Webserver

Bald nähert sich Firefox der Version 100. Mozilla will testen, ob der dreistellige User-Agent Firefox/100.0 Schwierigkeiten verursacht.

Mit serieller Schnittstelle und schneller CPU eignet sich ein Casio-Taschenrechner aus dem Matheunterricht auch gut als simpler Webserver.

Die Webseite AnonLeaks berichtet, wie das Defacement von KenFM ablief: durch abrufbare Backupdaten und das Wordpress-Plugin Duplicator Pro.
Von Hanno Böck

Hacker haben die Server des Versandhändlers Pearl übernommen. Die IT des Unternehmens wurde komplett heruntergefahren.

Werkzeugkasten Schnell eine Datei teilen, ganz ohne Cloud und dazu noch anonym - das und mehr geht mit dem Tool Onionshare.
Von Moritz Tremmel

Das Projekt Rustls entsteht als sichere Alternative zu OpenSSL. Nun sollen technische Änderungen bei der Verbreitung helfen.

Eine Reihe neuer HTTP-Header ermöglicht es, Webseiten besser voneinander abzuschotten und damit Seitenkanalangriffe wie Spectre zu verhindern.
Eine Anleitung von Hanno Böck

Die Server-CPU schneidet gut ab, wenn Rechenleistung statt Bandbreite gefragt ist. Der normale Altra wird derweil von Cloudflare getestet.

Neben dem Fokus auf Azure hat Microsoft Windows Server 2022 nicht vergessen. Das Betriebssystem kann bereits ausprobiert werden.

Ein Proxy soll Signal-Nutzern dabei helfen, staatliche Blockaden zu umgehen. Das Team will an weiteren Anti-Zensur-Techniken arbeiten.

Um die TLS-Verschlüsselung im Apache-Server abzusichern, soll das künftig mit Rust umgesetzt werden. Finanziert wird dies von Google.

Kein Monitoring und dann verschwinden auch noch die Server zur Fehlersuche. Ein Ausfall hat dem Slack-Team einige Probleme bereitet.

Eine öffentlich einsehbare Datenbank hat Einblicke in den Handel mit gefälschten Amazon-Rezensionen gebracht.

Über die Software Ivena werden Notfallpatienten in Krankenhäusern angemeldet. Ein Admin-Passwort ist nun öffentlich auf der Herstellerwebseite einsehbar gewesen.

Über mehrere Sicherheitslücken konnten Dateien und Datenbanken ausgelesen werden - darunter die Passwörter zum CSU-Intranet und Mailkonten.

Seit Mitte des Jahres läuft Docker mit dem WSL2 auch auf Windows mit einem vollständigen Linux-Kernel. Wir erklären Schritt für Schritt, wie es funktioniert.
Eine Anleitung von Dirk Koller

Das TS-253D ist ein interessantes NAS, das durch sein Betriebssystem auch Medienserver, SQL-Server, Downloadserver und viel mehr sein kann.
Ein Test von Oliver Nickel

Was am 24. August 2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.

Ein Skript, mit dem man die Systemvoraussetzungen für die proprietäre Forensoftware testen kann, hatte mehrere Sicherheitslücken.
Ein Bericht von Hanno Böck

Kompakter als ein Zauberwürfel und dennoch aufrüstbar - das ist Chuwis Larkbox, ein winziger Mini-PC.
Ein Test von Marc Sauter

Noch ist die Unterstützung dafür zwar experimentell, die neuen Protokolle lassen sich aber bereits in Nginx testen.

Das Ubuntu-Team hat außerdem den ZFS-Support weiter ausgebaut und Python 2 rausgeworfen.

Die DSGVO hat dafür gesorgt, dass Daten über registrierte Domains nicht mehr von jedermann eingesehen werden können. Nicht wenige, vor allem staatliche Institutionen stört das. Sie versuchen, das zu ändern - auch an den Icann-Gremien vorbei, die für diese Fragen eigentlich zuständig sind.
Eine Analyse von Katrin Ohlmer

Eigentlich sollte die typische Browserkennung in Chrome abgeschafft werden. Das wird wegen der Coronakrise nun vertagt.

Die Installation der Videokonferenzsoftware Jitsi Meet mittels Docker nutzte ein Standardpasswort für eigentlich interne XMPP-Accounts.

Von der Datenübermittlung an Facebook will der Hersteller der Videokonferenz-Software Zoom nichts gewusst haben.

Die Videokonferenz-Software Zoom hat etliche Datenschutzprobleme.

Auf Basis des Noobs-Tools hat die Raspberry Pi Foundation ein kleines Programm erstellt, mit dem Nutzer einfach und schnell Installationsimages auf SD-Karten für den Raspberry Pi erstellen können. Das Tool kommt für Windows, MacOS und Ubuntu.

Mit dem Encoding-Format Brunsli wollen Google-Entwickler JPEG-Dateien verlustfrei um bis zu 22 Prozent verkleinern können. Das Format ist Teil von JPEG XL und bereits für den Webeinsatz verfügbar.

