Update Der Heartbleed-Bug in OpenSSL dürfte wohl als eine der gravierendsten Sicherheitslücken aller Zeiten in die Geschichte eingehen. Wir haben die wichtigsten Infos zusammengefasst.
Update Ein Fehler in OpenSSL lässt das Auslesen von Arbeitsspeicher zu. Damit können Angreifer private Keys von Servern erhalten. Eine sichere Verschlüsselung ist nicht mehr gewährleistet. Der Bug betrifft sehr viele Web- und Mailserver im Internet.
Der Tesla Model S ist mit einem industriellen LAN-Anschluss ausgerüstet, den ein Bastler an seinen Rechner angeschlossen hat. Auf dem 100-MBit-Netzwerk laufen Standardprotokolle. Tesla hat den Zugriffsversuch allerdings bemerkt und den versuchsfreudigen Autobesitzer kontaktiert.
Mit Voglperf lassen sich die Frameraten von Spielen unter Linux aufzeichnen und so analysieren. Valve hat nun eine erste Version veröffentlicht und will ein Paket für SteamOS erstellen.
Die Passwort Hashing Competition (PHC) sucht nach neuen Verfahren, um Passwörter sicherer zu speichern. 24 Vorschläge wurden in der ersten Runde eingereicht.
Mehr als 10.000 Linux- und Unix-Server sollen mit unterschiedlicher Malware infiziert worden sein und zusammen unter dem Namen Operation Windigo Spam weitere Malware sowie zweifelhafte Werbung ausliefern.
Derzeit läuft ein komplexer Phishing-Angriff auf Google-Docs-Nutzer. Damit wollen Angreifer möglichst viele Zugangsdaten von Google-Nutzern abgreifen. Die betreffende Anmeldeseite ist der von Google sehr ähnlich - samt SSL-Verschlüsselung.
Ein kurzer Schlüsselaustausch bringt Chrome zum Absturz, andere Browser akzeptieren völlig unsinnige Parameter für einen Diffie-Hellman-Schlüsselaustausch. Im Zusammenhang mit den jüngst gefundenen TLS-Problemen könnte das ein Sicherheitsrisiko sein.
In der Verschlüsselungsbibliothek GnuTLS ist ein Fehler gefunden worden, der dazu führen kann, dass bösartige, gefälschte Zertifikate akzeptiert werden. Ähnlich wie bei der kürzlich bei Apple entdeckten Lücke spielt ein "goto fail" eine Rolle.
Erneut gibt es Probleme mit dem TLS-Protokoll. Mit der Triple-Handshake-Attacke kann ein bösartiger HTTPS-Server einem weiteren Server vorgaukeln, er hätte das Zertifikat eines Nutzers. Die meisten Anwender sind von dem Angriff vermutlich nicht betroffen.
Apple will mit einem Update für iTunes dafür sorgen, dass die Mediensoftware seltener abstürzt. Die neue Version iTunes 11.1.5 steht ab sofort zum Download für Windows und OS X bereit.
Ein Entwurf für eine Erweiterung des künftigen HTTP-Protokolls entfacht viel Aufregung, denn er sieht vor, dass Internetzugangsprovider verschlüsselte Datenströme mitlesen und verändern können.
Update Strato bietet seinen Kunden Perfect Forward Secrecy für E-Mail und Hosting. Doch das Verfahren ist noch nicht auf den eigenen Seiten implementiert.
Wem der Fitnesstracker am eigenen Handgelenk nicht mehr ausreicht, verpasst seinem Hund ein Voyce. Das ungewöhnliche Halsband misst dessen Aktivität, seine Herz- und Atemfrequenz und speichert diese Daten für eine Auswertung am Smartphone und PC.
Die Macher der Torrent-Website The Pirate Bay wollen eine Art Schattennetz aufbauen, das ohne zentrale Knotenpunkte, IP-Adressen oder herkömmliche Domainnamen arbeitet und so robust gegen Zensur und Sperren durch Provider ist.
Seit vier Jahren arbeitet Facebook bereits an HHVM, kurz für Hiphop Virtual Machine for PHP. Die aktuelle Version 2.3 ist mittlerweile mit zahlreichen PHP-Frameworks kompatibel, unterstützt FastCGI und ist bei Wordpress um ein Vielfaches schneller als das Standard-PHP.
