Hanno Böck

DNS-Serverbetreiber sollten Sicherheitsupdates installieren - eine neue Form von Denial-of-Service-Angriff kann die Server sonst lahmlegen. (Bild: Victorgrigas, Wikimedia Commons) (Victorgrigas, Wikimedia Commons)

NXNSAttack: Effizienter Angriff auf Nameserver

Eine neue Form von Denial-of-Service-Angriff nutzt die DNS-Architektur, um mit wenig Aufwand viel Serverlast und Traffic zu erzeugen.

8 Kommentare / Von Hanno Böck

Datenschutzprobleme bei der Schulcloud: Mit Fakeaccounts konnte man die Daten von Schülern einsehen. (Bild: Hasso-Plattner-Institut) (Hasso-Plattner-Institut)

Datenschutz: Unberechtigte Accounts in Schul-Cloud

In der Schul-Cloud des Hasso-Plattner-Instituts war es möglich, unberechtigt Accounts anzulegen und damit Nutzerdaten einzusehen.

Kommentare

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Microsoft-365-Admin werden leicht gemacht

zum Artikel

Karriere Ratgeber: Microsoft Cloud verwalten auf höchstem Niveau

zum Ratgeber

Seminar: Microsoft 365 Zero Trust: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Grundkurs in die Excel VBA Programmierung (E-Learning)

zum Kurs

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Mitarbeiter (w/m/d) für das Fachressort Geschäftsanwendungen Klinikum Lüneburg, Schwerpunkt Systemadministration und Anwendungsbetreuung Gesundheitsholding Lüneburg GmbH, Lüneburg (öffnet im neuen Fenster)

IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)

Ausbildung zum Fachinformatiker - Fachrichtung Systemintegration (m/w/d) Noelle + von Campe Glashütte GmbH, Boffzen (öffnet im neuen Fenster)

Gymnasialleiter*in Phorms Education SE, Steinbach (Taunus) (öffnet im neuen Fenster)

Werkstudent für Digitalisierungsprojekte in der Mobilität (m/w/d) EWR GmbH, Remscheid (öffnet im neuen Fenster)

Praxisorientierte Weiterbildung GIS- und Geodatenexperte (m/w/d) GIS-Akademie GmbH, Berlin (öffnet im neuen Fenster)

IT-Systemadministrator (m/w/d) Gemeinnützige Gesellschaft für inklusive Serviceleistungen mbH (gGiS mbH), Hannover (öffnet im neuen Fenster)

Product Owner für Machine Learning in der Bildverarbeitung (w/m/d) Hensoldt, Oberkochen (öffnet im neuen Fenster)

Ransomware bei Fresenius: Der Medizintechnikhersteller kämpft mit Schadsoftware. (Bild: Karsten11/Wikimedia Commons) (Karsten11/Wikimedia Commons)

Ransomware: Schadsoftware beeinträchtigt Produktion bei Fresenius

Der Medizinkonzern teilt mit, dass die Patientenversorgung nicht gefährdet ist.

7 Kommentare

Sicherheitslücke durch unterschiedliche XML-Parser: Apple schließt einen Bug in iOS, der offenbar manchen schon seit Jahren bekannt war. (Bild: Drapplesi/Wikimedia Commons) (Drapplesi/Wikimedia Commons)

iOS: Fehlerhaftes XML trickst Apple-Betriebssystem aus

Ein Bug in iOS erlaubt es Apps, beliebige Berechtigungen zu erhalten.

12 Kommentare

Manchmal ist ein Sprint nötig, um Sicherheitsupdates zeitnah bereitzustellen. (Bild: tableatny, Wikimedia Commons) (tableatny, Wikimedia Commons)

Sicherheitslücken: Updates müssen schneller kommen

Wenn Sicherheitslücken bekannt werden, heißt es updaten. Oft dauert es aber zu lange, bis eine Aktualisierung überhaupt bereitsteht.