Der User-Agent-String des Chrome-Browsers soll künftig eingefroren werden. Den Zugriff darauf wollen die Entwickler limitieren und langfristig durch eine neue Technik ersetzen. Die anderen großen Browser-Hersteller unterstützen die Initiative.

36C3 Gefälschte E-Mails zu verschicken ist einfach. Etwas komplizierter wird es, wenn Mailserver auf Anti-Spoofing-Techniken wie SPF, DKIM oder DMARC setzen. Doch auch diese lassen sich umgehen.
Von Moritz Tremmel

Russische Ermittler haben offenbar wegen angeblicher Urheberrechtsverletzungen durch den Gründer die Büros der Nginx-Entwickler durchsucht. Offizielle Informationen dazu gibt es derzeit aber nur wenige.

Python gilt als relativ einfach und ist die Sprache der Wahl in der Data Science und beim maschinellen Lernen. Aber die Sprache kann auch anders. Mithilfe von Micro Python können zum Beispiel Sensordaten ausgelesen werden. Ein kleines Elektronikprojekt ganz ohne Löten.
Eine Anleitung von Dirk Koller

Die Ransomware Nextcry verschlüsselt die Daten im Cloudspeicher von Nextcloud-Installationen. Auf den Server gelangt sie nicht über die Nextcloud, sondern über eine bereits gepatchte Sicherheitslücke in PHP.

Manche HTTP-Caches können dazu gebracht werden, Serverfehlermeldungen zu speichern, die sich durch bestimmte Anfragen auslösen lassen. Das funktioniert beispielsweise mit besonders langen Headern.
Von Hanno Böck

Mussten sich Nutzer früher Enigmail und GnuPG installieren, soll Thunderbird bald alles, was man zur Verschlüsselung von E-Mails mit PGP braucht, mitbringen. Das bedeutet aber auch das Ende von Enigmail in Thunderbird.

In letzter Zeit haben viele Open-Source-Unternehmen ihre Lizenz geändert und proprietäre Zusätze angeboten. Das Team des Caddy-Webservers geht nun den umgekehrten Weg und setzt voll auf das Support-Modell.

Ein japanischer Verkäufer soll sich rund 1.300 Kreditkartendaten mittels fotografischem Gedächtnis gemerkt haben. Die Polizei konnte ihn jedoch leicht überführen.

Das HTTP/2-Protokoll kann missbraucht werden, um in Webservern hohe CPU-Auslastung zu erzeugen. Laut Sicherheitsforschern von Netflix ist es damit in einigen Fällen möglich, mit einer einzelnen Internetverbindung mehrere Server lahmzulegen.

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
Eine Exklusivmeldung von Hanno Böck

Nutzer der Software Zoom können auf dem Mac ungefragt zu Videokonferenzen hinzugefügt werden - mitsamt Videostream. Selbst das Deinstallieren der Software schützt davor nicht.

Dass Smart Homes nur über das Internet funktionieren, ist ein weit verbreiteter Irrglaube. Wer sein Smart Home offline lässt, ist sehr viel sicherer - muss aber auf einige Funktionen verzichten.
Von Günther Ohland

Als Antwort auf Zehntausende Anfragen nach einem Gutachten zum Herbizid Glyphosat hat das Bundesinstitut für Risikobewertung eine eigene, nicht sehr sichere Webseite programmieren lassen. Wir konnten Konfigurationsdateien auslesen, die Datenbank war mit dem Passwort "doof" geschützt.

Wenn Webentwickler auf der Suche nach Platzhalterbildern für ihre Musterwebseiten sind, können sie künftig Picsum nutzen, das auch auf Github bereitsteht. Dieses Tool generiert URLs von zufälligen Bildern. Anwender können auch Größe, Filter und Dateityp bestimmen.

Windows-Nutzer sollten lieber keine MHT-Dateien öffnen: Mit diesen lässt sich eine Sicherheitslücke im Internet Explorer ausnutzen, mit welcher Angreifer beliebige Dateien auslesen können. Microsoft möchte die Lücke vorerst nicht schließen.

Eine Sicherheitslücke im Apache-Webserver erlaubt es Nutzern, mit Hilfe von CGI- oder PHP-Skripten Root-Rechte zu erlangen. Ein Update steht bereit.

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

Für 670 Millionen Dollar übernimmt F5, ein Hersteller von Netzwerkhardware, die Firma hinter dem freien Webserver Nginx. Mit Nginx wird nach Schätzungen etwa ein Viertel aller Webseiten betrieben.

Eine Sicherheitslücke erlaubt es, nicht gepatchte O2-Router des Modells Homebox 6441 zu übernehmen. Normalerweise aktualisieren sich die Router automatisch. Besser ist es aber, den aktuellen Patchlevel zu überprüfen.

Was findet man eigentlich alles, wenn man den IP-Adressraum eines Landes scannt? Der Sicherheitsforscher Christian Haschek konnte viele Webserver, veraltete Software und ein paar Skurrilitäten entdecken.