Heise berichtet heute über einen kleinen JavaScript-Trick, mit dem man die Zielseite einer URL möglichst lange verschleiern kann. Neu ist das nicht, und wenn man sich nur auf vertrauenswürdigen Seiten aufhält, auch eher kein Problem.
Der "Angriffspunkt" ist, den Link im onClick-Event per JavaScript auszutauschen. Dadurch gelangt man auf eine andere Seite als jene, die man beim fahren mit der Maus über den Link angezeigt bekommt.
Wer das als echtes Problem ansieht, für den gibt es einen einfachen und effektiven Workaround: Einfach den Link mit der rechten Maustaste anklicken und "Adresse des Links kopieren" (so heißt da sim Chrome, in anderen Browsern vielleicht anders) auswählen. Dann ein neues Tab öffnen und die zuvor kopierte URL in die Adressezeile einfügen. Fertig.
Tags: sicherheit javascript
Geschrieben von Jan Theofel am 22.03.2013 um 23:01 Uhr | Permalink
Abgelegt unter Internet | 0 Kommentare
Das ist ein Scherz, oder? Ich habe gerade bei einem PLESK 8.6 gerade die Funktion "Passwort vergessen bemüht und bekomme dann folgende E-Mail:
Password for access to system
Your login name for accessing the system: ****.com
Your password is ****8443
Dabei weiß doch jeder(?) Programmieranfänger, dass man auf gar keinen Fall unverschlüsselte Passwörter speichert. Ich hatte ja schon immer was gegen PLESK ohne genau zu wissen warum. Nun habe ich einen handfesten Grund. (Selbst wenn man es abschalten kann: So etwas sollte eine Software nie anbieten!) Und einen Grund mehr, die Domain von dem Webhoster weg zu migrieren.
Tags: sicherheit webhosting plesk
Geschrieben von Jan Theofel am 27.07.2011 um 0:23 Uhr | Permalink
Abgelegt unter Internet | 2 Kommentare
Hin und wieder bin ich - beispielsweise heute beim Barcamp Ruhr 3 - in offenen WLANs unterwegs. Während ich mir um Mails keine Gedanken machen muss (lese ich per ssh und mutt direkt auf dem Server) werden prinzipiell alle HTTP-Verbindungen auch innerhalb des WLANs unverschlüsselt übertragen. Damit wäre zum Beispiel das Passwort hier für das Weblog, bei dem kein Login per SSL möglich ist, im WLAN mit lesbar.
Daher habe ich mir gerade ein winziges Setups vorbereitet, bei dem die Verbindung zumindest innerhalb des WLANs verschlüsselt erfolgt. Danach ist sie weiter unverschlüsselt, aber der zumindest der leichte Zugang innerhalb des WLANs ist nicht mehr möglich. Dazu benötigt ihr nur irgendwo einen (Linux-)Server und ein paar Zeilen Konfiguration.
1. Schritt: Proxy auf einem Server einrichten
Als erstes setzt ihr auf eurem Server einen Proxydienst auf. Läuft noch keiner, konfiguriert ihr ihn so, dass er nur auf lokale Zugriffe hört. Ihr wollt ja schließlich nicht für das ganze Internet einen offenen Proxy bereitstellen. Läuft bereits ein Proxy, müsst ihr ggf. zusätzlich den lokalen Zugriff erlauben.
Bei de weit verbreiteten Proxy Squid geht das ganz einfach durch Einfügen dieser Zeilen in der Konfiguration:
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
acl our_networks src 127.0.0.0/8
http_access allow our_networks
2. Schritt: ssh-Tunnel
Nun braucht ihr eine sicher Verbindung von eurem Notebook zum Server. Dazu tunnelt ihr den Port 3128 (oder ggf. einen anderen Proxyport) mittels ssh.
In der Kommandozeile direkt per ssh sieht das so aus:
ssh -L3128:127.0.0.1:3128 user@somehost.tld
Sorgt am besten noch für das Senden eines KeepAlive-Pings durch den ssh-Client, damit der Server die Verbindung nicht zwischendurch trennt. Dazu habe ich in meiner /etc/ssh/ssh_config folgende Zeilen eingefügt:
# Send keep alive packet every 15 seconds
ServerAliveInterval 15
Bei Putty unter Windows findet ihr die Einstellungen unter Connection/SSH/Tunnels. Dort klickt ihr "Remote ports do the same" an und tragt unten "Source port" 3128 und als "Destination" den Wert "127.0.0.1:3128" ein und klickt auf "Add". Dann die Verbindung am besten speichern.
