Softwareentwicklung

Ein populäres jQuery-Plugin liefert Code mit einer Cross-Site-Scripting-Lücke aus. Der verwundbare Code stammt ursprünglich von einem Beispielskript für Captchas, das auf sehr vielen Webseiten zu finden ist.

Eine neue, gemeinnützige Zertifizierungsstelle soll die Verbreitung von HTTPS-Verbindungen fördern. Beteiligt sind neben Mozilla und der EFF auch große Unternehmen wie Akamai und Cisco.

Mit einem neuen API-Paket können App-Entwickler ihre Anwendungen für Googles Softwareplattform Android Auto optimieren. Bis auch Autokäufer das System nutzen können, wird es allerdings noch dauern.

Das jüngste Whatsapp-Update liefert eine Ende-zu-Ende-Verschlüsselungsfunktion mit. Die kommt ausgerechnet vom freien Konkurrenten Textsecure und gilt als besonders sicher.

Richard Huddy habe keinen Einblick in Microsofts Pläne und hätte nur spekuliert, dass DirectX 12 nicht für Windows 7 erscheint. Ein Dementi seitens AMD sieht anders aus, denn Huddy dürfte recht haben.

Vor 30 Jahren gelang Mitgliedern des Chaos Computer Clubs ein spektakulärer Hack, bei dem sie der Hamburger Sparkasse mit Hilfe des Btx-Systems 135.000 Mark in Rechnung stellten. Über den genauen Ablauf sind sich Hacker und Btx-Verantwortliche bis heute uneinig.

Der BND will Millionen für ein Gerät zur Analyse von Kryptochips ausgeben. Ob es ihm damit gelingt, verschlüsselte Nachrichten nachträglich zu entziffern, ist fraglich.

Update Wie viele Nutzerdaten dürfen zum Schutz der IT-Sicherheit gespeichert werden? Die geplanten Regelungen des neuen Gesetzes stiften Verwirrung und werden heftig kritisiert.

Weite Teile von Microsofts .Net werden unter die MIT-Lizenz gestellt und sogar auf Linux und Mac OS X portiert. Das Framework soll zudem in zwei verschiedenen Zweigen weiterentwickelt werden.

Die Entwickler des Editors Emacs verwenden künftig das Tool Git zur Versionskontrolle. Das von Canonical gesponserte Gnu-Projekt Bazaar hat damit ausgedient.

Mit dem Sprung auf Version 3.0 sollen die Versionen jQuery und jQuery Compat die bisherigen 1er- und 2er-Entwicklungszweige ersetzen. Damit soll das Verhalten der APIs besser berücksichtigt werden.

Die Multi-Prozess-Architektur Electrolysis ist in aktuellen Nightly-Builds des Firefox standardmäßig aktiviert. Ob die Veröffentlichung im Februar 2015 gehalten werden kann, ist aber unklar.

Wer ein Android-Tablet zwischen 8 und 10 Zoll Größe sucht, kommt an Googles neuem Nexus 9 oder Sonys Xperia Z3 Tablet Compact nicht vorbei. Golem.de hat beide Geräte getestet - und einen Favoriten gefunden.

Die Sicherheitslücken reichen von XSS-Fehlern über unsichere Formulare bis hin zu SQL-Injection-Schwachstellen: In drei weit verbreiteten E-Mail-Marketing- und Newsletter-Diensten haben IT-Sicherheitsexperten zahlreiche Schwachstellen entdeckt. Sie sind in Absprache mit den Herstellern inzwischen behoben worden.

"Es gibt keine absolute Anonymität im Internet": Deutsche Fahnder haben vier illegale Online-Shops abgeschaltet. Die Operation "Onymous" soll das Vertrauen in das Darknet und die Anonymisierung über Tor erschüttern.

Das umstrittene Anonabox-Projekt hat eine neue Crowdfunding-Kampagne bei Indiegogo gestartet. Kickstarter hatte einen ersten Finanzierungsversuch des Projekts beendet - mangels Innovation.

Die Firefox Developer Edition soll ein Browser für die Anforderungen von Webentwicklern sein. Mozilla kombiniert dazu verschiedene Tools zu einem Gesamtprodukt mit neuem Design, das den Aurora-Zweig ersetzt.

Kurze RSA-Schlüssel lassen sich schneller und günstiger brechen, wenn man einen Angriff auf viele Schlüssel gleichzeitig durchführt. Insbesondere bei DNSSEC sind RSA-Schlüssel mit 1.024 Bit noch in breitem Einsatz.

Der Administrator der Webseite Doxbin hat seine Konfigurations- sowie Log-Dateien veröffentlicht. Damit soll analysiert werden, wie das FBI versteckte Webseiten im Tor-Netzwerk ausfindig machen konnte. Die US-Bundespolizei korrigierte derweil die Zahl der gesperrten Webseiten deutlich nach unten.

Eine neue Version der Verschlüsselungssoftware GnuPG liefert Unterstützung für elliptische Kurven. Die Unterstützung für alte Schlüssel von PGP 2 wurde entfernt.