4 Kommentare / Ein IMHO von Hanno Böck

Contact Tracing mit Bluetooth: Google und Apple stellen kleine Änderungen ihrer Tracing-API vor. (Bild: Google/Apple) (Google/Apple)

Corona-App: Updates für Tracing-API von Google und Apple

Google und Apple stellen kleinere Änderungen an ihrer Bluetooth-API für Corona-Tracing-Apps vor, zu möglichen zentralisierten Ansätzen wird nichts gesagt.

20 Kommentare

Ein "Erfolgsprojekt"? Die Tagebaue im Rheinland gehören zu den klimaschädlichsten der Welt, weil Braunkohle besonders ineffizient ist. (Bild: Hanno Böck) (Hanno Böck)

Klimakrise: Autodesk, der Bagger 290 und der Hambacher Wald

Der Hersteller von CAD-Software hat damit geworben, dass RWE die Software für seine Braunkohlebagger nutze. Ein belgischer Künstler und Klimaaktivist hat die Firma darauf angesprochen - und der Hinweis auf das "Erfolgsprojekt" ist verschwunden.

95 Kommentare / Eine Analyse von Hanno Böck

Nicht mit gesperrtem Bildschirm: Normale iPhone-Apps können Bluetooth-Low-Energy-Beacons nur in ungesperrtem Zustand nutzen. (Bild: Oliur Rahman, Unslpash, Wikimedia Commons) (Oliur Rahman, Unslpash, Wikimedia Commons)

Corona-Tracing: Eine App, die nicht zuverlässig funktioniert

Deutschland hat bei der zentralisierten Corona-App dabei womöglich auf den falschen Ansatz gesetzt. Ohne Unterstützung von Google und Apple wird sie nur schlecht funktionieren - und genau daran fehlt es.

81 Kommentare / Eine Analyse von Hanno Böck

E-Learning: Linux Administration: Skripte, Container und Automatisierung (E-Learning)

zum Kurs

Seminar: ISO 27001 Foundation mit Zertifikat: virtueller Zwei-Tage-Workshop

zum Kurs

Seminar: Container Management und Orchestrierung: virtueller Drei-Tage-Workshop

zum Kurs

Seminar: LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop

zum Kurs

Ein neues GCC-Feature findet Bugs beim Kompilieren. (Bild: Bj.schoenmakers/Wikimedia Commons) (Bj.schoenmakers/Wikimedia Commons)

Null-Pointer: Statisches Codeanalysewerkzeug von GCC findet OpenSSL-Bug

Ein Bug in OpenSSL kann Server und Clients zum Absturz bringen.

8 Kommentare

Zentrales oder dezentrales Corona-Infektions-Tracking? Offenbar gibt es hinter den Kulissen beim App-Projekt PEPP-PT gerade Streit. (Bild: We Are Covert, Wikimedia Commons) (We Are Covert, Wikimedia Commons)

PEPP-PT: Streit beim Corona-App-Projekt

Update Im europäischen Konsortium PEPP-PT, das die Technologie für eine Corona-Tracking-App entwickeln will, gibt es einen Konflikt: Informationen über einen dezentralen Ansatz wurden ohne Absprache von der Webseite entfernt. Projektleiter Chris Boos sieht darin aber keinen Richtungsstreit.

44 Kommentare / Von Hanno Böck,Christiane Schulzki-Haddouti

Bisher ist die Verschlüsselung auf Videokonferenzservern meist unterbrochen, aber das könnte sich bald ändern. (Bild: Musicaline/Wikimedia Commons) (Musicaline/Wikimedia Commons)

Videokonferenzen: Jitsi und Chrome arbeiten an Ende-zu-Ende-Verschlüsselung

Eine Erweiterung von WebRTC soll verschlüsselte Videostreams weiterleiten können.