3. Schritt: Lokalen Proxy konfigurieren
Nun müsst ihr im Webbrowser nur noch die IP 127.0.0.1 mit Port 3128 als Proxy eintragen. Dieser Port wird dann über die verschlüsselte SSH-Verbindung zum Server weitergeleitet und geht erst ab dort unverschlüsselt ins Internet. Für SSL braucht ihr natürlich keinen Proxy eintragen, weil diese Verbindung ohnehin selbst verschlüsselt ist.
Vergleichbare Setups könnt ihr natürlich auch mit anderer Software realisieren.
Tags: Linux sicherheit wlan proxy ssh
Geschrieben von Jan Theofel am 20.03.2010 um 12:13 Uhr | Permalink
Abgelegt unter | 6 Kommentare
![Beispiel für ein CAPTCHA](http://www.theofel.de/archives/upload/2009/04/captcha.jpg)
Diesen Blogpost von F-Secure kann man kurz und knapp zusammenfassen: Vergesst CAPTCHAS!.
Schon mal nach break captcha gegoogelt? Selbst Google Suggest schlägt das schon bald vor und preist über 3,5 Millionen Treffer an. Eines der Angebote kostet 1$ für 1000 CAPTCHAS - inklusive Geld-Zurück-Garantie.
Wer kurz darüber nachdenkt, wird wohl zu dem Schluss kommen, sowas nur mit geklauten Kreditkartendaten (soll man ja gerüchteweise ziemlich leicht bekommen) zu bezahlen. Denn nicht nur die Umstände unter denen die Leistung erbracht wird (denkt mal über den Stundensatz nach, denn laut F-Secure wird das meistens von Hand gemacht) dürften wohl zweifelhaft sein sondern auch die Sicherheit der eigenen Kreditkartendaten bei einem solchen Anbieter.
![Beispiel für eine Break-Captcha-Werbung](http://www.theofel.de/archives/upload/2009/04/break-captcha-werbung.jpg)
Ironischer Weise blendet Google sogar Werbung bei der Suche nach "break captcha" ein, so dass Google an dem Aushebeln der eigenen Sicherheitsmechanismen auch noch Geld verdient... Ob ich da noch Mails von Google Mail auf unseren Mailservern annehmen möchte?
Tags: sicherheit captcha
Geschrieben von Jan Theofel am 27.04.2009 um 22:14 Uhr | Permalink
Abgelegt unter Internet | 4 Kommentare
Ich hatte ja bereits auf das MiniCamp kommenden Sonntag hingewiesen. Und es scheint wirklich mini zu werden. Denn seit einigen Tagen tut sich in der Teilnehmerliste recht wenig. Gerade mal fünf Zusagen verzeichnet die Seite, dazu ein paar "Vielleicht".
Und gerade in Anbetracht der gestrigen Heise-Meldung stelle ich mir die Frage, ob das am Veranstalter bei dem Thema liegt. Ich finde es prinzipiell begrüßenswert, dass Microsoft als Sponsor von BarCamps und hier eben einem MiniCamp auftritt. Aber es wäre wahrscheinlich glücklicher Veranstaltungen ohne Themenschwerpunkt bzw. mit anderen Themenschwerpunkten zu besetzen. Nur so ein Gedanke.
Tags: microsoft sicherheit minicamp
Geschrieben von Jan Theofel am 29.05.2008 um 0:08 Uhr | Permalink
Abgelegt unter Barcamps | 2 Kommentare
Microsoft bietet eine kostenfreie (naja, fast kostenfreie 12 Ct/min) Hotline zu "Viren- und sicherheitsrelevanten Fragen" an: 0180 5 67 22 55 Die aktuelle Rufnummer und Rufnummern für AT und CH gibt es hier. Internationale Rufnummern gibt es wiederum nach einer Auswahl auf dieser Seite.
Ich gehe allerdings mal stark davon aus, dass dort nicht herstellerneutral beraten wird. ;-) Es darf auch darüber spekuliert werden ob diese Einrichtung auf die Reue wegen der vielen selbst verursachten Sicherheitsprobleme zurückzuführen ist. Wahrscheinlich ist es jedoch eher der Versuch wenigstens noch die letzten Kunden zu halten...
[via SANS]
Tags: microsoft windows sicherheit hotline
Geschrieben von Jan Theofel am 31.12.2005 um 14:21 Uhr | Permalink
Abgelegt unter | 1 Kommentare