Schlagwort-Archiv: sicherheit

Firefox 1.5.0.3 ist da – und Sicherheitslücke ist zu (Update)

von Stefan Evertz am 02.05.06 um 14:49 Uhr | 2 Antworten

Wie www.pcwelt.de meldet, ist vor wenigen Minuten die Version 1.5.0.3 des Browsers „Firefox“ veröffentlicht worden. Knapp drei Wochen nach der Veröffentlichung der Version 1.5.0.2 wird damit die vor einer Woche bekanntwordene Sicherheitslücke in Firefox geschlossen.

Zur Zeit ist die neue Version allerdings noch nicht per Update-Funktion verfügbar (über „Hilfe / Firefox aktualisieren“), sondern kann bisher nur per FTP unter ftp.mozilla.org heruntergeladen werden.

Update 02.05.06, 21:27 Uhr:
Die neue Version ist jetzt auch per Update-Funktion verfügbar.

O’Reilly mit weiteren E-Books und Ãœberlastung

von Stefan Evertz am 30.04.06 um 8:00 Uhr | 2 Antworten

Erfreulicherweise verbreitet sich zunehmend der Trend, Bücher auch online zu veröffentlichen (siehe auch „Lesestoff fürs Wochenende: Weitere kostenlose E-Books„). Der Software-Verlag O’Reilly hat nun unter www.oreilly.de vier weitere deutschsprachige Titel im Rahmen seines „OpenBook“-Projects (siehe auch „Stefan Münz schenkt dem Netz ein Buch„) zum kostenlosen Download bereitgestellt. Die E-Books können kapitelweise als PDF-Datei heruntergeladen werden.

Ein Hinweis, bevor ihr euch nun ans Herunterladen macht: Offensichtlich ist das Interesse an den Online-Books so groß, dass die Server regelmäßig in die Knie gehen und nicht mehr erreichbar sind. Seit der Bekanntgabe vor drei Tagen habe ich lediglich gestern am frühen Morgen zwei der vier Bücher herunterladen können…

Die vier neu verfügbaren Titel sind:

Mit Open Source-Tools Spam & Viren bekämpfen: www.oreilly.de[2]
Linux-Firewalls – Ein praktischer Einstieg: www.oreilly.de[3]
Linux Praxishandbuch: www.oreilly.de[4]
Die GPL kommentiert und erklärt: www.oreilly.de[5]

(via www.golem.de)

Firefox: Sicherheitslücke / NoScript-Erweiterung

von Stefan Evertz am 25.04.06 um 20:19 Uhr | 4 Antworten

Nicht so schön: Gute 10 Tage nach der Veröffentlichung von Firefox 1.5.0.2 wurde heute eine Sicherheitslücke bei Firefox gemeldet. Laut www.golem.de tritt das Sicherheitsleck

im Zusammenspiel mit dem JavaScript-Befehl iframe.contentWindow.focus() auf. Angreifer können darüber einen Buffer Overflow verursachen, der den Browser zum Absturz bringen kann, aber auch das Einschleusen von Programmcode ermöglicht. Ein Angreifer könnte damit eine umfassende Kontrolle über ein fremdes System erlangen.

Weitere Informationen (und für Mutige eine Demo) gibt es unter www.securident.com (englisch).

Bei www.heise.de gibt es dazu den folgenden Tipp:

Abhilfe schafft das Abschalten der Unterstützung für JavaScript unter den Inhalt-Einstellungen im Extras-Menü, bis die Firefox-Entwickler einen Patch bereitstellen. Jedoch zeigt der Browser dann diverse Webseiten nicht mehr korrekt an.

Dies ist übrigens in der deutschen Version wie folgt möglich:

Extras / Einstellungen / Register „Inhalt“ / Häkchen bei „JavaScript“ entfernen

Eine bessere Lösung als der Tipp von heise ist aber meines Erachtens die NoScript-Erweiterung, bei der der Benutzer für jede Website angeben kann, ob JavaScript grundsätzlich, temporär oder gar nicht erlaubt sein soll. Standard-Einstellung ist angenehmerweise das Verbot 😉

Ãœber ein Feld in der Symbolleiste könnt ihr dann bequem mit zwei Klicks JavaScript für die gerade besuchte Website aktivieren – so ihr der Seite vertraut…

Die Erweiterung sollte meiner Meinung nach bei keinem Firefox fehlen und kann unter addons.mozilla.org installiert werden.

