Webserver

Der User-Agent-String des Chrome-Browsers soll künftig eingefroren werden. Den Zugriff darauf wollen die Entwickler limitieren und langfristig durch eine neue Technik ersetzen. Die anderen großen Browser-Hersteller unterstützen die Initiative.

36C3 Gefälschte E-Mails zu verschicken ist einfach. Etwas komplizierter wird es, wenn Mailserver auf Anti-Spoofing-Techniken wie SPF, DKIM oder DMARC setzen. Doch auch diese lassen sich umgehen.
Von Moritz Tremmel

Russische Ermittler haben offenbar wegen angeblicher Urheberrechtsverletzungen durch den Gründer die Büros der Nginx-Entwickler durchsucht. Offizielle Informationen dazu gibt es derzeit aber nur wenige.

Python gilt als relativ einfach und ist die Sprache der Wahl in der Data Science und beim maschinellen Lernen. Aber die Sprache kann auch anders. Mithilfe von Micro Python können zum Beispiel Sensordaten ausgelesen werden. Ein kleines Elektronikprojekt ganz ohne Löten.
Eine Anleitung von Dirk Koller

Die Ransomware Nextcry verschlüsselt die Daten im Cloudspeicher von Nextcloud-Installationen. Auf den Server gelangt sie nicht über die Nextcloud, sondern über eine bereits gepatchte Sicherheitslücke in PHP.

Manche HTTP-Caches können dazu gebracht werden, Serverfehlermeldungen zu speichern, die sich durch bestimmte Anfragen auslösen lassen. Das funktioniert beispielsweise mit besonders langen Headern.
Von Hanno Böck

Mussten sich Nutzer früher Enigmail und GnuPG installieren, soll Thunderbird bald alles, was man zur Verschlüsselung von E-Mails mit PGP braucht, mitbringen. Das bedeutet aber auch das Ende von Enigmail in Thunderbird.

In letzter Zeit haben viele Open-Source-Unternehmen ihre Lizenz geändert und proprietäre Zusätze angeboten. Das Team des Caddy-Webservers geht nun den umgekehrten Weg und setzt voll auf das Support-Modell.

Ein japanischer Verkäufer soll sich rund 1.300 Kreditkartendaten mittels fotografischem Gedächtnis gemerkt haben. Die Polizei konnte ihn jedoch leicht überführen.

Das HTTP/2-Protokoll kann missbraucht werden, um in Webservern hohe CPU-Auslastung zu erzeugen. Laut Sicherheitsforschern von Netflix ist es damit in einigen Fällen möglich, mit einer einzelnen Internetverbindung mehrere Server lahmzulegen.

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
Eine Exklusiv-Meldung von Hanno Böck

Nutzer der Software Zoom können auf dem Mac ungefragt zu Videokonferenzen hinzugefügt werden - mitsamt Videostream. Selbst das Deinstallieren der Software schützt davor nicht.

Dass Smart Homes nur über das Internet funktionieren, ist ein weit verbreiteter Irrglaube. Wer sein Smart Home offline lässt, ist sehr viel sicherer - muss aber auf einige Funktionen verzichten.
Von Günther Ohland

Als Antwort auf Zehntausende Anfragen nach einem Gutachten zum Herbizid Glyphosat hat das Bundesinstitut für Risikobewertung eine eigene, nicht sehr sichere Webseite programmieren lassen. Wir konnten Konfigurationsdateien auslesen, die Datenbank war mit dem Passwort "doof" geschützt.

Wenn Webentwickler auf der Suche nach Platzhalterbildern für ihre Musterwebseiten sind, können sie künftig Picsum nutzen, das auch auf Github bereitsteht. Dieses Tool generiert URLs von zufälligen Bildern. Anwender können auch Größe, Filter und Dateityp bestimmen.

Windows-Nutzer sollten lieber keine MHT-Dateien öffnen: Mit diesen lässt sich eine Sicherheitslücke im Internet Explorer ausnutzen, mit welcher Angreifer beliebige Dateien auslesen können. Microsoft möchte die Lücke vorerst nicht schließen.

Eine Sicherheitslücke im Apache-Webserver erlaubt es Nutzern, mit Hilfe von CGI- oder PHP-Skripten Root-Rechte zu erlangen. Ein Update steht bereit.

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

Für 670 Millionen Dollar übernimmt F5, ein Hersteller von Netzwerkhardware, die Firma hinter dem freien Webserver Nginx. Mit Nginx wird nach Schätzungen etwa ein Viertel aller Webseiten betrieben.

