Schlagwort-Archive: Sicherheit

Benutzer mit unsicheren Browsern warnen

Hi!

nach Durchsicht meiner Serverlogfiles ist mir aufgefallen, dass noch immer eine recht große Anzahl an Besuchern mit veralteten Browsern durchs Netz surfen.  Um die Benutzer dafür zu sensibilisieren habe ich daher eine kleine und mehr oder minder unauffällige Warnmeldung für Benutzer eines IE6 und älter implementiert.

benutzer_alter_browser_warnen-300x92-1811191

Eine entsprechende Meldung kann man recht einfach auf seiner Webseite platzieren. Es ist dafür nur notwendig direkt nach dem <body> – tag folgenden Code einzufügen:

<!--[if lte IE 6]>
<div style="padding: 4px; background: red none repeat scroll 0% 0%; color: #000000; width: 100%;">
ACHTUNG! Sie benutzen einen veralteten Internetbrowser. Dies stellt ein
<a href="https://www.security-blog.eu/2009/07/09/benutzer-mit-unsicheren-browsern-warnen/">Sicherheitsrisiko</a>
für Sie dar. Bitte aktualisieren Sie Ihren Browser: <a href="http://www.mozilla.com">Firefox</a>,
<a href="http://www.microsoft.com/germany/windows/internet-explorer/default.aspx">InternetExpolorer 8</a>
</div>
<![endif]-->

Mir ist bewußt, dass ich damit nur Benutzer von alten IEs anspreche und veraltete Opera, Firefox oder gar Netscape Nutzer nicht warne – eine entsprechend Umfängliche Warnung hätte jedoch einen deutlich aufwändigeren Code zur Folge und laut meinem Logfile sind Benutzer dieser Browser fast immer up2date…

Da ich in der Warnmeldung auch auf diesen Beitrag verlinke noch ein paar erklärende Worte warum es so wichtig ist einen aktuellen Browser zu Benutzen. Aktuelle Browser  unterstützen die gängigen Webstandards um welten besser als es die alten Browser getan haben (da spricht der Webmaster in mir). Selbstverständlich haben ältere Browser auch mit Sicherheitsproblemen zu kämpfen die abhängig von der Version durch die Hersteller auch nicht mehr gefixed werden. Bei vielen alten Browsern kann man sich durch reines aufrufen einer infizierten Webseite einen Virus bzw. einen Trojaner einfangen. Dies geschieht vollständig ohne das zutun des Benutzers und kann sogar auf sonst vertauenswürdigen Seiten durch manipulation selbiger (z. B. durch Werbenetzwerke) geschehen. Die Ausrede „ich passe auf“ zählt hier also absolut nicht. Ach ja, die ganzen neuen Browser können auch Tab-Browsing und jeder der das mal hatte will es nicht mehr her geben.

Sollte also jemand diesen Beitrag hier mit einem alten Browser (z. B. IE6) lesen – schnell updaten! 🙂 Hat man selber nicht die Möglichkeit, was in Unternehmen üblich ist, dann bitte den Administrator darauf hinweisen und ihn bitten den Browser auf eine sichere Version zu heben.

P. S. Ja, es ist ausdrücklich erlaubt den Code von oben zu kopieren und auf der eigenen Seite einzusetzen!

Safe für Passworte

Da die Anzahl meiner Passworte und Benutzernamen für meine ganzen Systeme sowie für diverse Webseiten zwischenzeitlich eine Größenordnung erreicht, hat die quasi nach einer technischen Lösung schreit habe ich in den letzten Monaten diverse Tools dafür evaluiert. Die Auswahl an kostenlosen und kostenpflichtiger Software ist dabei recht groß. Wichtig waren mir dabei folgende Funktionen / Eigenschaften:

  • nutzbar ohne Installation
  • abspeichern der Passworte in einer Baumstruktur
  • Passwortgenerator
  • gute Verschlüsselung des Passwortcontainers
  • fortlaufende Entwicklung der Software
  • hohe usability

Mein Wunsch nach einer richtigen Syncronisationsfunktion die auch in der Lage ist geänderte Daten über mehr als 2 Systeme hinweg zu verwalten mußte ich leider von der Liste streichen. Es gibt zwar einige Tools die damit werben die Daten z. B. mit einem Windows Mobile Telefon syncen zu können – jedoch funktionierte keines davon in meinem Test zuverlässig. Bei dem Versuch das Mobiltelefon mit mehr als einem Rechner zu syncen scheiterten alle…

Das Tool welches alle verbliebenen Anforderungen von mir erfüllte und zudem noch unter der GPL steht wurde ursprünglich von dem crypto Experten Bruce Schneier’s entwickelt und nennt sich „Password Safe“.  Heute wird es über ein SourceForge Projekt verwaltet und ständig mit neuen Features aufgewertet. Zu der Projektseite und zu dem Download geht es hier: Password Safe

Hackerparagraphen

Hilfe ich bin von Beruf Straftäter 🙂

… nun ist es soweit der Bundestag hat die, meiner Meinung nach zu Recht, umstrittenen Paragrphen zur Bekämpfung der Computerkriminalität ohne Änderungen durchgewunken.

Ich bin kein Anwalt, aber das was man über die möglichen Auswirkungen in der Fachpresse zu dem Thema zu lesen bekommt hört sich echt übel an:

Choas Computer Club zum Theme „Hackerparagraphen“

Wenn es nach dem neun Gesetzt geht darf ich wohl meine Server nicht mehr zurück nach Deutschland bringen ohne mich damit Strafbar zu machen :-(. Da dies vermutlich jedem IT Security Experten so gehen wird, bin ich mal gespannt wie sich dieses Thema in den nächsten Monaten und Jahren entwickeln wird. Eins steht für mich aber jetzt schon fest: Die für dieses Gesetzt verantwortlichen Politiker haben von dem Thema IT Security absolut keine Ahnung!

Einmalpasswörter

Hi,

Einmalpasswörter sind zwischenzeitlich insbesondere in Form von RAS Tokens in vielen Firmen sehr verbreitet. Das Einsatzgebiet ist dabei primär die authentifizierung für eine externe Einwahl z. B. via VPN. Heise Security hat vor kurzem einen guten Artikel mit Beispielszenarien für den SoHo Einsatz dieser Technik vorgestellt:

http://www.heise.de/security/artikel/87555

Viel Spass beim lesen!

Erstellen einer Baseline mit Hilfe von NESSUS

Hallo!

Ich war fleißig und habe in den letzten Tagen ein HowTo erstellt, welches sich mit Security Baselining für Netzwerke beschäftigt. Das beispielhaft beschriebene Tool ist der state of the art Security Scanner NESSUS sowie die vom BSI zur Verfügung gestellte Live CD BOSS.

ServerHowTo: Security Baselining

Feedback und Fragen sind wie immer willkommen. Das Forum sowie dieser Blog stehen Ihnen hierfür gerne zur Verfügung.