Mit der Sommer-Release-Version Owncloud 10.0.9 bringt die Dateimanagement-Plattform neue Funktionen wie sogenannten Pending Shares. Mit der Integration des S3-Objekt-Stores macht Owncloud auch eine bislang für Enterprise-Kunden vorbehaltene Funktion der Allgemeinheit zugänglich.
Die unrechtmäßig erlangten Zertifikate wurden benutzt, um Schadsoftware zu signieren und diese zu Spionagezwecken einzusetzen. Betroffen sind davon auch Geräte von D-Link. Der Hersteller hat Firmware-Updates angekündigt.
Mit der TLS-Erweiterung SNI können beliebig viele Webseiten samt eigenen Zertifikaten auf einer IP gehostet werden. Dabei könnte jedoch der Name der Domain von Dritten belauscht werden. Ein Vorschlag der IETF sieht nun vor, SNI zu verschlüsseln.
Das Test-Pilot-Programm von Mozilla, mit dem sich neue Funktionen des Firefox-Browsers testen lassen, hat das Unternehmen nun auch für die mobilen Browservarianten für Android und iOS erweitert. Dazu gehört eine Notiz-App für Android und ein Passwortspeicher für iOS.
Um Nutzer besser gegen Angriffe wie Spectre zu schützen, nutzt der Chrome-Browser nun standardmäßig eine strikte Isolierung von Webseiten. Bisherige Änderungen an Javascript gegen Spectre sollen aufgehoben werden. Das Team will gegen weitere Angriffsvektoren vorgehen.
Die auf Github gespiegelten Quellen der Linux-Distribution Gentoo sind vergangene Woche kurzzeitig von Angreifern übernommen worden. Diese waren demnach eher rabiat als vorsichtig. Das Team nutzt jetzt eine Zweifaktorauthentifzierung.
Aufgrund einer vagen Verbindung durch eine E-Mail-Adresse hat die Polizei Wohnungen und Vereinsräume von Mitgliedern des Vereins Zwiebelfreunde durchsucht. Doch den Betroffenen wird nichts vorgeworfen, sie gelten lediglich als Zeugen.
Die Wi-Fi Alliance hat mit WPA3 einen neuen Verschlüsselungsstandard für drahtlose Netze vorgestellt. Darin werden einige Macken von früheren Standards ausgebessert, wie etwa Offline-Passwort-Angriffe unterbunden und Forward Secrecy eingeführt.
Nutzer sollen schneller erfahren, wenn ihre Passwörter bei einem Datenleck in falsche Hände geraten sind. In Kooperation mit dem Sicherheitsexperten Troy Hunt soll es künftig das neue Browser-Tool Firefox Monitor geben.
Das lange versprochene Sicherheitsgutachten zum besonderen elektronischen Anwaltspostfach (BeA) ist veröffentlicht worden. Es zeigt, wie viele Sicherheitsprobleme das BeA nach wie vor hat. Die versprochene Transparenz wird aber kaum hergestellt.
Ein aktueller Entwurf der IETF sieht vor, dass die alten TLS-Versionen 1.0 und 1.1 künftig nicht mehr benutzt werden dürfen. Ein Fallback ist explizit nicht vorgesehen.
Eine Gruppe von Anwälten hat mit Unterstützung der Gesellschaft für Freiheitsrechte eine Klage gegen die Bundesrechtsanwaltskammer eingereicht. Sie wollen eine Ende-zu-Ende-Verschlüsselung im besonderen elektronischen Anwaltspostfach (BeA) erzwingen.
Anga Com Während alle noch von Docsis 3.1 reden und einmal 10 GBit/s in beide Richtungen bieten wollen, arbeitet Huawei schon an etwas, das wohl Docsis 4.0 heißen wird. Wir haben dazu mehr erfahren.
Update In bestimmten Situationen lässt sich die Signaturprüfung von GnuPG in den Plugins für Thunderbird und Apple Mail austricksen. Der Grund: Über ungefilterte Ausgaben lassen sich Statusmeldungen des Kommandozeilentools fälschen. Doch der Angriff funktioniert nur unter sehr speziellen Bedingungen.
Das Projekt Gitea erstellt eine leichtgewichtige Open-Source-Alternative zu Github. Ein Bot-Account des Projekts auf Github ist nun offenbar kurzzeitig übernommen worden, um Cryptominer zu verbreiten. Quellcode und Infrastruktur sollen nicht betroffen sein.