7 Kommentare

Kein sicheres Passwort: Mit dem Standardpasswort "passw0rd" kann man sich in interne XMPP-Accounts von Jitsi Meet einloggen. (Bild: Screenshot / Hanno Böck) (Screenshot / Hanno Böck)

Sicherheitslücke: Unsichere Standardpasswörter in Jitsi Meet

Die Installation der Videokonferenzsoftware Jitsi Meet mittels Docker nutzte ein Standardpasswort für eigentlich interne XMPP-Accounts.

49 Kommentare

Frühere Windows-Versionen verbinden sich fehlerhafterweise zu corp.com - jetzt hat Microsoft die Domain gekauft. (Bild: efes, Wikimedia Commons) (efes, Wikimedia Commons)

corp.com: Microsoft kauft gefährliche Domain

Alte, fehlerhaft konfigurierte Windowsversionen verbinden sich häufig zur Domain corp.com und geben Daten preis.

28 Kommentare

Firefox-Nutzer aufgepasst: Ein wichtiges Sicherheitsupdate steht bereit. (Bild: Malene Thyssen, Wikimedia Commons) (Malene Thyssen, Wikimedia Commons)

Browser: Sicherheitslücke in Firefox wird bereits angegriffen

Ein Update für den Firefox-Browser schließt zwei kritische Sicherheitslücken.

13 Kommentare

Ein eigenes OS - und ein eigener Computer (Bild: André Fachat / Montage: Golem.de) (André Fachat / Montage: Golem.de)

Podcast Besser Wissen: Unix auf dem 6502?

Woher der Begriff Acid eigentlich kommt, ist etwas unklar. (Bild: Montage: Golem.de) (Montage: Golem.de)

Podcast Besser Wissen: 303 für alle!

Seit Jahrhunderten fragen sich die Menschen, wie weit die Sterne eigentlich entfernt sind. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Wie messen wir Entfernungen im Weltraum?

Der VC20 sollte besonders einsteigerfreundlich sein. (Bild: Public Domain / Montage: Golem.de) (Public Domain / Montage: Golem.de)

Podcast Besser Wissen: Volkscomputer - der erste Millionär

Auch eine Strickanleitung ist eine Art Algorithmus. (Bild: Pixabay / Montage: Golem.de) (Pixabay / Montage: Golem.de)

Podcast Besser Wissen: Wie geht Informatik für die moderne Hausfrau?

Der K.I.T.T. von Andreas sieht sehr originalgetreu aus. (Bild: Martin Wolf/Golem.de) (Martin Wolf/Golem.de)

Podcast Besser Wissen: Der eigene K.I.T.T.

Coronavirus: Covid-19-App der Telekom prüft Zertifikate nicht

Update Bei der Entwicklung einer App, mit der Patienten ihre Covid-19-Testergebnisse abrufen können, wurde wenig Wert auf Sicherheit gelegt.

18 Kommentare

Ein lückenloses Netz ist das Ziel aller Entwickler - unser Workshop soll dazu beitragen. (Bild: Pixabay) (Pixabay)

Golem Akademie: "IT-Sicherheit für Webentwickler" als Live-Onlineseminar

Wegen der Corona-Pandemie findet unser Workshop zur IT-Sicherheit für Webentwickler nicht als Präsenzseminar, sondern im Netz statt: in einem Live-Onlineseminar Ende April mit Golem.de-Redakteur und IT-Sicherheitsexperte Hanno Böck.

Kommentare

"Warteschlange" heißt es zur Zeit für Kleinunternehmen, die Wirtschaftshilfen in Berlin beantragen. (Bild: Screenshot Webseite IBB) (Screenshot Webseite IBB)

Investitionsbank Berlin: Antragsunterlagen für Corona-Hilfen falsch zugestellt

Die Investitionsbank stellt Hilfen für Unternehmen bereit, die durch die Coronavirus-Pandemie in eine schwierige finanzielle Lage kommen - und hat dabei eine größere Datenschutzpanne verursacht.

