Startseite

22.03.13

Böse Links mit einfachem Workaround

Heise berichtet heute über einen kleinen JavaScript-Trick, mit dem man die Zielseite einer URL möglichst lange verschleiern kann. Neu ist das nicht, und wenn man sich nur auf vertrauenswürdigen Seiten aufhält, auch eher kein Problem.

Der "Angriffspunkt" ist, den Link im onClick-Event per JavaScript auszutauschen. Dadurch gelangt man auf eine andere Seite als jene, die man beim fahren mit der Maus über den Link angezeigt bekommt.

Wer das als echtes Problem ansieht, für den gibt es einen einfachen und effektiven Workaround: Einfach den Link mit der rechten Maustaste anklicken und "Adresse des Links kopieren" (so heißt da sim Chrome, in anderen Browsern vielleicht anders) auswählen. Dann ein neues Tab öffnen und die zuvor kopierte URL in die Adressezeile einfügen. Fertig.

Tags: sicherheit javascript

Geschrieben von Jan Theofel am 22.03.2013 um 23:01 Uhr | Permalink
Abgelegt unter Internet | 0 Kommentare

27.07.11

PLESK speichert unverschlüsselte Paswörter?

Das ist ein Scherz, oder? Ich habe gerade bei einem PLESK 8.6 gerade die Funktion "Passwort vergessen bemüht und bekomme dann folgende E-Mail:

Password for access to system

Your login name for accessing the system: ****.com
Your password is ****8443

Dabei weiß doch jeder(?) Programmieranfänger, dass man auf gar keinen Fall unverschlüsselte Passwörter speichert. Ich hatte ja schon immer was gegen PLESK ohne genau zu wissen warum. Nun habe ich einen handfesten Grund. (Selbst wenn man es abschalten kann: So etwas sollte eine Software nie anbieten!) Und einen Grund mehr, die Domain von dem Webhoster weg zu migrieren.

Tags: sicherheit webhosting plesk

Geschrieben von Jan Theofel am 27.07.2011 um 0:23 Uhr | Permalink
Abgelegt unter Internet | 2 Kommentare

06.12.10

Produktvorstellung: Kevin - Mobiles Alarmsystem

[Trigami-Review]

Wer als Geek unterwegs ist, führt meistens allerlei mehr oder weniger wertvolle Gadgets mit sich. Daher ist es wichtig, sich gegen Vergessen des eigenen Reisegepäcks oder Diebstahl zu schützen.

Eine Möglichkeit dazu ist das mobile Alarmsystem Kevin welches aus einem Handteil und einem Alarmgeber besteht. Diese können in drei verschiedenen Betriebsmodi genutzt werden, die ich euch im folgenden Video kurz vorstelle:

Mehr Informationen über Kevin findet ihr auf der Produktwebseite. Hier noch ein Video des Herstellers, das die verschiedenen von mir erläuterten Betriebsmodi noch im Praxiseinsatz zeigt:

Mit Kevin kann man sich recht gut gegen Diebstahl und Verlust von Wertgegenständen schützen. Wichtig ist dabei abschließend noch der Hinweis, dass der Alarmgeber dabei natürlich nicht sichtbar am zu schützenden Objekt angebracht werden sollte, da sonst die ersten beiden Betriebsmodi (Vergessenschutz und Reisemodus) umgangen werden können.

Weitere Informationen zum Produkt

Tags: sicherheit trigami kevin

Geschrieben von Jan Theofel am 6.12.2010 um 8:08 Uhr | Permalink
Abgelegt unter Hardware | 1 Kommentare

20.03.10

Proxysetup für Surfen in unsicheren Netzwerken

Hin und wieder bin ich - beispielsweise heute beim Barcamp Ruhr 3 - in offenen WLANs unterwegs. Während ich mir um Mails keine Gedanken machen muss (lese ich per ssh und mutt direkt auf dem Server) werden prinzipiell alle HTTP-Verbindungen auch innerhalb des WLANs unverschlüsselt übertragen. Damit wäre zum Beispiel das Passwort hier für das Weblog, bei dem kein Login per SSL möglich ist, im WLAN mit lesbar.

Daher habe ich mir gerade ein winziges Setups vorbereitet, bei dem die Verbindung zumindest innerhalb des WLANs verschlüsselt erfolgt. Danach ist sie weiter unverschlüsselt, aber der zumindest der leichte Zugang innerhalb des WLANs ist nicht mehr möglich. Dazu benötigt ihr nur irgendwo einen (Linux-)Server und ein paar Zeilen Konfiguration.

1. Schritt: Proxy auf einem Server einrichten

Als erstes setzt ihr auf eurem Server einen Proxydienst auf. Läuft noch keiner, konfiguriert ihr ihn so, dass er nur auf lokale Zugriffe hört. Ihr wollt ja schließlich nicht für das ganze Internet einen offenen Proxy bereitstellen. Läuft bereits ein Proxy, müsst ihr ggf. zusätzlich den lokalen Zugriff erlauben.

Bei de weit verbreiteten Proxy Squid geht das ganz einfach durch Einfügen dieser Zeilen in der Konfiguration:
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
acl our_networks src 127.0.0.0/8
http_access allow our_networks

2. Schritt: ssh-Tunnel

Nun braucht ihr eine sicher Verbindung von eurem Notebook zum Server. Dazu tunnelt ihr den Port 3128 (oder ggf. einen anderen Proxyport) mittels ssh.

