Nudge am 22.08.2010

Update des Linux-Kernel auf 2.6.35.3

in Linux | Tags: Kernel, Linux, Sicherheit

Achtung, liebe Linux-Freunde: Der neue Kernel 2.6.35.3 ist wirklich allen ans Herz gelegt – seit dem vor einigen Tagen eine weitreichende Sicherheitslücke bekannt wurde, die allen X-Applikationen einfachen root-Zugang ermöglicht hat.

Nudge am 12.08.2010

Ist Google Chrome ein sicherer Browser?

in Web | Tags: Browser, Chrom, Firefox, Google, Sicherheit

Heute kam die Beta-Version zur 6.0 heraus. Und immer noch frag ich mich, warum diesem Browser nicht wirklich vertraut wird. Nun, Google wird zwar als riesige Datenkrake des Webs wahrgenommen, doch muss das nicht für deren Browser-App selbst gelten. Dazu schrieb das Linux-Magazin in der letzten Ausgabe, dass sowohl der Quellcode von Chromium offen liege, wie auch keine Anzeichen bisher dafür gefunden wurden, dass Chrome tatsächlich nach Hause telefoniere. Wollen wir das doch mal näher beleuchten…

Weiter lesen »

Nudge am 24.11.2009

Fedora 12 – User dürfen doch keine Software installieren

in Linux | Tags: Fedora, Linux, root, Sicherheit, Software, System

Das für Fedora 12 geplante “Feature“, dass normale Nutzer Software installieren dürfen, ist wieder zurückgenommen worden. Die ausgelöste Protestwelle war wohl stärker als der Innovationswille gegen das seit Unix-Urzeiten gültige Prinzip “nur Root darf alles”.

Weiter lesen »

Nudge am 30.03.2009

Das Ghostnet geht um, dreht Euch nicht um…

in Web | Tags: Ghostnet, Hacker, Sicherheit, Terrorismus, Trojaner

Angesichts der jüngsten Meldungen zum Ghostnet muss man sich ernsthaft fragen, wer gefährlicher ist: Terroristen oder Regierungen? Und wenn schon Computer im NATO-Hauptquartier gehackt wurden, wie sicher ist dann ein “einfacher” Webserver?

Während sich die Experten um die Schuldfrage streiten, ist es schon vollkommen klar: China war es auf keinen Fall. Gehackt wurden schließlich Indien, Bhutan, Barbados, Pakistan, Tibet, Süd-Korea, Mongolei, Brunei, Philippinen, Indonesien, Bangladesh, Taiwan und Thailand… es könnte also auch Grönland gewesen sein! Oder war es gar der Bundestrojaner? 🙂

Nudge am 03.02.2009

PHP, Open Source und Sicherheit

in Linux, MySQL, PHP, Tipp, Web | Tags: CMS, Exploit, PHP, Session, Session-Hijacking, Sicherheit, SQL-Injection, X-Force

Heute erschien auf heise ein Bericht von IBM’s Sicherheitscenter X-Force zum Thema Sicherheit. Seit 10 Jahren stellt X-Force Analysen in einem Jahresbericht zusammen, welche Exploits und Patches das Jahr so zu bieten hatte. Eine gute Sache. Leider war der Inhalt erschreckend: Mehr als die Hälfte der entdeckten Lücken blieb ungepatcht.

Weiter lesen »

Nudge am 08.10.2008

Warum es immer neue Sicherheitslücken gibt

in HTML, Web | Tags: Browser, Flash, HTML, Sicherheit, Web 2.0

Heute war es wieder soweit: Das sogenannte Clickjacking wurde als neueste Sicherheitslücke bekannt, vor dem sich der Internet-Nutzer fürchten muss.

Doch warum gibt es immer wieder neue Sicherheitslücken?

Hier überlagern sich meines Erachtens mehrere Teilprobleme:

  1. Technologie-Wandel: Die Welt ist im stetigen Wandel. Software bildet aber immer nur einen Snapshot, einen momentanen Wissenstand ab. Was zukünftig damit zu verarbeiten ist, ist bei Erstellung der Software unklar.
  2. Die Kommerzialisierung der Netzkultur fordert ihre Opfer: Das Netz wird zum Angriffsziel derer, die nicht zur Loge seiner offiziellen Beherrscher gehören. Im Zeitalter der Information ist der Besitz von Daten, Servern, Technologien wie auch das Wissen zur Manipulation und Zerstörung von Infrastruktur bares Geld wert.
  3. Die Geschwindigkeit, in der Software erstellt, konsumiert (benutzt) und entsorgt wird, ist gegenüber traditionellen Produkten unvergleichbar erhöht. Die Kosten durch Schaden aus Software-Fehlfunktionen wird weiterhin unterschätzt – Software macht ja (zunächst) nichts wirklich kaputt. Aus diesem Kreativitätsdruck heraus wird viel zu unreife Software auf den Markt geworfen: Früher oft Bananensoftware – reift beim Kunden – genannt, findet im Netz seine Fortsetzung in der beta-Kultur des Web 2.0.
  4. Die Schnittstellen von verschiedenen technologischen Bereichen sind inkompatibel. An diesen Reibepunkten entstehen Konvertierungsverluste, die nur mit ungemein hohem Aufwand optimal unterdrückt werden können. Gerade hier wird oft die 80:20-Regel der Softwareerstellung zugunsten der schnellen 80%-Funktionalität vorgezogen: Es funktioniert, im Prinzip, wenn man es so oder so benutzt. Ein Beispiel: Desktop und Netz. Sie funktionieren anders und sind für andere Daten konzipiert. Ein Übergang Netz -> Desktop oder Desktop -> Netz ist extrem fehleranfällig.
  5. Software ist nicht immer frei. Unfreie Software kann weder von Sicherheitsexperten begutachtet, noch von so vielen freiwilligen Helfern verbessert werden. Firmen glauben leider immer noch an das Mysterium Software-Monopol. Aber das weiß der geneigte Leser dieses Blogs sicherlich besser… 🙂

In eingangs genannten Fall sind

  • die Sicherheitsfunktionen der Browser auf dem Stand der Netzangriffe vor Erstellung der jeweiligen Version
  • der Flash-Player eine proprietäre unkontrollierbare Software
  • die Schnittstelle zwischen HTML und Flash mehr als unausgereift und nicht standisiert
  • die Rückverfolgbarkeit von Angriffen auf das eigene System nur für Experten machbar

Man kann nur hoffen, dass der kommende Standard von HTML 5.0 unter Webentwicklern angenommen und durch die Integration von Ogg Theora und SVG die Verbreitung binärer Plugins eingedämmt wird.

just my 2 cents

Nudge am 02.10.2008

Problem mit T-Online Browser erkannt

in HTML, PHP, Web | Tags: AOL, Browser, Client, Cookie, Hijacking, IP, Proxy, Server, Session, Sicherheit, T-Online, TOB, User-Agent

Dieser Beitrag bezieht sich auf einen früheren Artikel unter http://www.lieber-linux.de/2008/08/php-session-problem-mit-dem-ie-tob-605/.

Ich habe nun endlich das Problem, welches viele T-Online-Kunden beim Surfen auf so vielen Portalen haben, erkannt. Schuld ist der Browser selbst (Oh, welch Wunder!), der seine User-Agent-Kennung nach Lust und Laune wechselt!

Weiter lesen »