2 Kommentare

Eine gefährliche Sicherheitslücke in Windows - und von Microsoft gibt es keinen Patch und Workarounds mit unklarem Nutzen. (Bild: Jiaqian AirplaneFan/Wikimedia Commons) (Jiaqian AirplaneFan/Wikimedia Commons)

Adobe-Fontbibliothek: Font-Sicherheitslücke in Windows ohne Fix

Eine Windows-Sicherheitslücke wird bereits angegriffen. Microsoft beschreibt verschiedene Workarounds.

6 Kommentare

Jitsi Meet ist eine einfache, freie Lösung für Videokonferenzen. (Bild: Andrewi, Wikimedia Commons) (Andrewi, Wikimedia Commons)

Homeoffice: Videokonferenzen auf eigenen Servern mit Jitsi Meet

Wegen der Coronavirus-Pandemie sind Videokonferenzen angesagt. Eine eigene Instanz der freien Videokonferenz-Software Jitsi Meet ist innerhalb von wenigen Minuten lauffähig, Golem.de stellt eine bereit.

61 Kommentare / Eine Anleitung von Hanno Böck

Panne bei Veröffentlichung von Sicherheitslücke: Microsoft gibt Ratschläge, wie man sich auch ohne Patch schützen kann. (Bild: The Conmunity - Pop Culture Geek/Wikimedia Commons) (The Conmunity - Pop Culture Geek/Wikimedia Commons)

Remote Code Execution: Sicherheitslücke in Windows 10 geleakt

Update Microsoft hat einen Patch für eine gefährliche Lücke im SMBv3-Protokoll veröffentlicht. Dieser sollte schnell eingespielt werden.

28 Kommentare

Wenn der Podcast stumm bleibt, könnte es an einer Änderung im aktuellen Chrome-Browser liegen. (Bild: Matti Blume/Wikimedia Commons) (Matti Blume/Wikimedia Commons)

Google Chrome: ARD-Podcast bleibt stumm

Chrome blockiert in der aktuellen Version unverschlüsselte Inhalte auf HTTPS-Webseiten.

7 Kommentare

Let's-Encrypt-Zertifikate, die trotz eines Fehlers ausgestellt wurden, bleiben zunächst gültig, es ist aber unklar, wie lange. (Bild: DerHHO/Wikimedia Commons) (DerHHO/Wikimedia Commons)

CAA-Fehler: Let's-Encrypt-Zertifikate werden nicht sofort zurückgezogen

Eigentlich wollte Let's Encrypt letzte Nacht drei Millionen Zertifikate zurückziehen. Viele sind aber nach wie vor gültig. Let's Encrypt hat sich offenbar entschieden, noch in Benutzung befindliche Zertifikate vorerst auszunehmen.

13 Kommentare

Drei Millionen Zertifikate von Let's Encrypt wurden nicht korrekt ausgestellt und müssen jetzt schnellstmöglich ersetzt werden. (Bild: Pxfuel) (Pxfuel)

TLS: Let's Encrypt muss drei Millionen Zertifikate zurückziehen

Ein Fehler bei Let's Encrypt hat dazu geführt, dass der Check von CAA-DNS-Records nicht korrekt durchgeführt wurde. Die Zertifizierungsstelle zieht jetzt kurzfristig betroffene Zertifikate zurück, was für einige Probleme sorgen dürfte.

40 Kommentare

Troy Hunt will Have I Been Pwned? nun doch selbst weiterbetreiben. (Bild: Have I Been Pwned?/Screenshot: Golem.de) (Have I Been Pwned?/Screenshot: Golem.de)

Password-Leak-Checker: Have I Been Pwned? wird doch nicht verkauft

Troy Hunt wollte seinen Passwort-Leak-Checker Have I been Pwned? verkaufen. Doch nach einem für Hunt frustrierenden Prozess entschied er sich letztendlich, das Projekt nun doch unabhängig selbst weiterzubetreiben.

