Server-Applikationen

Als Antwort auf Zehntausende Anfragen nach einem Gutachten zum Pestizid Glyphosat hat das Bundesinstitut für Risikobewertung eine eigene, nicht sehr sichere Webseite programmieren lassen. Wir konnten Konfigurationsdateien auslesen, die Datenbank war mit dem Passwort "doof" geschützt.

Programmierer schlagen sich ständig mit der Syntax und Semantik von Programmiersprachen herum. Der US-Amerikaner Mike Stipicevic hat aus der Not eine Tugend gemacht und nutzt sein Wissen über obskure Grammatiken, um Deutsch zu lernen.
Von Mike Stipicevic

Der US-Webhoster A2 hat seit etlichen Tagen ein Problem: Ransomware verbreitet sich bei Kunden. Diese sind verärgert - über den Vorfall und die fehlende Kommunikation der Entwickler. Betroffen sind anscheinend nur Windows-Server.

Der Code sämtlicher Projekte der Apache Software Foundation wird künftig offiziell auf Github gehostet. Das betrifft rund 350 Projekte mit zusammen mehr als 200 Millionen Zeilen Code.

Mit dem monatlichen Rollup KB4493472 hat Microsoft vor allem in Verbindung mit Virenscannern Probleme unter Windows 7 verursacht. Mittlerweile zeigt Microsoft Lösungswege auf. Sie erfordern jedoch Arbeiten an der Sicherheitssoftware.

Die für die Verwaltung von Domainnamen zuständige Organisation Icann überlegt, die bisherigen Preisschranken aufzuheben. Begonnen werden soll damit für die TLD .org. Die öffentlichen Kommentare dazu sind bisher fast ausschließlich negativ.

Die aktuelle Version 6.5 des Betriebssystems OpenBSD nutzt den neuen Stack-Protector Retguard. Die Entwickler liefern außerdem einen eigenen lokalen DNS-Resolver aus und arbeiten an einer Eigenentwicklung für Rsync, die nun getestet werden kann.

Das Zend Framework, eine Sammlung professioneller PHP-Pakete zur Entwicklung von Web-Anwendungen, geht in die Obhut der Linux Foundation über. Das Konsortium will das Zend Framework dann als Open-Source-Projekt Laminas weiterführen, noch fehlen aber zahlungswillige Unterstützer.

Google öffnet seine Cloud-Infrastruktur weiter. Es soll künftig möglich sein, Active Directory oder Microsoft SQL Server darauf laufen zu lassen. Damit tritt das Unternehmen in direkte Konkurrenz zu Microsofts eigenen Azure-Diensten.

Die Schlüsselserver für PGP sind so ausgelegt, dass sie fast alles ungeprüft akzeptieren. Das führt zu zahlreichen Problemen, zuletzt wurden die Keyserver aufgrund von Angriffen mit vergifteten Schlüsseln immer unzuverlässiger.
Ein Bericht von Hanno Böck

Groß- und Kleinbuchstaben, mindestens ein Sonderzeichen, aber nicht irgendeins? Viele Passwort-Richtlinien führen dazu, dass Nutzer genervt oder verwirrt sind, aber nicht unbedingt zu sichereren Passwörtern. Wir geben Tipps, wie Entwickler es besser machen können.
Von Hanno Böck

Eine Sicherheitslücke im Apache-Webserver erlaubt es Nutzern, mit Hilfe von CGI- oder PHP-Skripten Root-Rechte zu erlangen. Ein Update steht bereit.

Die Nutzer von Cloudflare sollen eine zuverlässige VPN-Technik bekommen. Deshalb baut der Anbieter sein VPN mit dem Namen Warp in seine DNS-App ein. Grundlage der Technik ist das freie Wireguard-Protokoll.

Nach mehreren Jahren Arbeit soll die noch kommende Version 8 der Sprache PHP eine JIT-Engine erhalten. Das bringe zwar Vorteile und sei wichtig für die Zukunft, im Vergleich zur Konkurrenz sei die Technik aber "extrem einfach", heißt es in dem verabschiedeten Vorschlag.

Mit einem völlig neuen Produkt will Apple vom Digitalpakt Schule und dem Brexit profitieren. Doch die neue Programmierplattform iCodes könnte die Nutzer des Apple Pie in eine zweifelhafte Abhängigkeit von dem US-Konzern bringen.
Von Friedhelm Greis

Der für den Firefox-Browser zuständige Technikchef Eric Rescorla erklärt noch einmal zusammenfassend die Pläne zur Nutzung von DNS über HTTPS (DoH). Demnach soll die Technik definitiv mit einigen Startpartnern ausgerollt werden, wann, ist jedoch noch nicht klar.