Google Earth Sicherheitsrisiko für Fußball-WM?

von Stefan Evertz am 07.04.06 um 17:47 Uhr | 3 Antworten

Logo 'Google Earth' Seit etwa zwei Wochen ist nun erfreulicherweise ganz Deutschland bei Google Earth in hoher Auflösung verfügbar (siehe auch Google Earth und GoYellow: Kampf um Deutschland-Karte?). Und schon meldet sich ein Sicherheitsexperte mit der Warnung zu Wort, dass mit den präziseren Daten nun auch Kurzstreckenraketen auf WM-Stadien in Nord- und Westdeutschland losgelassen werden könnten, wie Technology Review unter www.heise.de/tr berichtet:

Für Klaus Dieter Matschke, Chef der Frankfurter Sicherberatung KDM, sind dies frei Haus gelieferte Zielkoordinaten für jede terroristische Gruppe, die sich in den Besitz von Kurzstreckenraketen gebracht hat. […] Sein Urteil: „Solange Google Earth in dieser Form online ist, gibt es ein Sicherheitsrisiko.“
[…]
Da Kurzstreckenraketen Reichweiten von bis zu 300 Kilometern haben, könnten seegestützte Raketen von Nord- oder Ostsee aus zumindest die WM-Stadien in Gelsenkirchen, Dortmund, Hannover, Hamburg und Berlin erreichen.

Nun muss ich einräumen, dass ich mich mit GPS nicht besonders auskenne. Ich würde aber davon ausgehen, dass mit den handelsüblichen Geräten eine ähnlich hohe Präzision erreicht werden kann. Und sollten potentielle Terroristen den Weg ins Stadion (z.B. bei einem Fußballspiel) scheuen, um dort die exakten Koordinaten zu ermitteln, sollte dies aber auf jeden Fall im Umfeld der betreffenden Stadien möglich sein (notfalls unterstützt durch einen Kompaß und eine Kreuzpeilung).

Ich hoffe zwar inständig, dass ein solcher Anschlag nicht stattfindet. Und falls doch, fürchte ich die absehbare Hilflosigkeit der „staatlichen Stellen“ fast so sehr wie den eigentlichen Anschlag (siehe auch Desaster Area – 2006 live in Deutschland).

Dennoch scheint mir die Warnung des „Sicherheitsexperten“ schwer am Problem vorbeizugehen – und zwar so sehr, dass es schon fast wieder amüsant ist :-/

Und so halte ich es mit dem Fazit des lesenswerten Artikels von Marcus Jaschen unter rikman.mtb-news.de:

Ich schlage daher vor, dass Google Earth bis zum Ende des Finalspiels nur Daten mit künstlich herabgesetzter Genauigkeit liefert. Es reicht, wenn man den Umriss von Kontinenten erkennen kann.

(via www.golem.de)

Sicherheits-Updates: Opera 8.54 und Flash

von Stefan Evertz am 06.04.06 um 17:19 Uhr | 1 Antwort

Dem Browser Opera wurde gestern ein (Mini-)Update auf die Version 8.54 verpasst, das vor allem die vor zwei Wochen bekannt gewordene kritische Flash-Sicherheitslücke behebt und eine aktualisierte Fassung des Flash-Players enthält. Das (auch in deutsch verfügbare) Update kann (und sollte) unter www.opera.com (englisch) heruntergeladen werden.

Das von Adobe gemeldete Sicherheitsleck im Flash-Player gilt aber auch für die anderen Browser und Windows-Anwendungen. Im betreffenden „Security Bulletin“ unter www.macromedia.com (englisch) sind Anweisungen bzw. direkte Links zu den entsprechenden Downloads abrufbar. Angesichts der zunehmenden Verbreitung von Flash-Elementen sollte hier also ebenfalls ein Update erfolgen…

(via www.golem.de[1], www.golem.de[2])

Desaster Area – 2006 live in Deutschland

von Stefan Evertz am 17.03.06 um 23:38 Uhr | 2 Antworten

Die Weichen für einen reibungslos und erfolgreich ablaufenden Fußball-Sommer in diesem Jahr sind gestellt – zumindest für den nicht sportrelevanten Teil…

Bei Telepolis ist mit dem Titel „Das Gesundbrunnen-Massaker“ unter www.heise.de/tp eine Chronik der Katastrophenübung „Triangel“ nachzulesen, mit der am 11. März 2006 eindrucksvoll demonstriert wurde, dass es eigentlich keiner terroristischen Aktivitäten bedarf, um die vielbeschworene Rettungskette zu zerreißen…

Und nachdem also Deutschland offenbar organisatorisch bereits bestens aufgestellt ist, stellt sich nun die Frage, ob wir in Sachen „Kommunikation“ ebenfalls gut gerüstet sind. Und wie Nico Lumma unter lumma.de von der CeBIT zu berichten weiß, sind wir es:

Was mag sich allerdings der Mann neben mir an der Garderobe gedacht haben, der zu der Garderobenfrau freundlich meinte „I’d like to check my coat and my bag“ und sich mit einem „wie bitte?“ konfrontiert sah? Einer Wiederholung seines Wünsches wurde ein klares „nö, ich spreche nur deutsch hier.“ entgegengesetzt. Nachdem jemand anderes einsprang und dolmetschte, gab die junge Dame noch ihre Einschätzung der Lage zum Besten: „Wir sind immer noch in Deutschland hier!“

Die Fußballweltmeisterschaft kann kommen.