Bei HTML 5 denken viele vor allem an die Video- und Audio-Tags. Die Multimedia-API geht aber weit über das reine Abspielen hinaus. Eine kleine Javascript-Bibliothek lädt Musiker - und uns - zum Experimentieren ein.
Forscher der Universitäten Cambridge und London haben mit Sandstorm einen Webserver entwickelt, der auf die Auslieferung statischer Inhalte optimiert ist. Er ist in Tests dreimal so schnell wie Nginx und erzeugt dabei weniger CPU-Last, so dass er moderne Netzwerkhardware voll ausnutzen kann.
Eine neue Firmware von Siemens stopft eine Sicherheitslücke in Industriesteuerungen der Sinamics-Familie. Die Steuerungsanlagen mit integriertem Webserver hatten bisher offene FTP- und Telnet-Ports.
Intels Einstieg in die Welt der Arduino-Tüftler beginnt mit guten Vorsätzen, interessanten Ideen und einem neuen Prozessor - aber scheitert schon früh an einer nachlässigen Umsetzung bei der Software.
Acht große Internetunternehmen, angeführt von Google und Microsoft, fordern US-Präsident Barack Obama und den US-Kongress dazu auf, die Befugnisse der Geheimdienste zu beschneiden. Die Konkurrenten tun sich zusammen und fordern einen besseren Schutz ihrer Nutzer.
Der Trick ist alt, der Schaden aber unter Umständen erheblich: Derzeit kursieren wieder Phishing-Mails, die zur Installation eines Gratis-Plugins für Wordpress auffordern. Dahinter steckt aber Malware, die nicht nur den Server des Blog-Administrators befallen kann.
Ausgestattet mit einem Raspberry Pi samt Bluetooth-Dongle haben sich Sicherheitsexperten auf die Suche nach Geräten mit aktivierter Bluetooth-Schnittstelle gemacht. Es waren erstaunlich viele, die zudem viele Informationen über ihren Besitzer verraten.
Durch einen Fehler in Nginx können Angreifer ungeprüft sich Zugriff auf ausführbare Dateien auf einem Webserver verschaffen. Neue Versionen beheben den Fehler bereits, ein Workaround gibt es ebenfalls.
Google hat seinen Browser Chrome in der Version 31 veröffentlicht. Sie enthält Googles Versuch, das Web "nativer" zu machen. Weitere Neuerungen sollen Surfern den Alltag erleichtern.
Der Erfolg von Googles Bug-Bounty-Programmen soll ausgeweitet werden. Geld gibt es aber nicht für Security-Fixes und Bugs, sondern für sicherheitsrelevante Umbauarbeiten an kritischer Software wie OpenSSH, BIND, Zlib oder dem Linux-Kernel.
Ricoh hat mit der Pentax K-3 seine neue Oberklasse-Spiegelreflexkamera vorgestellt, die nun 24 Megapixel große Fotos mit ihrem APS-C Sensor aufnimmt. Einen Tiefpassfilter besitzt sie nicht und soll deshalb schärfere Bilder machen. Der vibrierende Sensor übernimmt bei Bedarf seine Aufgabe.
Googles Forschungsabteilung demonstriert eine neue Möglichkeit, Bildschirminhalte von einem Smartphone auf ein externes Display zu übertragen. Die Größe und Position der Projektionsfläche werden dabei vom Nutzer wie bei einem Beamer selbst bestimmt. Die Verbindung erfolgt über einen QR-Code.
Nach einer Serie peinlicher Fehlleistungen trennt sich Microsoft von LeakID. Die automatisierten Sperraufforderungen für Googles Suchindex wegen Urheberrechtsverletzungen bezogen sich auf Wikipedia, Microsofts eigene Angebote und einen Pornofilm.
Mit der Edgertronic-Kamera sollen extreme Zeitlupenaufnahmen zu einem vergleichsweise niedrigen Preis gemacht werden können. Mehr als 17.000 Bilder pro Sekunde sind damit nach Angaben der Entwickler möglich, die die Serienproduktion über Kickstarter finanzieren wollen.
Zwei junge Hacker haben Paypal gezeigt, wie man einen Webserver richtig konfiguriert. Die Sicherheitslücke war groß, die Firma reagierte trotzdem träge.
Die WAF Modsecurity hat selbst ein Sicherheitsproblem, wodurch Webserver durch HTTP-Anfragen mit XML-Inhalt durch eine Denial-of-Service-Sicherheitslücke außer Betrieb gesetzt werden können.