7 Kommentare

Golem Akademie: IT-Sicherheit für Webentwickler

Welches sind die häufigsten Sicherheitslücken im Web, wie können sie ausgenutzt werden - und wie können Webentwickler ihnen begegnen? Diese Fragen beantwortet der Golem.de-Redakteur und IT-Sicherheitsexperte Hanno Böck in einem Workshop Ende März.

2 Kommentare

Sie wollen sich beim Gesundheitsministerium über das Coronavirus informieren? Da heißt es heute: warten. (Bild: Habib M'henni, Wikimedia Commons) (Habib M'henni, Wikimedia Commons)

Behördenwebseiten: Corona-Informationen laden nur langsam

Viele Bürger wollen sich zur Zeit bei Behörden über die aktuellen Coronavirus-Erkrankungen informieren. Doch wer sich beim Gesundheitsministerium, beim Robert-Koch-Institut oder bei anderen Verantwortlichen erkundigen will, stellt fest: Deren Webseiten laden nur langsam und teilweise gar nicht.

106 Kommentare

Das war nicht nötig: Nutzern von Google Pay in Kombination mit Paypal wurde Geld abgebucht, dabei wusste Paypal seit einem Jahr von den Problemen. (Bild: ERIC PIERMONT/AFP via Getty Images) (ERIC PIERMONT/AFP via Getty Images)

Google Pay: Paypal wusste seit einem Jahr von Sicherheitslücke

Update Eine Sicherheitsfirma hat im Februar 2019 ein Sicherheitsproblem im Zusammenspiel von Google Pay und Paypal gefunden und an Paypal gemeldet. Jetzt wird das Problem offenbar von Kriminellen ausgenutzt.

95 Kommentare

Selbst intern finden viele das Vorgehen der Grünen Liga in Sachen Tesla-Fabrik problematisch. (Bild: Leonhard Lenz, Wikimedia Commons) (Leonhard Lenz, Wikimedia Commons)

Grünheide: Umweltbewegung agiert bei Tesla-Fabrik unglücklich

Es gibt gute Gründe, die Elektromobilität nicht nur unkritisch zu bejubeln. Einige Umweltverbände und Klimaaktivisten machen im Fall der Tesla-Fabrik in Grünheide dabei aber keine besonders gute Figur.

230 Kommentare / Ein IMHO von Hanno Böck

Jeff Bezos spendet für's Klima. Doch wie glaubwürdig ist das, solange Amazon gut am Ölgeschäft mitverdient? (Bild: Seattle City Council, Piqsels) (Seattle City Council, Piqsels)

Jeff Bezos: Amazon-Chef spendet fürs Klima

Amazon-Chef Jeff Bezos kündigt an, 10 Milliarden US-Dollar an Projekte zu spenden, die den Klimaschutz voranbringen. Kritiker merken an, dass Amazon seine Geschäfte mit der fossilen Industrie immer weiter ausbaut und sogar Klimawandelleugner mitfinanziert.

5 Kommentare

Und plötzlich sind alle Daten weg: Ein Wordpress-Plugin der Firma Themegrill hat eine gefährliche Sicherheitslücke. (Bild: Heiko Tobien/Wikimedia Commons) (Heiko Tobien/Wikimedia Commons)

Sicherheitslücke: Wordpress-Plugin Themegrill löscht Datenbank

Update Ein Wordpress-Plugin hat eine Funktion, mit der man die komplette Datenbank neu aufsetzen kann. Das Problem dabei: Diese Funktion lässt sich auch ohne Authentifizierung erreichen - und ermöglicht in manchen Fällen ein Übernehmen des Wordpress-Systems.

19 Kommentare

Alphakanal: Gimp verrät Geheimnisse in Bildern

Update Wer in Gimp in einem Bild mit Transparenz Bildbereiche löscht, der macht sie nur durchsichtig. Dieses wenig intuitive Verhalten kann dazu führen, dass Nutzer ungewollt Geheimnisse preisgeben.

