Schlagwort-Archiv: security

Let’s Encrypt ohne sudo

Die Let’s-Encrypt-Initiative stellt jedem kostenlos SSL-Zertifikate bereit, Zapatillas Air Max Nike die drei Monate gültig sind. Für die automatische Erneuerung wird ein Toolset bereitgestellt. air max noir Leider tut dies schon bei der Installation Dinge, Fjallraven Kanken Sale NO.2 die mir nicht so gefallen (z.B. Nike Air More Uptempo sudo apt-get -y install …).Ich habe darauf hin das Projekt letsencrypt-nosudo entdeckt. nike air max 90 pas cher Ein Python-Script, Fjallraven Kanken Classic das Letsencrypt implementiert, ohne Superuser-Rechte in Anspruch zu nehmen. Kanken Classic Baratas Leider sind viele manuelle Eingriffe nötig, die alle drei Monate für jede zu schützende Domain wiederholt werden müssen.Daher gibt es nun letsencrypt-nosudo-unattended. Es automatisiert alles was man bei letsencrypt-nosudo noch händisch machen muss und liefert zwei Bash-Scripts mit, die bei Bedarf Apache und Nginx automatisch konfigurieren. Fjallraven Kanken Sverige Für diese Bash-Scripte sind natürlich Superuser-Rechte nötig,

Urban Legend beseitigt: Mehrfaches Überschreiben ist sicherer

Dass Festplatten nicht ungesäubert an fremde Personen weitergegeben werden sollten, hat sich ja nun bei fast allen rumgesprochen. Lange hielt und hält sich die Meinung, dass das Überschreiben nur ausreichend ist, wenn man es mehrfach durchführt. Es gibt sogar Standards mit festgelegten Reihenfolgen und Häufigkeiten.Da der Forensikexperte Craig Wright dies nicht so recht glauben wollte, fertigte er im letzten Jahr dazu eine Studie an. Das Ergebnis: Bereits einfaches (aber komplettes) Überschreiben genügt, um die Wiederherstellung der Daten zu verhindern.

Kurztipp: selbstsigniertes OpenSSL-Zertifikat mit einem Befehl

Es gibt Befehle, nike air max 2017 pas cher die man nicht oft genug nutzt, Albert Pujols Baseball Jersey um sie aus dem Kopf zu wissen, goedkoop nike air max 2016 aber doch in schöner Regelmäßigkeit nutzen muss.Dazu gehört es für Testzwecke oder interne Systeme auch das Erstellen von selbstsignierten SSL-Zertifikaten. Adidas Yeezy Boost 350 Damit geschützte Systeme sind genau so gesichert wie welche mit gekauften Zertifikaten, Fjallraven Kanken Backpack Outlet nur dass der Browser eine Fehlermeldung anzeigt, Adidas Running weil der Aussteller unbekannt ist.

Mit Opera Link zum “überall gleich”-Browser

“Gerade gestern hatte ich die Adresse doch aufgerufen, warum finde ich sie nicht mehr in der History?” “Ach ja, ich hab das ja am Notebook gemacht!”

Kommt das Dir bekannt vor? Also mir passiert das öfter, da ich zwei bis drei Systeme regelmäßig nutze. Air Jordan 4 Uomo Laut Opera sollen diese Zeiten nun vorbei sein, dank Opera Link. Nike Air Max 2016 Dames Mit Opera Link zum “überall gleich”-Browser weiterlesen

Globalisierung – nein danke! DNS-Hauptschlüssel geht an VeriSign

Wie die iX berichtet ist eine Entscheidung bezüglich der Betreuung des DNSSEC-Systems gefallen. Under Armour Curry 6 Das amerikanische Privatunternehmen VeriSign, air max pas cher das bereits als Verwalter der Top-Level-Domains .com und .net sowie als SSL-Zertifizierungsstelle bekannt ist, Asics Pas Cher soll nun auch die Verwaltung der Einzelschlüssel sowie des Root-Schlüssels übernehmen. Adidas Gazelle Heren Ohne die Signierung durch diesen Key ist eine Signierung von Subzonen nicht möglich.Die Entscheidung fiel entgegen der Bedenken der ICANN sowie zahlreicher Experten, Nike Air Max 2017 Heren groen die u.a.

Erfolgreicher Angriff auf das SSL-Zertifikatsystem

Wie heise Netze berichtet, ist ein Angriff auf das SSL-Zertifikatsystem gelungen. nike air max 2017 pas cher Dieser ermöglicht es, für ein alle gängigen Browser gültiges Herausgeberzertifikat zu erstellen. Nike Air Max UK Dieses Herausgeberzertifikat ermöglicht es damit signierte, gültige SSL-Zertifikate zu erzeugen mit denen z.B. Man-in-the-Middle-Attacken für Bank-Websites und andere sicherheitskritische Anwendungen durchgeführt werden können. Joe Panik Jersey Die betreffenden Forscher stellten das Demo-Zertifikat zur Verfügung, aber aus Sicherheitsgründen nur mit einem Ablaufdatum von 2004. Nike Air Max 2016 Dames blauw Der Angriff beruht auf einer erhöhten Kollisionswahrscheinlichkeit der MD5-Hashfunktion. nike air max 2017 femme Daher wird diese Hashfunktion auch nur noch von ca. 30% der sich im Umlauf befindenden Zertifikaten zur Absicherung des sog. air max pas cher Fingerprints verwendet. nike air max goedkoop Zur Überprüfung, ob die derzeit besuchte Seite von einem “angreifbaren” Zertifikat geschützt wird, existiert eine SSL-Blacklist. nike chaussures Diese wird von von dem Firefox Add-On SSL-Blacklist 4.0 verwendet, um den Benutzer zu warnen. Nach kurzem Test kam mir bisher noch kein problematisches Zertifikat unter.

