Webserver

Der Optionsbleed-Bug im Apache-Webserver wurde 2014 bereits in einem wissenschaftlichen Paper beschrieben. Allerdings hatte offenbar niemand bemerkt, dass es sich um eine kritische Sicherheitslücke handelt, obwohl kurz zuvor der ähnliche Heartbleed-Bug entdeckt worden war.

20.09.201710 Kommentare

Beim Apache-Webserver lassen sich in bestimmten Konfigurationen Speicherfragmente durch einen Angreifer auslesen. Besonders kritisch ist diese Lücke in Shared-Hosting-Umgebungen.
Von Hanno Böck

18.09.201725 Kommentare

Windparks machen einen professionellen Eindruck, doch bei der IT-Sicherheit hapert es leider. Recherchen von Internetwache.org und Golem.de zeigen eine Menge Schwachstellen und ein Chaos bei der Zuständigkeit.
Von Sebastian Neef und Tim Philipp Schäfers

11.09.201758 KommentareVideo

Black Hat 2017 Durch geschickt gewählte HTTP-Header ist es Sicherheitsforschern gelungen, zahlreiche Lücken bei Yahoo, beim Department of Defense und bei der British Telecom zu identifizieren.

31.07.20170 Kommentare

Mit Certificate Transparency werden HTTPS-Zertifikate in öffentlichen Logs gespeichert. Das bringt mehr Sicherheit im TLS-Ökosystem, es führt aber auch zu überraschenden Gefahren für Webanwendungen wie Wordpress.
Von Hanno Böck

29.07.201746 Kommentare

Wenn ein privater Schlüssel von einem Webseitenzertifikat offen im Netz landet, sollten Zertifizierungsstellen das entsprechende Zertifikat zurückziehen. Symantec tat dies nun auch bei einem privaten Schlüssel, der überhaupt nicht echt war.

21.07.201725 Kommentare

Golem.de-Wochenrückblick Die Telekom kündigt Vectoring-Kunden, Intel stellt neue Server-CPUs vor und Audis A8 kommt mit Staupilot. Sieben Tage und viele Meldungen im Überblick.

15.07.20170 KommentareVideo

Zu einem Zertifikat für verschlüsselte HTTPS-Verbindungen gehört ein privater Schlüssel. Doch was, wenn der Schlüssel auf dem Webserver landet - und dann nicht mehr privat ist? Wir fanden zahlreiche Webseiten, die ihren privaten Schlüssel zum Herunterladen anbieten.
Von Hanno Böck

12.07.201770 Kommentare

Mehr als 50 Lücken in Windows, den Browsern Internet Explorer und Edge sowie in seiner Scripting Engine hat Microsoft am heutigen Patchday geschlossen. Die meisten Schwachstellen erlauben es, Code aus der Ferne auf einem Rechner einzuschleusen und auszuführen. Betroffen ist auch Microsofts Hololens.

12.07.20171 Kommentar

Eine Datenbank mit 200.000 Umzugsmitteilungen der Post lag ungeschützt im Netz. Tausende andere Firmen aus aller Welt haben exakt den gleichen Fehler gemacht.
Von Hanno Böck

05.07.201771 Kommentare

Kinderleicht soll die Einrichtung sein und dank des Mesh-Systems soll das WLAN zu Hause nahezu verlustfrei erweiterbar sein. Google Wifi setzt auf gängige Standards und hält weitgehend, was es verspricht. Für Nerds, die viel konfigurieren wollen, ist der WLAN-Booster aber eher nicht geeignet.
Ein Test von Jörg Thoma

26.06.201745 Kommentare

Das neuen Komprimierungsverfahren Brotli setzt Google künftig auch für seine Werbeformate ein. Vor allem mobile Webseiten sollten damit deutlich schneller Laden und der Wechsel spart Google mehrere Terabyte Traffic pro Tag.

