IT-Sicherheit Archive - Florian Hallas

31. Oktober 20159. Dezember 2016

Captcha Wechsel für die Sicherheit

Wir haben einen Captcha Wechsel durchgeführt, da das alte Captcha leider als reine SPAM Schleuder mißbraucht wurde. Wir haben uns nun für das Google noCaptcha reCaptcha entschieden, da wir es selbst nicht mögen, immer Wörter und Zahlen einzugeben. Das neue Captcha ist in den Kommentaren, für die Registrierung, die Funktion ‚Passwort vergessen‘ und in dem Kontaktformular aktiv. Ihr müsst das Captcha aber nur ausfüllen, solange ihr nicht angemeldet seid!

Probiert es selbst mal aus und berichtet uns hier in den News als Kommentar oder auch gerne über unser Kontaktformular.

Wer weiterführende Informationen benötigt oder überlegt ob er das Captcha auf seiner eigenen Webseite auch gerne einsetzen möchte, kann sich auf der Google Webseite darüber informieren.

24. Oktober 201421. April 2017

Was bewirkt die neue Schwachstelle Poodle ?

Etwas später als alle anderen habe ich auch von der Schwachstelle mitbekommen. Poodle beschreibt eine Schwachstelle im veralteten SSLv3 Protokoll. Somit kann man Angriffe auf die Verschlüsselung einsetzen, die mit SSLv3 genutzt werden. Die Schwachstelle wir unter der folgende CVE Nummer geführt CVE-2014-3566.

Es gibt einmal die Clients die man konfigurieren kann, so wie Eure Browser. Und man sollte dies auch direkt auf dem Server durchführen, der die Dienste zur Verfügung stellt.

Ich habe mich auch direkt dran gemacht, die flowCloud zu schützen und habe SSLv3 auf meinem Server einfach abgeschaltet. Wie man dies macht wird derzeit so oft im Internet erklärt, wer Hilfe benötigt, kann sich auf den Seiten von Heise.de Hilfe holen und benutzt selbstständig eine Suchmaschine. Suchbegriffe wie Poodle SSLv3 reichen schon aus.

Der einzige Nachteil wenn man SSLv3 abschaltet können alte Clients nicht mehr auf die Dienste zugreifen. Wenn ich von alten Cients rede, meine ich den Internet Explorer 6 (befand sich standardmäßig auf dem WindowsXP Betriebssystem) oder sehr alte Android Versionen, die die neuen TLS Verschlüsselungen noch nicht unterstützen. Ein Update von Android ist auf jeden Fall angesagt, da viele Betreiber diese Chance nutzen werden und SSLv3 abschalten werden.

Wie wurde es auf heise.de erwähnt:

Der Poodle-Angriff ist zwar keine akute Katastrophe, wie es etwa Heartbleed war. Aber man sollte es als Weckruf betrachten, den überalterten und damit auch gefährlichen Ballast endlich los zu werden.

Wie man seinen Browserclient oder auch andere Clients schützen kann, wird auch auf Heise.de beschrieben und kann mit der Webseite vom Internet Storm Center seinen Browser überprüfen, ob dieser anfällig für die Poodle Schwachstelle ist oder nicht. Auf die Webseite gelangt man über die Adresse www.poodletest.com

Viel Erfolg beim Abschalten und Testen der Poodle Schwachstelle.

Quelle: sslv3.dshield.org/vulnpoodle.png?1414153674795

16. Januar 20143. Dezember 2017

WordPress 3.8 veröffentlicht

Noch vor Weihnachten wurde WordPress 3.8 veröffentlicht. Diese Version ist dem Jazz-Musiker Charlie Parker gewidmet und heißt daher kurz genannt „Parker“.

Für den Download der deutschen Version kann man auf der Webseite WordPress Deutschland fündig werden. Um die englische Version zu bekommen kann ich die Webseite von WordPress empfehlen. Der Vorteil der deutschen Version ist der, dass alle Übersetzungen schon eingespielt sind. Die Version ist natürlich auch über die automatische Aktualisierung verfügbar und kann benutzt werden.

Aktuelle Neuerungen sind folgende

Neues Desing im Administrationsbereich
Responsive WordPress auf jedem Endgerät
Farbvariationen für seinen eigenen Geschmack
Neues Theme Management
Standard Theme Twenty Fourteen

Ich habe meine Webseiten natürlich schon auf WordPress 3.8 aktualisiert. Ich finde die Neuerungen sehr gelungen und diese sehen echt super aus. Auch das neue Standard Theme macht schon was her und für Magazin Seiten sehr geeignet. Ich habe schon ein paar kleine Design Fehler bei manchen Plugins gefunden, diese muss ich aber erst analysieren, bevor ich dort wirklich mehr zu sagen kann, ob es wirlich an WordPress 3.8 liegt. Ich kann allen nur empfehlen, die aktuellste WordPress Version einzusetzen.

