Archive for the ‘Sicherheit’ tag
8 gute Gründe, warum AnonSphere ein guter VPN Anbieter ist
Gastartikel von Oliver Sperke.
Ich bin 35 Jahre alt und seit 11 Jahren selbständiger Webentwickler. Mein Fokus liegt dabei auf der Erstellung, Beratung und Optimierung in den Bereichen High Performance, Usability und Sicherheit in den gängisten Internetsprachen: PHP, HTML, Javascript und CSS.
Ich habe ja schon im letzten Beitrag angekündigt, dass ich etwas aus dem Maschinenraum von AnonSphere.com erzählen will. Ich habe lange überlegt, was ich schreibe und vor allem, wie ich es schreibe. Dieser Artikel ist eine Mischung aus Werbung „für meine gute Arbeit“, vielen technischen Details und einigen guten Ratschlägen, worauf Ihr bei allen Anbietern achten solltet und was Euch nur „falsche Sicherheit“ vortäuscht. Ich hoffe, der Artikel ist nicht zu technisch geworden und trotzdem noch für unsere Techniker interessant – es sollte für alle etwas dabei sein. Ich fange etwas technischer an und versuche dann „verständlicher“ zu werden. Dieser Beitrag ist natürlich weder uneigennützig, noch unabhängig. Lebt damit! 😉
Ein paar Infos zum Einstieg
10 gute Gründe, sich noch heute einen guten VPN Anbieter zu suchen (mit Gewinnspiel)
Gastartikel von Oliver Sperke.
Ich bin 35 Jahre alt und seit 11 Jahren selbständiger Webentwickler. Mein Fokus liegt dabei auf der Erstellung, Beratung und Optimierung in den Bereichen High Performance, Usability und Sicherheit in den gängisten Internetsprachen: PHP, HTML, Javascript und CSS.
Wie Ihr vielleicht schon mit bekommen habt, habe ich für AnonSphere einige Dinge entwickelt. Meine Hauptaufgabe dabei war es, die Nachteile der meisten VPNs so gut es geht zu minimieren, aber die Vorteile beizubehalten oder noch zu verbessern. Michael fragte, ob ich das Ganze gern vorstellen möchte. Ich sagte natürlich „Ja klar, aber nicht ganz ohne Mehrwert“. Deshalb nun ein paar VPN Grundlagen und danach 10 gute Gründe, warum der Schutz Eurer Privatsphäre keine abstrakte Idee bleiben sollte, sondern noch heute für Euch wichtig sein kann.
Was ist ein VPN und was passiert da?
Ein VPN (Virtuelles privates Netzwerk) ist ein abgeschlossenes Teilnetz innerhalb eines größeren IP Netzes, indem die Teilnehmer meist räumlich getrennt sind. Die Teilnehmer verbinden sich über ein VPN Protokoll (OpenVPN, L2TP, usw.) zum Hauptserver und erhalten eine eigene IP. Sofern die Verbindung verschlüsselt ist, können Computer ausserhalb des VPN die Daten weder lesen, noch verändern. Ein VPN ermöglicht also die Kommunikation mit ausgewählten Rechnern und gleichzeitig die sichere Trennung von anderen Netzwerken. Der Trick ist, dass die Kommunikation über eine simulierte Netzwerkkarte erfolgt, jedes Programm kann es nutzen ohne irgendwelche zusätzlichen Einstellungen. Einmal verbunden können Eure Daten standardmässig über diese Netzwerkkarte verschickt werden.
„Klopf-Klopf“ … wer da?
Gastartikel von Oliver Sperke.
Ich bin 35 Jahre alt und seit 11 Jahren selbständiger Webentwickler. Mein Fokus liegt dabei auf der Erstellung, Beratung und Optimierung in den Bereichen High Performance, Usability und Sicherheit in den gängisten Internetsprachen: PHP, HTML, Javascript und CSS. Besucht auch mein GPlus Profil oder mein aktuelles Projekt.
Vor langer Zeit fand ich einen Artikel, indem einige Möglichkeiten genannt wurden, seinen OpenSSH Server abzusichern. Da auch hier das Thema Sicherheit sehr komplex ist und es oftmals nicht leicht ist zwischen echtem Nutzen und „Security through obscurity“ zu unterscheiden, möchte ich hier speziell über Portknocking sprechen. Portknocking, auch in seiner Basisfunktion dürfte vielen noch unbekannt sein, obwohl sie sehr effektiv ist. In diesem Tutorial möchte ich noch einmal kurz die Grundlagen erklären und einige interessante Möglichkeiten aufzeigen, wie man das Prinzip weiter spinnen kann.
Weiterlesen »
Sicherheitsupdate für PHP bei CGI-Verwendung
Gestern wurden neue Versionen für PHP 5.4 und 5.3 released, namendlich: 5.4.2 und 5.3.12. Grund für diese neuen Versionen ist eine gravierende Sicherheitslücke bei der Verwendung von PHP im CGI-Modus.
Aber erstmal Entwarnung: Wahrscheinlich nutzt ihr kein CGI mehr sondern FastCGI oder mod_php, dann seid ihr nicht gefährdet. Wer aber noch auf die alte CGI-Schnittstelle setzt sollte sich schleunigst informieren und updaten um schlimmeres zu vermeiden, denn dank dieser leicht auszunutzenden Lücke ist es jedermann möglich, die Quelltexte euer PHP-Dateien im Document-Root anzuschauen oder auch beliebigen eingeschleusten PHP-Code auszuführen.
Wer seine alte Installation nicht anfassen darf oder kann, für den gibt es Hilfe in Form einer Rewrite-Regel:
Local File Inclusion: Einige Beispiele
Ich habe schon länger keine sicherheitsrelevanten Probleme mehr gepostet, heute schauen wir uns ein paar häufig gemachte und exisierende Fehler an. Schaut euch diesen Code-Schnipsel an:
<? $url = $_POST['imageUrl']; $content = file_get_contents($url); // Put the content of that URL into a database for later use/display
Der Benutzer der Webseite kann also in ein Formular eine URL eintippen, beispielsweise die URL eines Bildes, einer XML-Datei oder einer Webseite. Das Script ruft diese Resource (z.B. ein Avatar Bildchen) ab und speichert es auf der Festplatte oder in einer Datenbank.
Auf einer anderen Seite kann der Benutzer (und vielleicht alle anderen Besucher der Webseite) dieses Bild dann abrufen.
Gibt es hier ein Sicherheitsloch? Ja, gleich mehrere! Was passiert wenn der Benutzer zum Beispiel folgende URLs eingibt: