Mrz
29
Sonntag, den 29.03.2009
Sonntag, 29. März 2009 14:24
Thema: Sonntag, den xx.xx.xx | Kommentare (0) | Autor: Nicolas Dorwig
blog.343meterprosekunde.de
dies und das aus einem leben mit schall(geschwindigkeit)
Beiträge vom März, 2009
Mrz
15
Sonntag, den 15.03.2009
Sonntag, 15. März 2009 10:47
Thema: Sonntag, den xx.xx.xx | Kommentare (0) | Autor: Nicolas Dorwig
Mrz
14
Verwunderung…
Samstag, 14. März 2009 20:01
Die Handwerkskammer Würzburg bietet im April ein Seminar “WLAN-Sicherheit an”. Im Flyer finde ich folgende Formulierungen, die mich dazu bringen zu überlegen, ob der Veranstalter sein Programm nicht noch mal überdenken möchte:
“… WLAN Arbeitsweise … Wired Equivalent Privacy (WEP) …”
Und ich dachte das Wissen, dass WEP mittlerweile als geknackt gilt hätte sich auch bis zu den IT-Sicherheitsberatern durchgesprochen. Von WPA, geschweige denn WPA2 keine Spur. Immerhin wird weiter hinten im Flyer auf die mögliche Nutzung per VPN hingewiesen.
“Sie eignen sich wichtige Kenntnisse darüber an, wie man Computeranwendungen mit Wireless Local Area Network vor Hacker-Angriffen und Ausspähung schützt.”
Hmmm. Mir ist neu, dass sich mittels WLAN Computeranwendungen absichern lassen. Ich dachte immer WLAN erhöht eher noch die Sicherheitsrisiken, wie der Flyer auch richtig erkennt und vor einer “unsichtbaren Technik” warnt…
Naja, das Seminar ist ja dankenswerter Weise durch Förderungen aus der Wirtschaft kostenfrei. Leider bin ich an dem Tag nicht in Würzburg, ansonsten hätte ich sicher meine Computerkenntnisse noch deutlich auffrischen können… 
Gefährlich finde ich dabei, dass sich das Seminar an Unternehmer und Führungskräfte richtet, die dann zwar mit dem beruhigten Gewissen bei dem Seminar endlich mal wieder was über Computersicherheit gelernt zu haben nach hause fahren aber auch die ein oder andere Fehlinformation mit im Gepäck haben.
Thema: Allgemein | Kommentare (0) | Autor: Nicolas Dorwig
Mrz
08
Sonntag, den 08.03.2009
Sonntag, 8. März 2009 22:24
Thema: Sonntag, den xx.xx.xx | Kommentare (0) | Autor: Nicolas Dorwig
Mrz
05
Twitter Plugins als potentieller Angriffsvektor auf Blogs und Foren?
Donnerstag, 5. März 2009 22:46
Twitter ist ja momentan in aller Munde, und ich vermute mal, dass es nur noch eine Frage der Zeit ist, bis Twitter auch als möglicher Angriffsvektor genutzt wird. Wovon ja momentan schon zu warnen ist, sind die praktischen Kurz-URLs, die das tweeten von langen unhandlichen URLs mit wenigst möglich verwendeten Zeichen erlauben. Problematisch ist in diesem Zusammenhang, dass sich hinter den Kurz-URLs auch leicht Schadseiten verstecken lassen, so dass jemand, der gedankenlos auf jeden Link klickt auch in Zukunft mir Sicherheit irgend wann mal auf einer Phishing-Seite oder einer Website landet, sie Schadcode auf den eigenen Rechner schaufelt.
Diesem Angriffsszenario kann man noch relativ entspannt gegenüber stehen, wenn man nicht achtlos jeden Link anklickt, der einem entgegen-getweetet wird. Ich denke jedoch an eine Bedrohung, die sicher in Laufe der Zeit an Relevanz gewinnen könnte.
Vielen Sites nutzen Plugins für gängige CMS-Tools wie Wordpress, Joomla, Drupal etc. um den eigenen Twitter-Feed in die Website einzubauen. Ich unterstelle einfach mal an dieser Stelle das in der überwiegenden Zahl dieser Plugins nicht geprüft wird, ob die Tweets, die dargestellt werden nicht irgend eine Art von Schadcode enthalten. Praktisch stelle ich mir einen Angriff über Twitter folgendermaßen vor: Ein Angreifer kennt meinen Blog, sowie den dazugehörigen Twitter-Account. Er sendet nun eine @-Nachricht an meinen Twitter-Account, dessen Feed ich über ein Plugin in mein Blog eingebunden habe. Andere Komponenten wie Gästebücher und die Kommentarfunktion meines Blogs prüfen vielleicht auf eingeschmuggelten Schadcode, mein Twitter-Plugin vielleicht nicht.
Da das Plugin nicht ausreichend die Tweets auf Javascript, SQL-Injections oder ähnliches prüft wird dieser Code in den Quelltext meiner Website eingebunden. Ein möglicher Angriff?
Bis jetzt ist mir bei meiner Recherche im Internet noch keine derartige Meldung aufgefallen. Entweder weil es keine real existierende Bedrohung ist oder weil es schlichtweg einfach nicht funktioniert. Ich habe eben mal mit simplem HTML-Code versucht in meinen Twitter-Feed auf diesem Blog ein Foto zu inserten, aber es hat nicht geklappt. Leider fehlt mir aber auch der programmiertechnische Hintergrund, um einen deratigen Angriff zu formieren. Vielleicht hat ja einer von Euch eine Idee? Ich habe jedefalls bis auf weiteres meinen Twitter-Feed hier deaktiviert.
Thema: Allgemein | Kommentare (1) | Autor: Nicolas Dorwig
Mrz
05
Back Again!
Donnerstag, 5. März 2009 19:28
Muss mich doch mal wieder zurückmelden! Leider hat sich der Umzug zu meinem neuen Domain-Hoster etwas umständlicher als geplant herausgestellt. Ich ging immer davon aus, dass nach dem Umzug auch alle Subdomains ohne Probleme wieder laufen. Dies ist bei Strato jedoch erst ab dem etwas besseren Domain-Paket möglich. Bis ich das herausgefunden habe vergingen jetzt ein paar Tage. ich entschuldige mich bei meinen treuen Lesern (Gibt es die überhaupt? ) für die Nicht-Erreichbarkeit meines Blogs.
Etwas positives hat die Downtime aber gebracht: Ich habe in der Zwischenzeit zu lighttpd migriert und bin mehr als zufrieden. Alle PHP-basierenden Dienste auf meinem Server laufen dank FastCGI deutlich performanter als unter Apache 2 mit mod_php5. Bin begeistert! Werde vielleicht bei Gelegenheit mal berichten wie die Migration von Statten ging.
Thema: BlogIntern | Kommentare (0) | Autor: Nicolas Dorwig
Mrz
01
Sonntag, den 01.03.2009
Sonntag, 1. März 2009 22:20
Thema: Sonntag, den xx.xx.xx | Kommentare (0) | Autor: Nicolas Dorwig
Flickr Feed
|
2008
Amazon
Blog
browser
Bug
eeePC
Eplus
Espresso
Feeds
Firefox
GPRS
Hörgeräteakustiker
Howto
Kommentar
Linux
mal sehen
no_comment
openVPN
Plugin
RealSound
ReCaptcha
Resound
Rezept
RMV
rootserver
RSS
Server
Sonntag
Spam
sun
Support
T-Online
Theme
try&buy
Twitter
Warsow
Web 2.0
Weihnachten
Wiesbaden
Wordpress