22.06.201733 Kommentare

Coredumps sind ein hilfreiches Instrument, um nach einem Softwareabsturz eine Fehleranalye zu betreiben. Doch die Fehlerberichte sind auf zahlreichen Webseiten öffentlich einsehbar, wie wir herausgefunden haben. Dabei werden zum Teil auch private Daten wie Passwörter veröffentlicht.
Von Hanno Böck

15.06.201711 Kommentare

Der freie Webserver Nginx ist in der Version 1.13 erschienen. Er bringt unter anderem Unterstützung für TLS 1.3 mit, das aktuelle Browser zwar unterstützen, OpenSSL allerdings noch nicht offiziell.

26.04.20174 Kommentare

Eine vorhersehbare Sicherheitslücke im Webserver einer Spülmaschine für Labore ermöglicht den Zugriff auf die Daten des Servers. Hersteller Miele hat inzwischen auf den Fehlerbericht reagiert und will einen Patch bereitstellen.

27.03.201795 Kommentare

Für eine Stellenanzeige hat sich der Bundesnachrichtendienst etwas Besonderes ausgedacht: eine Forensik Challenge, bei der Interessierte ihre Fähigkeiten testen können. Damit Golem.de-Leser, die sich beim BND bewerben wollen, es etwas leichter haben, haben wir die Challenge gelöst.
Von Hanno Böck

13.03.2017179 Kommentare

Durch einen Bug im HTML-Parser des CDN-Anbieters Cloudflare verteilte dieser private Nachrichten von Datingbörsen, Passwörter und interne Keys über unzählige Webseiten. Vieles davon fand sich in den Caches von Suchmaschinen wieder.

24.02.201733 Kommentare

Von der Software bis zur Hardware sollen die neuen S812-Server ein komplettes IBM-System bieten. Das bedeutet: Power8-Prozessor und die Betriebssysteme IBM i oder AIX in einem 19-Zoll-Gehäuse.

23.02.201724 Kommentare

Denuvo soll Spiele vor unerlaubter Nutzung schützen - bei der eigenen Webseite hat das nicht so gut funktioniert. Lange Zeit waren zahlreiche private Informationen und Anfragen von Spieleherstellern öffentlich einsehbar.
Von Hauke Gierow

06.02.201743 KommentareVideo

Facebook war auch Monate nach Entdeckung von Imagetragick für den Bug anfällig. Das Team reagierte aber schnell und patchte den Bug.

19.01.20170 Kommentare

Wieder mal sorgt ein Softwarefehler bei einer Zertifizierungsstelle für Ärger. Bei Go Daddy müssen die TLS-Zertifikate von mehr als 6.000 Kunden ausgetauscht werden, weil die Software auch falsche Zertifikate ausgestellt hat.

13.01.20172 Kommentare

Nach der schwerwiegenden Sicherheitslücke stellt Netgear erste Updates zur Verfügung. Für sieben betroffene Router liegen weiterhin nur Beta-Versionen vor.

20.12.20160 Kommentare

Zahlreiche Netgear-Router sind über manipulierte Webseiten angreifbar. Das Unternehmen hat für verschiedene Modelle bereits eine Beta-Firmware zum Patchen bereitgestellt.

13.12.201612 Kommentare

Eine Variante des Mirai-Botnetzes auf Routern hat zahlreiche Ausfälle bei Telekom-Kunden verursacht. Allerdings waren die Telekom-Router selbst nicht Teil des Botnetzes, sie wurden lediglich durch die Angriffsversuche lahmgelegt.

29.11.2016150 Kommentare

Deepsec 2016 Sicherheitssoftware macht die Nutzer sicherer - zumindest in der Theorie. Sicherheitsforscher haben gravierende Sicherheitslücken in einer Firewall-Suite von Kerio aufgedeckt - inklusive einer sechs Jahre alten PHP-Version.
Von Hauke Gierow

17.11.201614 Kommentare

Der OpenWRT-Router Turris Omnia soll nicht nur mehr Sicherheit bieten als andere Router, sondern auch durch seine Hardware und seine Erweiterbarkeit punkten. Wir haben getestet, ob das Gerät den hohen Kaufpreis rechtfertigt.
Ein Test von Jörg Thoma

15.11.201679 KommentareVideoAudio

Nach dem Ashley-Madison-Hack gibt es einen weiteren großen Einbruch in ein Datingnetzwerk. Angreifer veröffentlichten 412 Millionen Accountdaten des Webseitennetzwerkes rund um Adult Friend Finder.

14.11.201622 Kommentare

Nach den erfolgreichen Code-Audits von Keepass und dem Apache-Webserver durch ein Pilotprojekt der EU hat das Europäische Parlament nun für eine Verlängerung der Finanzierung gestimmt. Außerdem könnte es mehr Geld und ein regelmäßiges Bug-Bounty-Programm geben.

28.10.20162 Kommentare

Dem Internet gehen die Adressen aus, zumindest für IPv4. Das liegt einer Studie zufolge auch an der sehr schlechten Ressourcenverwaltung. Bis zur weltweiten Umstellung auf IPv6 hält das veraltete Internet Protocol Version 4 aber noch erstaunliche Reserven bereit.
Eine Analyse von Philipp Richter

27.10.2016205 KommentareAudio

Stromausfall im Serverraum - in naher Zukunft ist das kein Horrorszenario mehr. In Minuten sollen die Rechner wieder online sein können, ohne Neustart und Datenverlust. Möglich machen das neue Komponenten auf Basis von Flash-Speicher, die zudem auch die Leistung steigern können.
Von Nico Ernst

18.10.201637 KommentareVideoAudio

Kryptographen ist es gelungen, einen Primzahlparameter für DSA und Diffie-Hellman zu erstellen, der eine geheime Hintertür enthält. Diskutiert wurde diese Möglichkeit schon vor 25 Jahren, doch trotz der Gefahr für die Sicherheit von Verschlüsselungen wurden oft keine Gegenmaßnahmen ergriffen.

12.10.201615 Kommentare

Bei einem Marktanteil von über 90 Prozent kommt man nicht um die Google-Suche herum. Oder doch? Wir haben uns fünf alternative Suchmaschinen zum Selbsthosten angesehen. Wir erklären, wie leicht sie sich installieren lassen, wie gut ihre Suchergebnisse sind und ob sich das für Otto Normalnutzer lohnt.
Eine Anleitung von Jan Weisensee

04.10.2016120 Kommentare

Nextcloud will mit eigenen Funktionen als Owncloud-Konkurrent antreten. Wir haben uns angesehen, ob sich der Wechsel lohnt.

19.09.201662 KommentareVideo

Debian 8 Jessie ist am Wochenende zum sechsten Mal aktualisiert worden. Seit dem letzten Update im Juni sind rund 90 Sicherheitslücken geschlossen worden. Zudem wurden rund 80 Fehler beseitigt und sechs Pakete entfernt.

19.09.20168 Kommentare

GnuPG-Entwickler Werner Koch schlägt auf der OpenPGP.conf ein neues Verfahren zur Schlüsselverteilung vor: Die Keys sollen mittels HTTPS vom Mailprovider bereitgestellt werden.

09.09.201628 Kommentare

Die quelloffene Metasuchmaschine Searx ist in Version 0.10.0 erschienen. Sie lässt sich auf dem eigenen Webserver und laut den Entwicklern sogar auf einem Raspberry Pi installieren und durchforstet auf Wunsch die Indizes von rund 70 Onlinequellen.
Von Jan Weisensee

07.09.201657 Kommentare

Ifa 2016 Picobrews Pico ermöglicht Homebrewing im wahren Sinn: Mit dem Bierbrau-Automaten können sich Freunde des schäumenden Getränks zahlreiche Biersorten innerhalb weniger Tage selbst zu Hause brauen. Golem.de hat sich das Gerät kurz vor dem Deutschlandstart genauer angeguckt.
Von Tobias Költzsch

06.09.2016103 KommentareVideo

Ein neuer Angriff auf TLS- und VPN-Verbindungen betrifft alte Verschlüsselungsalgorithmen wie Triple-DES und Blowfish, die Daten in 64-Bit-Blöcken verschlüsseln. Der Angriff erfordert das Belauschen vieler Gigabytes an Daten und dürfte damit nur selten praktikabel sein.