Online-Shops mit der Software Magento sollten schnellstmöglich updaten: Eine SQL-Injection-Lücke erlaubt es jedem Angreifer, Daten aus der Datenbank auszulesen.

Das unverschlüsselte Speichern von Passwörtern gilt als grober Verstoß gegen den Datenschutz. Bei Facebook sollen bis zu 600 Millionen Nutzer davon betroffen gewesen sein.

Bisher war es laut Standard möglich, von DNS-Servern eine Liste aller Records für eine Domain anzufragen. Doch das ist problematisch und kann für Amplification-Angriffe missbraucht werden. Ein neuer RFC sagt daher, dass man diese Anfragen nicht mehr beantworten muss.

Valves eigenes Netzwerk leitet Spieletraffic an Gameserver sowie zu den Spielern und schützt beide Enden vor DoS-Angriffen. Das Unternehmen verspricht auch bessere Latenzzeiten. Mit Steamworks 1.44 können Entwickler diese Infrastruktur nutzen.

Damien George und sein Team von Micropython bauen den Mikrocontroller Pyboard D. Dieser ist als IoT-Bausatz angelegt, der sich leicht erweitern lassen soll - etwa um LED-Matrizen und Sensoren.

Für 670 Millionen Dollar übernimmt F5, ein Hersteller von Netzwerkhardware, die Firma hinter dem freien Webserver Nginx. Mit Nginx wird nach Schätzungen etwa ein Viertel aller Webseiten betrieben.

Mit den Amazon Web Services bereichere sich das Unternehmen an Open-Source-Software, ohne viel zurückzugeben, sagen einige Kritiker. Das Unternehmen sieht sich selbst eher als "stillen Beitragenden" und bemüht sich um größeres Engagement.

Der Hauptentwickler und Sponsor der gleichnamigen Datenbank MariaDB hat auf seiner Anwender- und Entwicklerkonferenz einen Enterprise Server angekündigt. Der soll Open Source sein und besseres Auditing, schnellere Backups und größere Zuverlässigkeit bieten.

Windows Server IoT 2019 ist eine neue Variante des Server-Betriebssystems von Microsoft. Es soll für Edge-Geräte sinnvoll sein, unterscheidet sich abseits der Lizenzierung aber kaum von der Standardvariante. Das gibt selbst Microsoft zu.

Die Entwickler von Drupal erläutern ihre künftige Releasestrategie und kündigen das Supportende für Drupal 7 an. Da Major-Updates bei Drupal oft umständlich sind nutzen viele Webseiten noch diese alte Version.

In einer Diskussion um die Server-CPU-Plattformen von ARM äußert sich Linux-Erfinder Linus Torvalds sehr pessimistisch über die Zukunft der Prozessoren. Der Plattform fehle schlicht ein gutes Nutzungsszenario für Entwickler.

Nutzer, die noch ein älteres Windows 7 oder Windows Server 2008 verwenden, müssen in den kommenden Monaten ein Update für SHA-2 installieren, sonst gibt es ab dem Sommer gar keine Aktualisierungen mehr für die Systeme.

Der KI-Chef von Facebook möchte die aktuelle Herangehensweise an Deep-Learning-Probleme gern völlig neu denken. Dazu gehört eine Programmiersprache, die effizienter ist als Python, ebenso wie neue Hardware, die nicht nur Matrizen multipliziert.

Rechnungen erstellen oder Verträge verteilen: Die Google Docs API kann die Erstellung solcher Dokumente automatisieren oder verschiedene Parameter innerhalb einer Tabelle ändern. Das System unterstützt diverse Programmiersprachen wie Java, Python und Ruby.

Mit der eigenen freien virtuellen Maschine HHVM für PHP hat Facebook die Sprache deutlich beschleunigt. Die aktuelle Version 4.0 von HHVM unterstützt wie angekündigt jedoch kein PHP mehr, sondern nur noch die eigene Sprache Hack.

Einige Windows-10-Nutzer meldeten Probleme mit dem Updaten ihres Betriebssystems. Microsoft nennt jetzt auch den Grund dafür: eine fehlerhafte DNS-Konfiguration eines Drittanbieters führte zu Ausfällen - und ist wohl auch der Grund für die vergangenen Probleme mit Azure-Datenbanken.

Projekte mit der Software von SAP? Da verdrehen viele IT-Experten die Augen. Prominente Beispiele von Lidl und Haribo aus dem vergangenen Jahr scheinen diese These zu bestätigen: Gerade SAP-Projekte laufen selten in time, in budget und in quality. Dafür gibt es Gründe - und Gegenmaßnahmen.
Von Markus Kammermeier

Eine Sicherheitslücke, die die freien Office-Programme Libreoffice und Openoffice betrifft, erlaubt Angreifern das Ausführen von Code mittels einer Skript-Schnittstelle. Von Libreoffice gibt es ein Update, von Openoffice nicht.

