiviert für Firefox 5 für iPhones und iPads
Weiterlesen

Veraltete WordPress-Plugins locken Hacker an

Die Sicherheitsfirma Sucuri hat im ersten Quartal dieses Jahres mehr als 11.000 kompromittierte Internetseiten untersucht. Aus ihrem Bericht geht hervor, dass häufig  erweiterbare Komponenten von CMS den Angreifern als Einfallstor dienen. Mehr als 1 Milliarde Internetseiten auf CMS-Basis Zurzeit sind über eine Milliarde Internetseiten aufrufbar, und hinter mehr als einem Drittel von ihnen stehen die Content-Management-Systeme (CMS) WordPress, Joomla, Drupal und Magento. Von diesen CMS hat WordPress einen Marktanteil von über 60 Prozent, was auch auf seine durch Themes und Plugins vielfach erweiterbare Plattform zurückzuführen ist. Bei WordPress fanden die Sucuri-Sicherheitsforscher auf jeder vierten der gehackten Seiten veraltete und anfällige Versionen der Plugins RevSlider, GravityForms und TimThumb. Die untersuchten Hackerangriffe hatten jedoch kaum etwas mit der Kernanwendung des CMS zu tun, sondern mehr mit unsachgemäßer Installation, Konfiguration und Wartung durch Administratoren oder Hoster. Die Infektionsursachen Die häufigste Ursache von Infektionen waren Schwachstellen in den Erweiterungs-Komponenten i.e. Plugins, Erweiterungen, Module, Templates, Themes und ähnlichen Komponenten Obwohl schon lange automatische Updates möglich sind, waren 56 Prozent aller infizierten WordPress-Sites nicht auf dem aktuellen Stand. Das ist im Vergleich zu den anderen Plattformen noch ein guter Wert, denn Joomla war zu 84 Prozent veraltet, Drupal zu 81 Prozent und Magento sogar zu 96 Prozent! Ursachen für die mangelhaften Updatestände sind stark angepasste Installationen, Probleme mit der Rückwärtskompatibilität und last not least fehlende Mitarbeiter mit der notwendigen Kompetenz… Auf 66 Prozent aller kompromittierten Installationen fand Sucuri eine PHP-basierte Backdoor. Durch diese Hintertüren konnten [...]

2018-01-27T21:20:02+02:00Mai 25th, 2016|CMS, CSS, HTML, PHP|Kommentare deaktiviert für Veraltete WordPress-Plugins locken Hacker an
Weiterlesen

Sicherheitsupdate für CMS Drupal

Ersteller und Administratoren von Webseiten, die mit dem Content Management System (CMS) Drupal aufgebaut sind, sollten jetzt dringend die CMS-Software aktualisieren. Das soeben veröffentlichte Sicherheitsupdate für die Drupal-Versionen 6,7 und 8 beseitigt insgesamt 10 Sicherheitslücken in den Kernroutinen des CMS (SA-CORE-2016-001). Eine der Lücken wurde als „kritisch“ eingestuft, sechs davon wurden in die zweithöchsten Priorität „moderat kritisch“ eingeordnet. Die Probleme gehen auf diverse Bugs in der Software zurück. Das geht von Schwachstellen beim Upload von Dateien und über defekte APIs bis hin zu Lücken, die es Angreifern erlauben, mit Phishing-Attacken Besucher einer Seite auf bösartige andere Internetseiten ihrer Wahl weiterzuleiten. Die genannte kritische Lücke ist im Grunde ein Programmierfehler, der einem Nutzer in einem Webformular Buttons anzeigt, die der auf Grund seiner Rechte eigentlich gar nicht sehen (und vor allem nicht benutzen) dürfte. So können normale Benutzer plötzlich Admin-Rechte bekommen. Wer immer noch Drupal 6 einsetzt, sollten sein Systemauf Version 6.38 aktualisieren, Drupal-7-Nutzer sollten Version 7.43 herunterladen. Wer die neueste Drupal-Version benutzt, braucht das Update auf Version 8.0.4. Dieser Sicherheitsupdate markiert jetzt auch das Ende von Drupal 6 bzw. seines Support-Zyklus – weitere Updates für die 6er-Schiene wird es danach nicht mehr geben.

2016-02-25T17:04:25+02:00Februar 25th, 2016|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdate für CMS Drupal
Weiterlesen

Kostenlose SSL-Zertifikate von Let’s Encrypt

Eine Kooperation der Internetpioniere Mozilla, Cisco und Akamai hat sich zusammengefunden, um das Internet besser vor Mitlauschern wie BND, NSA, CIA, Konkurrenten oder Politikern zu schützen. Ziel ist, dass verschlüsselte Verbindungen zum Standard im Netz werden. Um das zu erreichen, stellt die gemeinsame Initiative "Let's Encrypt" kostenlos und auch unbürokratisch SSL-Zertifikate aus. Dazu gibt es auch ein Software-Werkzeug, das Internetservern im Handumdrehen https:// beibringt. Die gute Neuigkeit dazu für Internetschaffende: Let’s Encrypt startet am 3. Dezember einen öffentlichen Betatest. Ab übernächster Woche kann also jedermann ein solches kostenloses Zertifikat beantragen, das man zur TLS-Verschlüsselung von Internetseiten benutzen kann. Die bisherige Anforderung, sich für das Betaprogramm erst zu registrieren oder auf eine Einladung zu warten, entfällt damit. Das eigentliche Bonbon an SSL-verschlüsselten Seiten ist aber nicht unbedingt die kostenlose Abgabe der Zertifikate: Die Suchmaschine Google bewertet nämlich SSL-verschlüsselte Internetseiten deutlich höher als unverschlüsselte.

2015-11-17T19:31:37+02:00November 17th, 2015|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Kostenlose SSL-Zertifikate von Let’s Encrypt
Weiterlesen

Mozilla verbessert Privatmodus von Firefox

Die Entwickler von Firefox haben eine Vorabversion des Browsers vorgestellt, die neue Funktionen zum Schutz persönlicher Daten enthält. Im Privatmodus blockt der Browser beispielsweise Elemente auf Internetseiten, die Daten über den Benutzer sammeln oder dem Tracking dienen. Hersteller Mozilla weist daraufhin, dass das Blockieren solcher Elemente dazu führen kann, dass die besuchte Website defekt erscheint. Man habe allerdings auch die Möglichkeit gelassen, die blockierten Elemente manuell freizugeben. Einen weiteren Schritt in Richtung Sicherheit möchte man mit überprüften Add-Ons gehen. Die Pre-Beta von Firefox blockiert deshalb standardmäßig nicht verifizierte Add-Ons. Mehr Informationen dazu finden Sie im Add-Ons-Blog von Mozilla. Die Pre-Beta von Firefox können Sie hier herunterladen.

2015-08-16T23:46:39+02:00August 16th, 2015|Allgemein|Kommentare deaktiviert für Mozilla verbessert Privatmodus von Firefox
Weiterlesen
Nach oben