Für eine ausführliche Beschreibung in deutsch oder englisch sind die jeweiligen Webseiten zu besuchen.

19. August 20139. Dezember 2016

phpMyAdmin 4.0.5 veröffentlicht

Für alle die noch nicht phpMyAdmin 4.0.5 im Einsatz haben, sollten daran denken, auf das neueste Relese zu wechseln. Die Version 4.0.5 ist ein Bugfix und Security Releas und wurde am 04.August 2013 veröffentlicht.

Das Update lässt sich ziemlich einfach durchführen, indem man die benötigten Dateien von der phpMyAdmin Webseite herunterlädt und dann in sein phpmyadmin Verzeichnis auf dem Server kopiert. Vorher sollte man aber ein Backup des Verzeichnis anlegen. Ich gehe nun schon länger so vor über mehrere Versionen und habe noch keine Probleme feststellen können.

Nachdem Update kann man schnell feststellen, ob man das Update erfolgreich war. Man loggt sich unter der phpmyadmin URL ein und sieht dann auf der Startseite die Version seiner Installation.

Release Notes

Quelle: sourceforge phpmyadmin

4.0.5.0 (2013-08-04)
- bug #3977 Not detected configuration storage
- bug #3970 Pressing enter in the filter field reloads page
- bug #3984 Cannot insert in this table (PHP < 5.4)
- bug #3989 Reloading privileges does not update the interface
- bug #3960 NavigationBarIconic config not honored
- bug #3985 Call to undefined function mb_detect_encoding
- bug #4007 Analyze option not shown for InnoDB tables
- bug #4015 Forcing a storage engine for configuration storage
- bug Incorrect Drizzle 7 detection
- bug #4019 Create database if not exists (export): add an option to the
  interface to enable generating CREATE DATABASE and USE (false by default)
- bug #4012 Crash on CSV file import
- bug #4009 Statistic Monitor shows only last 3 digits in graph
- bug #3998 Non-permanent SQL history not working
- bug #3578 Transformations for text/plain on a BLOB column
- [security] Improved protection against cross framing, see PMASA-2013-10
+ Reinstated configuration directive: AllowThirdPartyFraming

26. September 20129. Dezember 2016

phpMyAdmin Update erfolgreich aufgespielt

Wir haben unseren phpMyAdmin von Version 3.4.1 auf Version 3.5.2.2 aktualisiert. Es reicht hier die aktuellen Dateien über die alten zu kopieren.

Natürlich nicht vergessen ein Backup aller wichtigen Daten für den phpMyAdmin.
Viel Spass bei der Benutzung von Version 3.5.2.2

6. Juli 20119. Dezember 2016

WordPress 3.2 veröffentlicht

Mit der Veröffentlich von WordPress 3.2 soll das CMS für Blogs schlanker werden.
Die Adminoberfläche wurde auch komplett überarbeitet und sieht ansprechender aus und nicht mehr so überladen. Durch gute und knappe Strukturierung ohne große grafische Anforderungen kann das Amdinmenü schnell und effektiv bedient werden.

Eine weitere Änderung, ist die Abkündigung der Unterstützung von PHP4 und MySQL4.
Spätestens jetzt sollten auch die Anwender die noch die veraltete Software benutzen, endlich updaten auf die aktuellen Versionen 5.x

Wir haben unseren Blog auch gleich auf die Version 3.2 gehoben und es kam zu keinen Unanehmlichkeiten.
Mit den Funktionen der inkrementellen Upgrades ist es ein Kinderspiel geworden, seine Software auf dem aktuellsten Stand zu halten.
Eine Empfehlung ist die VErwendung des Plugins WP-DB-Backup um schnell ein Backup der MySQL Datenbank zu erstellen.

20. Juni 20119. Dezember 2016

reCAPTCHA von Google

Ab sofort setzen wir das reCATCHA Plugin auf unseren Seiten ein, um SpamBots von unseren Seiten fern zu halten.
Keine lästigen Registrierungen mehr und keine lästige Kommentare die man immer löschen muss.

reCAPTCHA wurde von Google übernommen und das ganze Programm ist kostenlos und man benötigt lediglich einen Google Account.
Die Registrierung ist ebenfalls kostenlos.

Wer das Modul auch testen möchte oder vielleicht noch auf der Suche nach einem AntiSpamBot Tool ist, kann ich Euch nur ans Herz legen, probiert es aus.
Hier gehts zur Webseite von reCAPTCHA.