264 Kommentare

Private Videos auf Google Fotos gespeichert? Dann könnten diese bei anderen Nutzern im Datenexport gelandet sein. (Bild: Phil Roeder/Wikimedia Commons) (Phil Roeder/Wikimedia Commons)

Google Fotos: Google exportierte fremde Privatvideos

Für einen kurzen Zeitraum im November hat ein Bug bei Google Fotos dafür gesorgt, dass beim Export der persönlichen Daten Videos vertauscht wurden. Einige Nutzer erhielten Zugriff auf die Privatvideos von anderen.

11 Kommentare

Ist es glaubwürdig, wenn Microsoft ankündigt, ein klimaneutraler Konzern zu werden, und gleichzeitig weiterhin Chevron und anderen Ölkonzernen bei der Erschließung neuer Ressourcen hilft? (Bild: tom jervis, Wikimedia Commons) (tom jervis, Wikimedia Commons)

Ölindustrie: Der große Haken an Microsofts Klimaplänen

Microsoft verkündet einen ambitionierten Plan, um das Unternehmen klimaneutral zu machen. Vieles darin klingt gut, aber es gibt einen großen Haken: Microsofts gute Geschäfte mit der Ölindustrie sollen weitergehen.

58 Kommentare / Eine Analyse von Hanno Böck

Patch Tuesday: Windows patzt bei Zertifikatsprüfung

Eine Lücke in der Zertifikatsvalidierung von Windows ermöglicht es, die Codesignaturprüfung auszutricksen und TLS-Verbindungen anzugreifen. Zudem gibt es eine Sicherheitslücke im Remote Desktop Gateway.

8 Kommentare

Seit Freitag sind Exploits für die Shitrix-Lücke öffentlich verfügbar - wer jetzt noch verwundbar ist, kann davon ausgehen, dass die Systeme bereits kompromittiert sind. (Bild: Screenshot Exploit / Hanno Böck) (Screenshot Exploit / Hanno Böck)

Shitrix: Das Citrix-Desaster

Eine Sicherheitslücke in Geräten der Firma Citrix zeigt in erschreckender Weise, wie schlecht es um die IT-Sicherheit in Behörden steht. Es fehlt an den absoluten Grundlagen.

126 Kommentare / Ein IMHO von Hanno Böck

Netscaler-Geräte der Firma Citrix sind zur Zeit extrem gefährdet - über die Perl-Template-Engine lässt sich trivial Code ausführen. (Bild: Alexey Komarov, Wikimedia Commons) (Alexey Komarov, Wikimedia Commons)

Perl-Injection: Citrix-Geräte mit schwerer Sicherheitslücke und ohne Update

Geräte aus der Netscaler-Serie der Firma Citrix sind für eine Remote-Code-Execution-Lücke anfällig, die sich sehr leicht ausnutzen lässt. Ein Update gibt es bislang nicht, Nutzer müssen die Konfiguration selbst anpassen, um Angriffe zu filtern.

7 Kommentare

Die Firma Rohde und Schwarz vertreibt bis heute ein Produkt namens Trusteddisk - dessen Ursprung ist eine Weiterentwicklung von Truecrypt. (Bild: Olaf Kosinsky/Skillshare.eu) (Olaf Kosinsky/Skillshare.eu)

Sirrix: Urheber des BSI-Audits entwickelten Truecrypt-Abspaltung

Der Truecrypt-Audit des BSI, über den wir gestern berichtet hatten, stammte von den Firmen Sirrix - heute Rohde und Schwarz - und Escrypt. Sirrix entwickelte daraufhin einen Fork namens TrustedDisk, der als Open Source veröffentlicht werden sollte - was nie passiert ist.