Eine Sicherheitslücke erlaubt es, nicht gepatchte O2-Router des Modells Homebox 6441 zu übernehmen. Normalerweise aktualisieren sich die Router automatisch. Besser ist es aber, den aktuellen Patchlevel zu überprüfen.

Was findet man eigentlich alles, wenn man den IP-Adressraum eines Landes scannt? Der Sicherheitsforscher Christian Haschek konnte viele Webserver, veraltete Software und ein paar Skurrilitäten entdecken.

In der EU sind seit Inkrafttreten der DSGVO mehr als 40.000 Datenpannen registriert worden, die meisten davon in Deutschland. Was genau hinter den Verletzungen des Datenschutzes steckt, wird jedoch nicht erfasst.

Warnungen vor dem Wordpress-Plugin WP Multilingual sind am Wochenende auf dessen eigener Webseite zu lesen gewesen. Auch in Rundmails wurden Kunden gewarnt. Laut dem Plugin-Hersteller ist ein ehemaliger Mitarbeiter verantwortlich.

Die Cloud wirkt wie ein großes Versprechen: Sie scheint unendliche Möglichkeiten zu bieten, alles zu können und die Zukunft der IT zu sein. Doch nicht jede Cloud-Lösung kann jedem Zweck dienen - und nicht immer ist überhaupt eine sinnvoll. Wir sortieren.
Von Miroslav Stimac

Die Webseite von Pear, einer Sammlung von Bibliotheken für PHP, ist zurzeit offline. Offenbar wurde der Server gehackt und die Installationsdatei ausgetauscht.

Die aktuelle Ubuntu-Version 18.04 mit Langzeitsupport bekommt demnächst die aktuelle OpenSSL-Version 1.1.1 und damit Langzeitsupport der Hauptentwickler für die wichtige Krypto-Bibliothek. Damit kann auch TLS 1.3 genutzt werden. Pakete wie Apache sollen ebenfalls angepasst werden.

Der Virenspezialist Kaspersky fand Hardware-basierte Attacken über das lokale Netzwerk in mindestens acht osteuropäischen Bankhäusern. Der Schaden geht in die Millionen Euro. Potenziell gefährdet sein sollen jedoch alle Arten von Unternehmen.

Wer wissen will, ob er in Berlin in eine Funkzellenabfrage gerät, kann sich bei einem Informationssystem anmelden. Landet die registrierte Nummer bei der Polizei, bekommt man nachträglich eine SMS. Bis zur ersten Nachricht wird es aber noch eine Weile dauern.

Ein jQuery-Plugin erlaubt es, unter bestimmten Bedingungen PHP-Dateien auf den Server zu laden und auszuführen. Das Problem sitzt jedoch tiefer: Viele Webapplikationen bauen auf den Schutz von Apaches .htaccess-Dateien. Der ist jedoch häufig wirkungslos.

Mit einfachsten Mitteln können aus Routern von D-Link Zugangsdaten ausgelesen oder Code ausgeführt werden. Die Sicherheitslücken wurden veröffentlicht, Patches jedoch nicht.

Apple hat nach der Desktop-Version von Mojave nun auch das Server-Betriebssystem gleichen Namens für 22 Euro vorgestellt. Ob Nutzer es überhaupt wollen, ist fraglich.

Das Projekt Wasmjit soll als Modul im Linux-Kernel zum Einsatz kommen und dort als Laufzeitumgebung Webassembly ausführen. Der Code ist in C geschrieben, soll gut portierbar sein und Webassembly aus dem Browser herausholen.

Sicherheitslücken ermöglichen den Zugriff und die Manipulation von Videoüberwachungsbildern in Banken, Kauf- und Krankenhäusern. Der betroffene Hersteller Nuuo hat Patches angekündigt. Aufgrund von Lizenzierungen sind auch Produkte anderer Firmen verwundbar.

Wer eine Babycam kaufen will, steht vor der Qual der Wahl und kann dabei viel Geld ausgeben. Wir zeigen, wie mit überschaubarem Aufwand auch Raspberry-Pi-Einsteiger selbst eine bauen können. Nebenbei wird gekocht.
Von Christopher Bichl

Das lange versprochene Sicherheitsgutachten zum besonderen elektronischen Anwaltspostfach (BeA) ist veröffentlicht worden. Es zeigt, wie viele Sicherheitsprobleme das BeA nach wie vor hat. Die versprochene Transparenz wird aber kaum hergestellt.
Eine Analyse von Hanno Böck

Einer der schwerwiegendsten Fehler in der Geschichte der Kryptographie beschäftigte vor zehn Jahren Nutzer der Debian-Distribution. Wenn man danach sucht, findet man noch heute vereinzelt verwundbare Schlüssel.
Von Hanno Böck

Build 2018 Microsoft hat Visual Studio Live Share freigegeben. Das soll die Entwicklung in Teams erleichertern, die nicht unbedingt an einem Ort arbeiten.