Innerer Monolog: CCC-Teilnehmer hacken NPD-Webseiten

Die Jungs (und Mädels ?) auf dem 25. Chaos Communication Congress haben mal sich mal wieder etwas einfallen lassen: Das Defacement von Webseiten der NPD und das Hacken der damit verbundenen Datenbankserver.

Die Sprecher des CCC stellen diese Aktionen als “über die Stränge schlangendes Bürgerengagement” dar.

meinungIch bin ehrlich gesagt solchen Handlungen gegenüber zwiegespalten, wie folgt dargestellt mittels Engelchen und Teufelchen, die auf meiner Schulter sitzen:

Innerer Monolog: CCC-Teilnehmer hacken NPD-Webseiten weiterlesen

Updates strengestens empfohlen

Nur mal eine kleine Erinnerung: Eigentlich ist es eine Selbstverständlichkeit, jedoch selbst bei großen Hostern leider nicht die Regel: Regelmäßige Updates von Standardsoftware.

Gerade das MySQL-Verwaltungstool phpmyadmin wird fleißig weiterentwickelt und vor allem regelmäßig von Sicherheitslücken befreit. Da viele Anwendungen (wie auch dieser Blog) sich auf die MySQL-Datenbank verlassen, ist eine Sicherheitslücke an dieser Stelle extrem gefährlich.

Updates strengestens empfohlen weiterlesen

WordPress Update auf 2.6.5 behebt kritische XSS-Lücke

Diese Version ist ein Sicherheitsrelease (Details) und behebt einen schwerwiegenden XSS-Exploit, cheap nike air max desweiteren wurden einige kleinere Probleme behoben. Es gibt einen Versionssprung von 2.6.3 auf 2.6.5, Andrew Heaney Baseball Jersey da eine gefakte 2.6.4 Version im Umlauf war. Nike Air Max 90 Donna Eine Version 2.6.4 wurde niemals veröffentlicht.

Ein Upgrade-Paket mit den Differenzdateien von 2.6.3 zu 2.6.5 wurde wieder dankenswerterweise von WPD bereit gestellt. nike requin pas cher Das Update benötigt kein Upgrade der Datenbank ( /wp-admin/upgrade.php ).

WordPress 2.5.1 veröffentlicht

Heimlich, still und leise hat das WordPress-Team ca. 70 Sicherheitslücken und andere Probleme beseitigt und damit die neue Version 2.5.1 herausgebracht.

Die Version bringt wenig auffälliges Neues, da das meiste unter der Haube passierte.  So wurde z.B. der TinyMCE-Editor auf eine aktuellere Versionsnummer angehoben und eine neue kryptographische Funktion eingefügt, die Cookies besser absichern soll (siehe SECRET_KEY-Abschnitt im englischen WordPress-Blog).

Das Upgrade ging mittels des Upgrade-Pakets von WPD problemlos und in einer Minute von statten. Danach war ein Upgrade der Datenbank mittels http://www.deinblogname.tld/wp-admin/upgrade.php nötig.

Weitere Infos und Download:

WordPress 2.5.1 veröffentlicht @ WordPress Deutschland Blog

WordPress 2.5.1@ WordPress.org (englisch)

Passwort gegen Schokolade

Bei einer getarnten Befragung haben viele Leute für ein Stück Schokolade ihr Passwort verraten und in Aussicht auf einen Gewinn auch noch die notwendigen anderen Infos herausgerückt.

Sehr lesenswerte Infos, die jedem Admin den kalten Schweiß auf die Stirn zaubern (sollten). Es wird wohl Zeit, dass die Passwörter durch personalisierte USB-Dongles oder andere technische Maßnahmen ersetzt werden.

Link: Administratoren glaubt es endlich: Passwörter sind einfach nutzlos @ IT-Republik

Gibt es bald den Microsoft-Update-Wurm?

Laut heise.de arbeiten Forscher von Microsoft an einer neuen, effektiveren Methode zur Verbreitung von Windows-Updates.

Die Idee ist, einen Wurm auszusetzen, der “infizierte” Systeme updated und sich dann in Richtung der nächsten Clients aufmacht.

Auch wenn diese Idee dem Bittorrent-Mechanismus gleichkommt und sicherlich auch die Last von Microsoft-Servern nehmen würde, kann ich mich mit damit nicht wirklich anfreunden. Schon allein die Vorstellung, dass ein Hersteller eines von mir erworbenen Softwareproduktes ungefragt meinen Rechner über eine mehr oder weniger bekannte Sicherheitslücke infiltriert behagt mir gar nicht – mal ganz abgesehen von dem Straftatbestand der Computermanipulation.

Weiterhin ist es auch im Hinblick auf den “Bundestrojaner” interessant, dass Microsoft diese Verbereitungsmethode für möglich und effektiv hält. Sind unsere Systeme doch nicht so sicher wie wir glauben?

Mehr Infos hier: Wurm statt Windows-Update – heise Security

Comeback der Bootsektor-Viren(?)

Wie TecChannel.de berichtet wurde ein RootKit entdeckt, welches sich auf einem Vista-System als Virus im MasterBootRecord einnistete. Es war zwar nur begrenzt lauffähig, zeigt aber die Machbarkeit.

Das Gefährliche an dieser Art Schädling ist, dass das System des Nutzers beim Start in eine virtuelle Umgebung verschoben wird und somit sämtliche Hardware-Aufrufe (z.B. Virencheck auf der HDD) durch die Abstraktionsschicht des Viruses gesendet werden müssen. Der Virus hat also viel größere Chancen, sich versteckt zu halten.

Link:

Comeback der Bootsektor-Viren @ TecChannel.de