30 Kommentare / Ein Bericht von Hanno Böck

Verschlüsselungssoftware: BSI verschweigt Truecrypt-Sicherheitsprobleme

Update Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Jahr 2010 eine umfangreiche Analyse der Verschlüsselungssoftware Truecrypt erstellen lassen. Die Ergebnisse landeten in der Schublade, die Öffentlichkeit wurde über die zahlreichen gefundenen Sicherheitsrisiken nicht informiert.

81 Kommentare / Ein Bericht von Hanno Böck

Encryption software: German BSI withholds Truecrypt security report

Update The German Federal Office for Information Security has created a detailed analysis of the software Truecrypt in 2010. The results ended up in the drawer, the public was not informed about the found security risks.

4 Kommentare

In Arztpraxen werden häufig sehr private Daten verarbeitet, daher sollte deren Software besonders auf Sicherheit und Datenschutz achten. (Bild: Pixnio) (Pixnio)

Medizin: Updateprozess bei Ärztesoftware Quincy war ungeschützt

In einer Software für Arztpraxen ist der Updateprozess ungeschützt über eine Rsync-Verbindung erfolgt. Der Hersteller der Software versucht, Berichterstattung darüber zu verhindern.

67 Kommentare / Ein Bericht von Hanno Böck

Früher hat man versucht, Zahlensiebe mit mechanischen Geräten zu berechnen, heute verwendet man Computercluster. (Bild: Marcin Wichary, Wikimedia Commons) (Marcin Wichary, Wikimedia Commons)

RSA-240: Faktorisierungserfolg gefährdet RSA nicht

Forscher haben auf einem Rechencluster eine 795 Bit große Zahl faktorisiert. Das RSA-Verschlüsselungs- und Signaturverfahren basiert darauf, dass Faktorisierung schwierig ist. Für die praktische Sicherheit von RSA mit modernen Schlüssellängen hat dieser Durchbruch heute aber wenig Bedeutung.

1 Kommentare

Sendmail: Software aus der digitalen Steinzeit

Ein nichtöffentliches CVS-Repository, FTP-Downloads, defekte Links, Diskussionen übers Usenet: Der Mailserver Sendmail zeigt alle Anzeichen eines problematischen und in der Vergangenheit stehengebliebenen Softwareprojekts.

111 Kommentare / Eine Analyse von Hanno Böck

Datenpanne bei Conrad: Ein Unbekannter hatte Zugriff auf Adressen und IBANs. (Bild: Graf Foto, Wikimedia Commons) (Graf Foto, Wikimedia Commons)

Elasticsearch: Datenleak bei Conrad

Der Elektronikhändler Conrad meldet, dass ein Angreifer Zugang zu Kundendaten und Kontonummern gehabt habe. Grund dafür war eine ungesicherte Elasticsearch-Datenbank.

42 Kommentare

Vorerst bleibt das BeA bei der fragwürdigen Umschlüsselungs-Methode, bei der Nachrichten auf dem Server entschlüsselt werden. (Bild: Biswarup Ganguly, Wikimedia Commons) (Biswarup Ganguly, Wikimedia Commons)

Anwaltsgerichtshof: Keine Ende-zu-Ende-Verschlüsselung fürs Anwaltspostfach

Eine Klage von Rechtsanwälten, die fordern, dass im besonderen elektronischen Anwaltspostfach (BeA) eine Ende-zu-Ende-Verschlüsselung umgesetzt wird, ist vorerst gescheitert. Der Anwaltsgerichtshof mochte den Argumenten der Kläger nicht folgen, eine Revision ist aber möglich.

8 Kommentare

Kleine Zeitunterschiede bei der Signaturerzeugung können dazu genutzt werden, mit einem Seitenkanalangriff private Schlüssel aus TPM-Chips zu extrahieren. (Bild: Ansgar Koreng/Wikimedia Commons) (Ansgar Koreng/Wikimedia Commons)

Kurse

Podcast Besser Wissen