Archiv für die Kategorie „Sicherheit“

Postfix mit TLS erweitern

Samstag, 6. März 2010

Aus aktuellem Anlass ist es nun höchste Zeit, Submission idealerweise mit TLS (optional) zu aktivieren.

Folgendes Mini HowTo zeigt die Vorgehensweise unter Debian Lenny mit einem selbst signierten Zertifikat
(mehr …)

ByeBye Port 25

Samstag, 6. März 2010

Viele DSL/Cable Provider neigen momentan mehr oder weniger berechtigterweise dazu den normalen SMTP Port 25 für ausgehende Mails zu sperren. Ein aktuelles Beispiel wäre momentan gerade Swisscom/Bluewin, wie Inside-IT berichtet.
(mehr …)

PHP Setup und Konfiguration – Sicherheit vs. Performance

Freitag, 12. Februar 2010

PHP wird den Ruf der unsicheren Bastlerumgebung einfach nicht los. Selbst wenn einige Sicherheitsprobleme in der Tat gravierend waren – wurde der wirkliche Schaden durch ein falsches Setup der PHP-Umgebung noch verschlimmert oder ausgeweitet.

Dieser Artikel soll konzeptionell aufzeigen wie Serverseitig eine möglichst ideale Umgebung bereitgestellt werden kann. Die Sicherheit innerhalb von PHP Scripts wird hier nicht behandelt.

(mehr …)

Was das „Internet“ über sie weiss..

Montag, 4. Januar 2010

Jeder gängige Browser logt im normalen Betriebsmodus jeden Seitenbesuch und legt diesen in einer Chronik ab. Diese Chronik wird auch verwendet, um Links auf HTML-Seiten farblich zu kennzeichen – so werden z.B. Links zu bereits besuchten Webseiten farblich anders dargestellt als „neue“ Links. Diese Funktionalität ist seit Jahren in allen gängigen Browsern integriert und akzeptiert.

Aber wussten sie, dass diese Informationen auch von fremden Webseiten ausgelesen werden können?

Lassen sie sich überraschen:  http://www.whattheinternetknowsaboutyou.com

Mittels einem kleinen Script werden im Browser des „Opfers“ diverse URL’s durchgetestet. Dieser Test macht nichts anderes als die Auswertung – in welcher „Farbe“ der Link nun dargestellt wird. So kann ermittelt werden ob diese Seite in der lokalen Browserhistorie vorhanden ist, und somit besucht wurde. Möglich ist dies beispielsweise mittels der CSS-Pseudoklasse „visited“.

Weitere informationen zu diesen CSS-Pseudoklassen

Die Thematik mit der lokalen Browserchronik ist eigentlich ein alter Hut. Einen kriminellen Nutzen davon gibt es kaum, viel spannender dürfte sowas allerdings für Werbezwecke sein. Dennoch sind es „ihre“ Daten – und sollten es auch bleiben.

Bei Mozilla ist diese Problematik längst bekannt, wie folgende 2 Tickets bestätigen:

Ticket #57351, bzw. Ticket #147777

Für den Firefox gibt es aktuell folgende Gegenmassnahme:

(mehr …)


Social Widgets powered by AB-WebLog.com.