Webserver

Update Wie viele Nutzerdaten dürfen zum Schutz der IT-Sicherheit gespeichert werden? Die geplanten Regelungen des neuen Gesetzes stiften Verwirrung und werden heftig kritisiert.

Für eine schwere Sicherheitslücke in sämtlichen Windows-Versionen hat Microsoft einen Patch veröffentlicht. Betroffen sind Windows-Rechner, die einen Web- oder auch einen FTP-Server betreiben.

Update Inzwischen wird die Bash-Sicherheitslücke Shellshock zur Verbreitung von Malware ausgenutzt. Die erste Korrektur war offenbar unvollständig. Wir haben die wichtigsten Hintergründe zu Shellshock zusammengefasst.

In Apples Supportforen häufen sich Berichte von Anwendern, die über langsame oder gar ausbleibende WLAN- und Datenverbindungen bei ihren iPhones klagen: Sie haben auf iOS 8 aktualisiert und besitzen vornehmlich ältere Geräte.

Das Entwicklerboard Linkit One im Arduino-Look basiert auf dem SoC Aster von Mediatek und bietet Wifi, GSM und GPS. Darauf läuft das echtzeitfähige Betriebssystem Linkit.

Keine Plug-Ins, aber immerhin iOS-8-Extensions werden von der neuen Chrome-Version unterstützt, die Google für das iPhone und das iPad veröffentlicht hat.

Bei der mobilen Version der Sendungsverfolgung von DHL führte ein falsch konfigurierter Webserver dazu, dass fremde Paketdaten einsehbar waren. Die Post hat einen Bericht dazu bestätigt.

Das FreeBSD-Team hat eine Sicherheitslücke im TCP-Stack des Kernels geschlossen. Sie hat sich über eine seit zehn Jahren bekannte Schwachstelle im TC-Protokoll ausnutzen lassen.

Sicherheitspanne bei der Europäischen Zentralbank: Kriminelle drangen in den Webserver ein und verlangten Geld für die gestohlenen Daten.

Im Webserver Apache 2.x ist eine Sicherheitslücke, die aus der Ferne ausgenutzt werden kann - auch ohne Authentifizierung.

Der Webmail-Client Rainloop benutzt moderne Webtechniken und steht als Standalone-Version oder für die Integration in Owncloud bereit. Die gewählte Creative-Commons-Lizenz ist aber eher ungewöhnlich für ein derartiges Projekt.

Das bisher von Google gepflegte Apache-Modul für das SPDY-Protokoll ist nun offizieller Teil des Webservers. Das Modul soll Kernbestandteil der Version 2.4 und kommender Veröffentlichungen werden.

Wer nicht will, dass seine Daten irgendwo auf fremden Servern liegen, sollte sie nach Hause holen. Wir erklären, wie ein eigener kleiner Server für Cloud-Daten eingerichtet wird. Er könnte auch E-Mails sammeln und als Media-Server dienen.

Fast unbemerkt haben Entwickler eine weitere Sicherheitslücke in der Kryptobibliothek GnuTLS geschlossen. Anwendungen, die die Bibliothek nutzen, müssen jedoch ebenfalls angepasst werden.

Cocktails zuzubereiten, ist roboterleicht: Bar Mixvah zieht sich die Zutaten aus fünf Flaschen und mischt sie zu einem schmackhaften Getränk. Der Roboter ist explizit zum Nachbau empfohlen.

Das Repräsentantenhaus der USA hat mit großer Mehrheit den "USA Freedom Act" akzeptiert. Wenn das Gesetz auch den Senat passiert, müssen Telefongesellschaften Metadaten speichern - und nicht mehr die NSA selbst. Geplant war aber eine viel weiter gehende Reform.

Update Die Deutsche Telekom warnt vor gefälschten Rechnungen, die in ihrem Namen verschickt werden. Sie fordern zum Download einer Schadsoftware auf, die noch nicht von allen Virenscannern erkannt wird. Dabei ist es sehr leicht, das Schreiben als Fälschung zu erkennen.

Shells Bonusprogramm mit der Möglichkeit, ein Kindle Paperwhite günstig gegen Prämienpunkte zu tauschen, hat in einem Shitstorm geendet, weil die Server dem Ansturm nicht standgehalten haben. Schließlich hieß es, dass der E-Book-Reader vergriffen sei. Die Aktion wurde ein PR-Desaster für Shell.

Ein Hacker aus Deutschland hat eigenen Angaben zufolge eine Sicherheitslücke auf der Webseite des US-Geheimdienstes NSA entdeckt.

Die neue "Stable"-Version 1.6 des Webservers Nginx unterstützt das Protokoll SPDY 3.1 sowie IPv6 für DNS. Für diese Version behebt das Team nur kritische Fehler.