Google will Android-Entwicklern eine einfache Möglichkeit geben, Pushnachrichten mit einer Ende-zu-Ende-Verschlüsselung zu versehen. Project Capillary setzt dabei beim Firebase Cloud-Messaging-Dienst an.
Rund 92 Millionen Nutzerdaten von einem Dienst zur Ahnenforschung sind unberechtigt kopiert worden. Die Passwörter liegen jedoch nur gehasht vor. Das Unternehmen verarbeitet auch DNA-Informationen.
Ein neuartiges biometrisches Erkennungssystem soll die Authentifizierung etwa bei einer Zugangskontrolle vereinfachen: Der Proband muss nicht mehr Finger oder Iris scannen lassen, sondern geht einfach über eine Sensormatte.
Nachdem der Forscher Paul Rösler mit seinen Kollegen ein Problem in der Verschlüsselung von Whatsapp gefunden hatte, überschlugen sich die Meldungen vieler Medien. Wir haben mit ihm über die Verantwortung von Forschern, Medien und neue Formen von Öffentlichkeit gesprochen.
Ein junger Kanadier ist in den USA wegen seiner Beteiligung am Hack von 500.000 Yahoo-Nutzerkonten verurteilt worden. Er soll Profile ausspioniert und die Informationen an den russischen Geheimdienst weitergegeben haben.
Der japanische Roboter Pepper ist nicht sicher: Er kann aus der Ferne gesteuert werden, weil er keine Authentifzierung von Befehlen vornimmt. Außerdem gibt es stark veraltete Software und weitere Sicherheitsprobleme.
Das niedersächsische Innenministerium experimentiert mit einer angeblich "gekapselten" Kommunikations-App für die Polizei. Bei einer Untersuchung im vergangenen Jahr glänzte der Messenger allerdings nicht mit guter Security, sondern wies peinliche Sicherheitslücken auf.
Auf der Suche nach einem Ersatz für das XPS 13 stoßen wir auf das Latitude 7390. Dells Business-Notebook hat eine ähnlich gute Tastatur wie Thinkpads, während es wie das XPS 13 trotzdem nicht zu klobig wirkt. Wir finden in unserem Test: Dieses Kind ist gut gelungen.
35Kommentare/Ein Test von Oliver Nickel,Sebastian Grüner
iPhone-Nutzer können die One-Time-Passwort-Funktion des Yubikey nutzen, um sich bei einer Applikation anzumelden. Als erster Hersteller unterstützt der Passwortmanager Lastpass das neue Software-Development-Kit.
Mehr Sicherheitslücken in CPUs von Intel und AMD: Neue Seitenkanalangriffe ermöglichen das Auslesen von Registern und Ergebnissen der Sprungvorhersage. AMD und Intel haben Patches entwickelt, halten diese aber offenbar nicht für dringend notwendig.
Im Zusammenhang mit den Efail genannten Sicherheitslücken bei verschlüsselten E-Mails sind viele missverständliche und widersprüchliche Informationen verbreitet worden. Wir fassen die richtigen Informationen zusammen.
Thunderbird war bis Freitag für die E-Fail-Sicherheitslücke verwundbar, für Apple Mail gibt es bislang überhaupt kein Update. Vorläufig ist es empfehlenswert, HTML-Mails komplett zu deaktivieren.
Ein Subtext ist eine weitere, implizite Botschaft in einem expliziten Text. Das von New Yorker Wissenschaftlern entwickelte System Fontcode schafft einen anderen Subtext: Es versteckt eine Botschaft in einem Text, indem es Buchstaben modifiziert.
Ein Zusammenspiel von veralteten Verschlüsselungsmethoden und HTML-Mails erlaubt es in vielen Fällen, mit OpenPGP oder S/MIME verschlüsselte Nachrichten zu exfiltrieren. Bislang gibt es keine echten Fixes und nur unzureichende Workarounds.
Erneut haben Chrome-Erweiterungen zahlreiche Rechner infiziert. Sie führten Klickbetrug durch, kopierten Passwörter und schürften ohne Erlaubnis Kryptowährungen.
Ein fundamentales Sicherheitsproblem untergräbt die Sicherheit von verschlüsselten E-Mails, betroffen sind sowohl PGP als auch S/MIME. Die Details wurden noch nicht veröffentlicht. Die Electronic Frontier Foundation empfiehlt die Abschaltung im Mailprogramm.
Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.
Die aktuelle Version 60 Firefox bringt die Beschleunigung des Projekts Quantum auch auf die Variante mit Langzeitsupport und auf Android. Außerdem gibt es eine bessere Enterprise-Unterstützung, Web-Authentication und wieder Neuerungen in der Tab-Ansicht.
Bei Github wurden Passwörter versehentlich im Klartext gespeichert. Kurze Zeit später meldete Twitter ein ähnliches Problem. Es gibt keinen Hinweis darauf, dass dadurch Nutzer gefährdet wurden. Trotzdem gingen die Firmen damit transparent um - richtig so!
Die mehr als 330 Millionen Nutzer von Twitter sollen ihr Passwort ändern: Wegen eines internen Sicherheitsfehlers wurden Passwörter im Klartext angelegt, Mitarbeiter des sozialen Netzwerks oder Hacker könnten sie abgegriffen haben.
Die von Google angekündigte Top-Level-Domain .app soll Apps und ihren Entwicklern eine Präsentationsplattform bieten, die einfach zu finden ist. Interessant ist, dass darauf gehostete Seiten HTTPS voraussetzen. Erste Partner gibt es schon.
Amazon geht künftig gegen das sogenannte Domain-Fronting zur Zensurumgehung vor. Der Anbieter drohte den Machern von Signal mit einer Sperrung der Dienste und will diese Technik bald grundsätzlich deaktivieren.
Whatsapp-Gründer Jan Koum will sich künftig lieber seinen luftgekühlten Porsches widmen, als sich mit Facebook über Datenschutz und strikte Ende-zu-Ende-Verschlüsselung herumstreiten. Das lässt wenig Gutes für die Nutzer erwarten.
Um unabhängiger von ausländischen Lösungen zu werden, will die französische Regierung einen eigenen Kryptomessenger entwickeln. Klar ist jetzt: Das Projekt basiert auf dem offenen Matrix-Standard und den Riot-Apps. Die Mitbegründer sind davon begeistert.
Wissenschaftliche Dokumente und Dissertationen: Iranische Hacker haben Zugang zu Daten von mehreren deutschen wissenschaftlichen Instituten erhalten. Die Spur führt zum Mabna-Institut in Teheran - eine Einrichtung, die bereits öfter in den Medien auftauchte.
Die Steuerungsanlage der neuen Gondelbahn am Innsbrucker Patscherkofel ist ohne Sicherheitsmaßnahmen im Netz zu finden gewesen. Ein Angreifer hätte die Bahn aus der Ferne übernehmen können - trotzdem beschwichtigt der Hersteller.
Business-Kunden von Wire können künftig sichere Chats mit Kunden durchführen, ohne dass diese einen Account erstellen müssen. Die Funktion könnte für Ärzte, Rechtsanwälte oder Steuerberater interessant sein.
Um gegen Dokumentenfälschung und Kriminalität vorzugehen, will die EU-Kommission künftig verpflichtend Fingerabdrücke und andere biometrische Merkmale europaweit im Personalausweis festhalten. Oppositionspolitiker sehen die "Abkehr vom liberalen Rechtsstaat".
Nutzer in Russland können künftig nicht mehr über Telegram miteinander kommunizieren. Ein Gericht in Moskau setzt damit eine schon länger angedrohte Sperre um.
Unverschlüsselte Verbindungen von Android-Apps werden ab Android P automatisch abgewiesen. Ausnahmen von dieser Regel müssen explizit in den Netzwerkeinstellungen zugelassen werden.
Die Bundesregierung hat erläutert, wie das Bundeskriminalamt und die Zollverwaltung versuchen, Passwörter herauszufinden oder Verschlüsselung zu brechen.
Auf Twitter hat sich ein Nutzer bei T-Mobile Österreich darüber beschwert, dass dort offenbar Kundenpasswörter im Klartext gespeichert werden. Wir fanden ein weiteres gravierendes Sicherheitsproblem bei der Telekom-Tochter durch öffentlich zugängliche Git-Repositories mit Datenbankpasswörtern.
Um vor Ransomware und schädlichen Links zu schützen, verbessert Microsoft sein Office 365 und Onedrive mit Funktionen wie einer Datenwiederherstellung, passwortgeschützten Sharing-Links und verschlüsseltem E-Mail-Verkehr in der Cloud. Die Maßnahmen kommen nicht nur für Business-Konten.