Wer sich auch nur oberflächlich mit Big-Data und Echtzeit-Analyse beschäftigt, stößt schnell auf Begriffe und Lösungen, die sich nicht sofort erschließen. Warum brauche ich eine Nachrichten-Queue und was unterscheidet Apache Hadoop von Kafka? Welche Rolle spielt das in einer Kappa-Architektur?
Von George Anadiotis

Die Übertragung von DNS-Informationen über HTTPS sei nicht nur sicherer als Alternativen, sondern vor allem gut für den Endnutzer, sagt Curl-Entwickler Daniel Stenberg. Noch seien aber nicht alle Probleme mit der Technik gelöst.

Eine Reihe von Fehlern in Microsofts Azure-Cloud führte wohl dazu, dass einige der gehosteten Datenbanken von dem Anbieter automatisiert gelöscht worden sind. Kunden könnten so eventuell Daten aus einem Zeitraum von fünf Minuten verloren haben.

In der EU sind seit Inkrafttreten der DSGVO mehr als 40.000 Datenpannen registriert worden, die meisten davon in Deutschland. Was genau hinter den Verletzungen des Datenschutzes steckt, wird jedoch nicht erfasst.

Im Microsoft Exchange Server steckt eine schwerwiegende Sicherheitslücke, die es Angreifern erlaubt, sich erweiterte Rechte zu erschleichen. Ein Patch steht noch aus. Es gibt aber Methoden zur Risikoreduzierung.

Seit Inkrafttreten der EU-Datenschutz-Grundverordnung sind in Europa fast 100.000 Datenschutzbeschwerden von Bürgern eingegangen. In Niedersachsen war dies nur eingeschränkt möglich.

Das MySQL-Protokoll erlaubt es Servern, Daten des Clients auszulesen. Offenbar nutzte die kriminelle Gruppe Magecart dies zuletzt, um mit dem PHP-Datenbankfrontend Adminer Systeme anzugreifen. Auch PhpMyAdmin ist verwundbar.

Ab 1. Februar wollen Anbieter von DNS-Software und Betreiber von Internetinfrastruktur aufhören, auf fehlerhafte DNS-Server Rücksicht zu nehmen. Wer die DNS-Erweiterung EDNS nicht unterstützt, soll zumindest mit einer korrekten Antwort reagieren.

Die Webseite von Pear, einer Sammlung von Bibliotheken für PHP, ist zurzeit offline. Offenbar wurde der Server gehackt und die Installationsdatei ausgetauscht.

Google erinnert App-Entwickler noch einmal an eine Änderung bei der Verwendung von Android-Rechten. Wer das SMS- oder Anruf-Log nutzen wolle, müsse dies begründen. In Kürze werde sonst die App aus Google Play entfernt.

Die im Cloud-Einsatz beliebte Datenbank MongoDB hat seit einigen Monaten eine neue Lizenz. Der Hersteller bezeichnet diese als Open Source. Das Team der wichtigen Linux-Distribution Fedora widerspricht nun aber und verbietet die Aufnahme in die eigenen Paketquellen. Ähnliches gilt für RHEL und Debian.

Der öffentliche DNS-Dienst von Google unterstützt nun das Protokoll DNS-über-TLS zum Absichern der Abfragen. Genutzt werden kann das standardmäßig unter anderem mit Android 9 alias Pie oder einem eigenen Resolver.

Nach dem Abtritt von Guido van Rossum als Projektchef auf Lebenszeit bekommt die Python-Community künftig ein gewähltes Leitungsgremium. Dieses Konzept hat sich auch schon in anderen Open-Source-Communitys bewährt.

Ein Firmware-Update Logitechs verbaut die Möglichkeit des lokalen Zugriffs auf den Harmony Hub. Darüber konnten Anwendungen von Drittanbietern diverse Smart-Home-Geräte direkt ansteuern - was nun nicht mehr geht.

Anwendungen, die SQLite einsetzen und von außen SQL-Zugriff darauf bieten, sind offenbar von einem Fehler betroffen, der eine beliebige Codeausführung ermöglicht. Dazu gehören unter anderem Browser auf Chromium-Basis, für die inzwischen Updates bereitstehen.

Die Umstellung des Warenwirtschaftssystems bei Hans Riegel Bonn hat zu Produktionsproblemen geführt. Haribo soll deshalb Schwierigkeiten bei der Herstellung von Goldbären, Fruchtgummi-Vampiren und anderen Süßigkeiten haben.