Die von Google angekündigte Top-Level-Domain .app soll Apps und ihren Entwicklern eine Präsentationsplattform bieten, die einfach zu finden ist. Interessant ist, dass darauf gehostete Seiten HTTPS voraussetzen. Erste Partner gibt es schon.

Die neue Version mit Langzeitunterstützung (LTS) von Ubuntu 18.04 alias Bionic Beaver setzt wie erwartet auf Gnome statt auf Unity, verzichtet aber auf Wayland. Das Live-Patching gibt es auch für den Desktop, und der Server bekommt einen neuen Installer.
Von Sebastian Grüner und Kristian Kißling

Das Windows Admin Center ist ein Tool, über das Administratoren Windows-Clients und -Server unter einem Dach verwalten können. Aber auch Active Directory und die Azure-Cloud finden dort Platz - Project Honululu mit neuem Namen.

Bisher konnte der Webserver Nginx gRPC-Verbindungen nur als Proxy weiterleiten. Kommende Versionen von Nginx unterstützen das Protokoll aber nativ und ermöglichen so Load-Balancer, Terminierung, Weiterleitung oder das Zusammenfassen mehrerer Dienste.

Mittels Parser lassen sich aus .DS_Store-Dateien sensible Informationen auslesen. Das Projekt Internetwache.org hat sich die proprietäre Lösung von Apple genauer angeschaut - und Erstaunliches zutage gefördert.
Eine Analyse von Tim Philipp Schäfers und Sebastian Neef

Bei den Berliner Verkehrsbetrieben ist die Status-Seite des Apache-Webservers offen einsehbar gewesen, wie Golem.de entdeckt hat. Dort zu sehen gab es IP-Adressen von Webseitenbesuchern und E-Mail-Adressen von Kundenaccounts.
Von Hanno Böck

War es ein Angriff über das Internet? Die Organisatoren der Olympischen Winterspiele suchen nach der Ursache eines Computerausfalls während der Eröffnungsfeier. Die Webserver waren die Nacht zum Samstag über nicht erreichbar.

Perfect Forward Secrecy, AEAD und keine Anfälligkeit für Robot sind künftig wichtige Kriterien im SSL-Test von Qualys. Wer diese Kriterien nicht unterstützt, wird ab März schlechter bewertet. Auch Nutzer von Symantec-Zertifikaten werden gewarnt.

In der Debatte um die Manipulation öffentlicher Meinung spielen Social Bots eine große Rolle. Wir haben ausprobiert, wie einfach sich solche Bots anlegen lassen und zeigen, wie eine sinnvolle Nutzung aussehen kann.
Eine Anleitung von Friedhelm Greis

Apple hat größere Änderungen am Funktionsumfang des Betriebssystems MacOS Server angekündigt, die ab Frühjahr 2018 gelten sollen. Einige Funktionen werden versteckt, doch wer sie bereits konfiguriert hat, kann sie weiter nutzen.

Das alte Auto ist kaputt und verschrottet. Jetzt muss der Blechhaufen nur noch bei der zuständigen Kraftfahrzeugebehörde abgemeldet werden. Gut, dass es dafür eine tolle eGovernment-Infrastruktur gibt! Leider funktioniert sie ungefähr so gut wie die Fertigstellung des Hauptstadtflughafens BER oder die Demokratie in Nordkorea.
Ein Erfahrungsbericht von Hauke Gierow

Ein 2011 gegründetes Unternehmen setzt auf Kryptographie aus den 90ern: Eine Subdomain mit Sonderangeboten von Flixbus unterstützt nur veraltete Verschlüsselungsstandards - und das seit Monaten. Kunden können auf der Seite Ticketgutscheine kaufen und müssen dafür persönliche Daten hinterlassen.
Von Hauke Gierow

"Tausende von Verbesserungen" verspricht Matthew Miller, Projektleiter der Linux-Distribution Fedora für die aktuelle Version 27. Unter anderem kommen ein neues Gnome, ein 32-Bit-UEFI und ein Fokus-Wechsel von Paketen hin zu Komponenten.