In der Kommandozeile direkt per ssh sieht das so aus:
ssh -L3128:127.0.0.1:3128 user@somehost.tld

Sorgt am besten noch für das Senden eines KeepAlive-Pings durch den ssh-Client, damit der Server die Verbindung nicht zwischendurch trennt. Dazu habe ich in meiner /etc/ssh/ssh_config folgende Zeilen eingefügt:
# Send keep alive packet every 15 seconds
ServerAliveInterval 15

Bei Putty unter Windows findet ihr die Einstellungen unter Connection/SSH/Tunnels. Dort klickt ihr "Remote ports do the same" an und tragt unten "Source port" 3128 und als "Destination" den Wert "127.0.0.1:3128" ein und klickt auf "Add". Dann die Verbindung am besten speichern.

3. Schritt: Lokalen Proxy konfigurieren

Nun müsst ihr im Webbrowser nur noch die IP 127.0.0.1 mit Port 3128 als Proxy eintragen. Dieser Port wird dann über die verschlüsselte SSH-Verbindung zum Server weitergeleitet und geht erst ab dort unverschlüsselt ins Internet. Für SSL braucht ihr natürlich keinen Proxy eintragen, weil diese Verbindung ohnehin selbst verschlüsselt ist.

Vergleichbare Setups könnt ihr natürlich auch mit anderer Software realisieren.

Tags: Linux sicherheit wlan proxy ssh

Geschrieben von Jan Theofel am 20.03.2010 um 12:13 Uhr | Permalink
Abgelegt unter | 6 Kommentare

27.04.09

Vergesst CAPTCHAS!

Beispiel für ein CAPTCHA

Diesen Blogpost von F-Secure kann man kurz und knapp zusammenfassen: Vergesst CAPTCHAS!.

Schon mal nach break captcha gegoogelt? Selbst Google Suggest schlägt das schon bald vor und preist über 3,5 Millionen Treffer an. Eines der Angebote kostet 1$ für 1000 CAPTCHAS - inklusive Geld-Zurück-Garantie.

Wer kurz darüber nachdenkt, wird wohl zu dem Schluss kommen, sowas nur mit geklauten Kreditkartendaten (soll man ja gerüchteweise ziemlich leicht bekommen) zu bezahlen. Denn nicht nur die Umstände unter denen die Leistung erbracht wird (denkt mal über den Stundensatz nach, denn laut F-Secure wird das meistens von Hand gemacht) dürften wohl zweifelhaft sein sondern auch die Sicherheit der eigenen Kreditkartendaten bei einem solchen Anbieter.

Beispiel für eine Break-Captcha-Werbung

Ironischer Weise blendet Google sogar Werbung bei der Suche nach "break captcha" ein, so dass Google an dem Aushebeln der eigenen Sicherheitsmechanismen auch noch Geld verdient... Ob ich da noch Mails von Google Mail auf unseren Mailservern annehmen möchte?

Tags: sicherheit captcha

Geschrieben von Jan Theofel am 27.04.2009 um 22:14 Uhr | Permalink
Abgelegt unter Internet | 4 Kommentare

29.05.08

Mini-Camp am Sonntag mit Microsoft

Ich hatte ja bereits auf das MiniCamp kommenden Sonntag hingewiesen. Und es scheint wirklich mini zu werden. Denn seit einigen Tagen tut sich in der Teilnehmerliste recht wenig. Gerade mal fünf Zusagen verzeichnet die Seite, dazu ein paar "Vielleicht".

Und gerade in Anbetracht der gestrigen Heise-Meldung stelle ich mir die Frage, ob das am Veranstalter bei dem Thema liegt. Ich finde es prinzipiell begrüßenswert, dass Microsoft als Sponsor von BarCamps und hier eben einem MiniCamp auftritt. Aber es wäre wahrscheinlich glücklicher Veranstaltungen ohne Themenschwerpunkt bzw. mit anderen Themenschwerpunkten zu besetzen. Nur so ein Gedanke.

Tags: microsoft sicherheit minicamp

Geschrieben von Jan Theofel am 29.05.2008 um 0:08 Uhr | Permalink
Abgelegt unter Barcamps | 2 Kommentare

31.12.05

Kostenlose Viren- und Sicherheitshotline

Microsoft bietet eine kostenfreie (naja, fast kostenfreie 12 Ct/min) Hotline zu "Viren- und sicherheitsrelevanten Fragen" an: 0180 5 67 22 55 Die aktuelle Rufnummer und Rufnummern für AT und CH gibt es hier. Internationale Rufnummern gibt es wiederum nach einer Auswahl auf dieser Seite.

Ich gehe allerdings mal stark davon aus, dass dort nicht herstellerneutral beraten wird. ;-) Es darf auch darüber spekuliert werden ob diese Einrichtung auf die Reue wegen der vielen selbst verursachten Sicherheitsprobleme zurückzuführen ist. Wahrscheinlich ist es jedoch eher der Versuch wenigstens noch die letzten Kunden zu halten...

[via SANS]

Tags: microsoft windows sicherheit hotline

Geschrieben von Jan Theofel am 31.12.2005 um 14:21 Uhr | Permalink
Abgelegt unter | 1 Kommentare