Fitness-Armbänder, Heimautomation und Überwachung: BluetoothLE scheint der omnipotente Funkstandard zu sein. Golem.de zeigt, wie mit wenig Aufwand BluetoothLE erkundet und genutzt werden kann.

Im Zuge von Heartbleed sollen Serverbetreiber ihre Zertifikate erneuern und die alten zurückziehen. Das Problem dabei: Das bringt fast nichts, denn kein einziger Browser prüft die Gültigkeit der Zertifikate auf sichere Weise.

Zwei Personen ist es gelungen, private Schlüssel mit Hilfe des Heartbleed-Bugs aus einem Nginx-Testserver auszulesen. Der Server gehört der Firma Cloudflare, die mit einem Wettbewerb sicherstellen wollte, dass das Auslesen privater Schlüssel unmöglich ist.

Ein Systemadministrator hat angeblich in einem Logfile vom November letzten Jahres Exploit-Code für den Heartbleed-Bug gefunden. Die EFF ruft andere Administratoren zu Nachforschungen auf.

Update Ein Fehler in OpenSSL lässt das Auslesen von Arbeitsspeicher zu. Damit können Angreifer private Keys von Servern erhalten. Eine sichere Verschlüsselung ist nicht mehr gewährleistet. Der Bug betrifft sehr viele Web- und Mailserver im Internet.

Der Tesla Model S ist mit einem industriellen LAN-Anschluss ausgerüstet, den ein Bastler an seinen Rechner angeschlossen hat. Auf dem 100-MBit-Netzwerk laufen Standardprotokolle. Tesla hat den Zugriffsversuch allerdings bemerkt und den versuchsfreudigen Autobesitzer kontaktiert.

Mit Voglperf lassen sich die Frameraten von Spielen unter Linux aufzeichnen und so analysieren. Valve hat nun eine erste Version veröffentlicht und will ein Paket für SteamOS erstellen.

Die Passwort Hashing Competition (PHC) sucht nach neuen Verfahren, um Passwörter sicherer zu speichern. 24 Vorschläge wurden in der ersten Runde eingereicht.

Mehr als 10.000 Linux- und Unix-Server sollen mit unterschiedlicher Malware infiziert worden sein und zusammen unter dem Namen Operation Windigo Spam weitere Malware sowie zweifelhafte Werbung ausliefern.

Derzeit läuft ein komplexer Phishing-Angriff auf Google-Docs-Nutzer. Damit wollen Angreifer möglichst viele Zugangsdaten von Google-Nutzern abgreifen. Die betreffende Anmeldeseite ist der von Google sehr ähnlich - samt SSL-Verschlüsselung.

Ein kurzer Schlüsselaustausch bringt Chrome zum Absturz, andere Browser akzeptieren völlig unsinnige Parameter für einen Diffie-Hellman-Schlüsselaustausch. Im Zusammenhang mit den jüngst gefundenen TLS-Problemen könnte das ein Sicherheitsrisiko sein.

In der Verschlüsselungsbibliothek GnuTLS ist ein Fehler gefunden worden, der dazu führen kann, dass bösartige, gefälschte Zertifikate akzeptiert werden. Ähnlich wie bei der kürzlich bei Apple entdeckten Lücke spielt ein "goto fail" eine Rolle.

Erneut gibt es Probleme mit dem TLS-Protokoll. Mit der Triple-Handshake-Attacke kann ein bösartiger HTTPS-Server einem weiteren Server vorgaukeln, er hätte das Zertifikat eines Nutzers. Die meisten Anwender sind von dem Angriff vermutlich nicht betroffen.

Apple will mit einem Update für iTunes dafür sorgen, dass die Mediensoftware seltener abstürzt. Die neue Version iTunes 11.1.5 steht ab sofort zum Download für Windows und OS X bereit.

Ein Entwurf für eine Erweiterung des künftigen HTTP-Protokolls entfacht viel Aufregung, denn er sieht vor, dass Internetzugangsprovider verschlüsselte Datenströme mitlesen und verändern können.

Update Strato bietet seinen Kunden Perfect Forward Secrecy für E-Mail und Hosting. Doch das Verfahren ist noch nicht auf den eigenen Seiten implementiert.

Wem der Fitnesstracker am eigenen Handgelenk nicht mehr ausreicht, verpasst seinem Hund ein Voyce. Das ungewöhnliche Halsband misst dessen Aktivität, seine Herz- und Atemfrequenz und speichert diese Daten für eine Auswertung am Smartphone und PC.

Die Macher der Torrent-Website The Pirate Bay wollen eine Art Schattennetz aufbauen, das ohne zentrale Knotenpunkte, IP-Adressen oder herkömmliche Domainnamen arbeitet und so robust gegen Zensur und Sperren durch Provider ist.