Das in C++ geschriebene Framework Proxygen von Facebook unterstützt HTTP/1 und SPDY, HTTP/2 soll folgen. Einen Ersatz für Apache oder Nginx bietet der Open-Source-Code trotz Server aber nicht.

Einem Sicherheitsforscher ist es gelungen, ein gefälschtes Zertifikat für die .onion-URL von Facebook ausstellen zu lassen. Facebook ist seit kurzem über das Tor-Netzwerk erreichbar.

Die Pin für das WPS-Verfahren zur einfachen Konfiguration von WLAN-Zugängen wird bei zahlreichen D-Link-Routern aus der MAC-Adresse berechnet. Damit ist ein unautorisierter Login ins WLAN trivial.

Als Reaktion auf die Poodle-Lücke will nun auch Google in seinem Chrome-Browser auf die Verwendung von SSLv3 verzichten. Zunächst soll das Fallback, später die gesamte Protokollversion entfallen.

Mittels eines Tricks lassen sich gültige GIF-Bilder erstellen, die Javascript-Code enthalten. Damit kann der Schutzmechanismus Content-Security-Policy ausgehebelt werden. Abhilfe schafft ein noch wenig verbreiteter HTTP-Header.

Das soziale Netzwerk Facebook hat jetzt eine Adresse im Tor-Netzwerk. Darüber sollen sich Nutzer auch anonymisiert anmelden können. Das klappt bei unserem ersten Versuch noch nicht richtig.

Wer seine Drupal-Installation nicht innerhalb von sechs Stunden nach Bekanntgabe der kürzlich entdeckten Sicherheitslücke gepatcht hat, sollte sein System als kompromittiert betrachten, warnt das Drupal-Team.

Eine SQL-Injection-Lücke erlaubt den Zugriff auf Kundendaten des Playstation Networks. Sony wurde bereits vor zwei Wochen über die Sicherheitslücke informiert, sie wurde jedoch bisher nicht geschlossen. Es ist nicht der erste Vorfall im Playstation-Network.

Google hat die Gesundheitstracker-App Google Fit nun offiziell in Google Play veröffentlicht. Die Android-Anwendung ist als direkter Konkurrent zu Apple Health entwickelt worden und aggregiert die Sport- und Gesundheitsdaten des Anwenders. Auf die Daten kann auch über das Web zugegriffen werden.

Die Datenpakete der Kunden des US-Mobilfunkanbieters Verizon enthalten eine eindeutige Identifikationsnummer. Damit sollen einzelne Personen von Verizons Werbekunden identifiziert werden können. Die Aktion läuft bereits seit zwei Jahren, wurde jedoch erst jetzt aufgedeckt.

Microsoft hat einen Linux-ähnlichen Paketmanager in Windows 10 integriert. Mit Oneget soll sich künftig Software wie VLC oder Chrome per Kommandozeile installieren und aktualisieren lassen.

Security-Experten haben die Verbreitung manipulierter Windows-Dateien im Tor-Netzwerk entdeckt, die mit Malware infiziert sind. Der Exit-Server ist inzwischen auf der schwarzen Liste, ein vollkommener Schutz ist das jedoch nicht.

Der Mozilla-Hacker Chris Jones arbeitet an einem Port von Firefox OS auf das Raspberry Pi. Für den Zugriff auf Hardware-Komponenten sollen Web-APIs entstehen, noch ist das Projekt aber in einer sehr frühen Phase.

Kickstarter hat das nächste Tor-Router-Projekt beendet. Laut seinem Initiator wurde Torfi mangels Innovation eingestellt. Das Torfi-Projekt wollte einen Tor-Router ähnlich dem Projekt Anonabox entwickeln, das ebenfalls durch Kickstarter ausgesetzt wurde.

Update Mit dem groß angelegten DDoS-Angriff gegen Sipgate sollte Geld erpresst werden. Auch die Fidor Bank aus München war betroffen.

Oculus VR hat das SDK 0.4.3 veröffentlicht, welches das Dev Kit 2 eingeschränkt unter Linux unterstützt. Das Multithreading soll besser arbeiten, Unity Free ist integriert und die Latenz verringert worden.

Die freie .NET-Implementierung Mono und damit auch die Sprache C# stehen für den Einsatz in der Unreal Engine 4 bereit. Noch wird das Produkt nicht offiziell unterstützt, Spiele-Entwickler benötigen zudem eine kommerzielle Mono-Lizenz.

Nach dem Scheitern des Kickstarter-Projekts Anonabox will Invizbox alles besser machen. Das Projekt sammelt bei Indiegogo Geld für seinen Tor-Router.

Nachdem Sipgate über Nacht seine Dienste teilweise wiederhergestellt hatte, ist das Unternehmen am Freitagmorgen erneut einem DDoS-Angriff ausgesetzt worden. Jetzt sollen die Dienste wieder funktionieren.

Die Dienste des Internet-Telefonie-Anbieters Sipgate funktionieren aktuell nicht. Grund sind wiederholte DDoS-Angriffe. Auch die Webseite ist nicht erreichbar.