25.08.20164 Kommentare

Mit Krypto-Mining lässt sich viel Geld verdienen - vor allem, wenn man fremde Computer für sich schürfen lässt. Eine Malware, die das ermöglicht, hat das Projekt Internetwache.org aufgespürt und analysiert. So harmlos die Software aussieht, so gefährlich ist sie.
Eine Analyse von Tim Philipp Schäfers und Sebastian Neef

23.08.201639 Kommentare

Es sollte eine nette Überraschung sein, doch die ist gründlich misslungen: Ein Werbegeschenk für Geschäftskunden von O2 enthält Malware. Das Unternehmen selbst warnt vor dem Einsatz des USB-Stiftes.

09.08.201625 Kommentare

Als Teil seines Open-Source-Unterstützungsprogramms finanziert Mozilla den schnellen Python-Interpreter PyPy mit 200.000 US-Dollar. Mozilla nutzt Pypy für seine eigene Infrastruktur.

05.08.20169 Kommentare

Eine Sicherheitslücke der TLS-Zertifizierungsstelle Comodo hat es unter Umständen erlaubt, Zertifikate für fremde Domains auszustellen. Angriffspunkt waren dabei die Verifikationsmails, die an den Domaininhaber gesendet werden.

30.07.201627 Kommentare

Eine Million Euro investiert die EU im Rahmen eines Pilotprojekts in Code-Audits für Keepass und Apache. Dadurch sollen etwaige Sicherheitslücken gefunden und gestopft werden. Aus der FOSS-Community gibt es aber Kritik an der Firma, die die Audits durchführen soll.

26.07.201618 Kommentare

Eine Sicherheitslücke im Zusammenspiel von CGI und der Variable HTTP_PROXY ermöglicht es Angreifern bis heute, HTTP-Anfragen von Webanwendungen umzuleiten. Dabei ist die Lücke uralt: Bereits 2001 implementierten einige Softwareprojekte Gegenmaßnahmen.

19.07.20167 Kommentare

Wasserwerke lahmlegen, fremde Wohnungen überhitzen oder einen Blackout auslösen: Wer weiß, wo er suchen muss, kann all dies über das Internet tun, wie Recherchen von Golem.de und Internetwache.org ergeben haben. Und viele Betreiber wichtiger Anlagen haben keine Ahnung von der Gefahr.
Eine Analyse von Sebastian Neef und Tim Philipp Schäfers

15.07.201650 KommentareAudio

Microsofts neue Nano Server sollen kleiner und dadurch sicherer sein als herkömmliche Server und weniger Speicherplatz brauchen als etwa Core-Server. Sie sind vor allem für Web- und Cloud-Anwendungen in größeren Rechenzentren gedacht. Für wen und für welche Anwendungsfälle lohnt sich der Einsatz?
Von Thomas Joos

27.06.20168 Kommentare

Einfach Home-Automation-Komponenten zusammenklicken, statt sie mühselig selbst zu integrieren, das geht mit dem Webservice IFTTT (If This Then That). Es darf aber trotzdem noch selbst Hand angelegt werden.
Von Michael Schilli

13.06.201610 Kommentare

Was unverdächtig nach einem USB-Ladegerät aussieht, verbirgt eine ausgefeilte Spionagetechnik mit einem Arduino. Nun warnt das FBI vor dem Datendieb, den ein "White Hat" vor mehr als einem Jahr entwickelt hat.

26.05.201648 Kommentare

Wie auf dem Flughafen Köln/Bonn für Evakuierungsmaßnahmen und andere Notfälle geplant wird, ließ sich in den vergangenen Monaten leicht herausfinden: Das vertrauliche Dokument konnte offenbar jeder online einsehen.

21.04.201624 Kommentare

Wenn der Linux-Redakteur über die Windows-Nutzung flucht, ist eigentlich alles wie immer. Doch die Vorschau von Ubuntu auf Windows ist viel mehr als nur ein weiterer Grund zum Aufregen.
Von Sebastian Grüner

18.04.2016257 Kommentare