Das Softwarepaket Coder verwandelt einen Raspberry Pi in eine Lernplattform für Webentwickler. Kinder sollen so auf einfache Weise das Programmieren erlernen.
Die NSA soll auch in der Lage sein, verschlüsselte Verbindungen zu knacken. Ein Überblick über kryptographische Algorithmen und deren mögliche Probleme.
Der schwedische Internetdienstleister Bahnhof versteigert auf eBay ein symbolträchtiges Stück Hardware: den Server, auf dem Wikileaks einige seiner wichtigsten Veröffentlichungen gehostet hat. Der Erlös soll einem guten Zweck zugutekommen.
Nginx bringt mit Nginx Plus eine erweiterte Version seines Open-Source-Webservers auf den Markt. Nginx Plus unterstützt unter anderem adaptives Medien-Streaming, Hochverfügbarkeit, dynamische Konfiguration und Monitoring.
Unter seinem Open Patent Non-Assertion (OPN) Pledge hat Google weitere Patente freigegeben, die ohne Einschränkungen genutzt werden dürfen. Insgesamt sind es bereits 89 Patente, die teils in mehreren Ländern registriert sind.
Beim Aufbau von TLS-Verbindungen kann Firefox künftig Informationen über die Gültigkeit eines Zertifikats mitliefern. Das sogenannte OCSP Stapling wird damit von allen großen Browsern unterstützt, aber bei den Servern gibt es noch Probleme.
Unbekannte haben am vergangenen Donnerstag Apples Server angegriffen. Das ist der Grund für die lange Auszeit, über die sich Entwickler mangels Informationen bereits beschwerten. Apple ist nun dabei, den Schaden zu beheben und beruhigt die Entwickler.
Die erste Alphaversion der Groupware Kolab 3.1 macht CalDAV und CardDAV verfügbar. Über WebDAV lässt sich außerdem auf Dateien zugreifen, was eine Integration mit Owncloud oder Dropbox vereinfachen soll.
Version 2.0 des Apache-Webservers erhält keine weiteren Updates und auch keine Sicherheitspatches mehr. Anwender sollen sobald wie möglich auf Version 2.2 oder 2.4 aktualisieren.
Die Lytro-Lichtfeldkamera soll es ab Mitte Juli 2013 auch in Deutschland zu kaufen geben, teilte der Hersteller mit. Lytro-Fotos können nach der Aufnahme per Mausklick auf jeden beliebigen Punkt des Bildes scharf gestellt werden.
Normalerweise ist verschlüsselte Kommunikation nur sicher, solange die benutzten Schlüssel geheim bleiben. Anders ist das mit einer cleveren Technologie, die auf dem Diffie-Hellman-Verfahren basiert. Die Möglichkeit hierfür ist in TLS vorhanden, aber Browser und Server müssen sie auch nutzen.
Update DSL-Kunden von 1&1 melden seit Mitternacht bundesweite Ausfälle. Es gebe Probleme mit der Infrastruktur des Partners Vodafone, meldet der Kundenservice von 1&1.
Mit der Serie DC S3500 bietet Intel Data-Center-SSDs bis 800 GByte an. Die Geräte sollen besonders langlebig sein, unterscheiden sich jedoch je nach Kapazität deutlich in der Leistung. Auch Intel selbst will die SSDs verwenden.
In den vergangenen Wochen sind immer mehr Webseiten zu Schadsoftwareverteilern umgebaut worden. Es trifft Webseiten sowie Installationen von Apache, Nginx und Lighttpd. Das Internet Storm Center fragt sich schon: "Gibt es noch Webseiten, die nicht kompromittiert sind?"
Googles Browser Chrome bekommt möglicherweise einen Offline-Cache. Ist eine Website nicht erreichbar, soll der Browser stattdessen auf zuvor gecachte Inhalte zurückgreifen.
Sicherheitsexperten haben eine Schadsoftware entdeckt, die nur ein modifiziertes httpd-Binary verwendet. Alles andere passiert im Arbeitsspeicher. Die Angreifer sollen bereits hunderte Apache-Server unter ihre Kontrolle gebracht haben. Administratoren sollten ihre Server überprüfen.
Google bietet sein Webservermodul Pagespeed ab sofort auch für Nginx an. Pagespeed nimmt diverse Optimierungen an Webinhalten vor, um ihre Auslieferung zu beschleunigen und sie schneller beim Nutzer zu laden.