Google: Weiterer Krakenarm gesichtet

von Stefan Evertz am 09.03.06 um 8:52 Uhr | 1 Antwort

Google verkehrt Wie Michael Arrington gestern unter www.techcrunch.com berichtet hat, haben sich die schon seit mehreren Wochen kursierenden Gerüchte über einen webbasierten Kalender-Dienst von Google bestätigt. Ihm sollen nun erste „echte“ Screenshots des Kalenders mit dem Arbeitstitel „CL2“ vorliegen:

I am now in possession of screenshots from GoogleÂ’s long delayed new Ajax calendar application, which will be called Â“CL2″ (the CL2 login screen is here). It was only a matter of time before someone broke down and leaked these – as far as I know these screen shots are the first on the public web.
[…]
The closed beta is ongoing with about 200 participants – people involved are not allowed to invite outsiders to see the calendar and are under strict rules not to share any details with outsiders. Based on feedback I am getting, CL2 is a long way away from launch.

(Sollte Techcrunch wieder mal überlastet sein, sind unter blog.webdesign-hilfe.net ebenfalls die Screenshots verfügbar)

Auch wenn es also noch etwas dauern könnte, bis dieser Dienst verfügbar ist, muss man sich schon jetzt die Frage stellen, ob man hier das Thema „Datenschutz“ nicht ähnlich kritisch bewerten muß wie schon im Zusammenhang mit der „Search Across Computers“-Funktion von Google Desktop 3 und dem scheinbar geplanten Online-Speicher GDrive / „Google Drive“ (siehe auch „Google Desktop: Doppel-Agent 003 auf der Suche (Update)„). Die Bezüge zur beunruhigenden Vision „Google Epic 2015“ scheinen jedenfalls mittlerweile von Woche zu Woche zuzunehmen.

Langsam, aber sicher kommt mir im Hinblick auf Google und die wachsende Zahl von Diensten immer mehr die Metapher einer Krake in den Sinn – versucht man einen Arm abzuschlagen, wachsen zwei neue nach (oder war das der Kopf der Medusa?). Es ist zwar durchaus eine Ãœberlegung wert, anstelle eines ganzen Küchenschranks voller Geräte eine einzige, multifunktionale Küchenmaschine einzusetzen. Diese Küchenmaschine hätte allerdings keine Chance (und auch kein Interesse), meine Küche zu überwachen oder gar zu kontrollieren – und das könnte sie absehbar von Google unterscheiden …

(u.a. via www.suchmaschinen-optimierung-seo.info/sosblog, www.computerwoche.de, www.netzeitung.de)

Schutz von E-Mails: Unklare Perspektiven (Update)

von Stefan Evertz am 05.03.06 um 14:57 Uhr | Schreibe eine Antwort

Das Bundesverfassungsgericht hat am 02.03.06 in einem schon jetzt vielbeachteten Urteil entschieden, dass „das Recht auf informationelle Selbstbestimmung im Herrschaftsbereich des Teilnehmers gespeicherte Telekommunikationsverbindungsdaten schützt“, wie in der entsprechenden Pressemeldung zu lesen ist (www.bundesverfassungsgericht.de[1]):

Die Verfassungsbeschwerde einer Richterin, die sich gegen die Anordnung der Durchsuchung ihrer Wohnung wegen des Verdachts der Verletzung von Dienstgeheimnissen gewandt hatte, war erfolgreich. Im Rahmen der Durchsuchung war unter anderem auf die im Computer der Beschwerdeführerin gespeicherten Daten sowie auf die Einzelverbindungsnachweise ihres Mobilfunktelefons Zugriff genommen worden.[…]
Zwar sei nicht das Fernmeldegeheimnis verletzt, da nach Abschluss des Ãœbertragungsvorgangs im Herrschaftsbereich des Kommunikationsteilnehmers gespeicherte Verbindungsdaten nicht vom Schutzbereich des Art. 10 Abs. 1 GG umfasst würden. Die Daten seien jedoch durch das Recht auf informationelle Selbstbestimmung und gegebenenfalls durch das Recht auf Unverletzlichkeit der Wohnung geschützt. Danach darf auf die beim Kommunikationsteilnehmer gespeicherten Daten nur unter bestimmten Voraussetzungen und insbesondere nach Maßgabe des Verhältnismäßigkeitsgrundsatzes zugegriffen werden.

Weiterlesen →

Besser so als ohne: Bitdefender 8 morgen kostenlos

von Stefan Evertz am 16.02.06 um 11:12 Uhr | 2 Antworten

Es gibt sie nach wie vor: Menschen, die ohne ein Antivirus-Programm im Netz bzw. per E-Mail unterwegs sind – und diese Personengruppe dürfte weit größer sein, als man sich in seinen schlimmsten Träumen ausmalen kann 🙁

Für diese Nutzer – und auch für die von Update-Problemen der Software Antvir gebeutelten Anwender (siehe auch www.heise.de) – bietet der Anbieter Softwin morgen (17.02.06) für 24 Stunden die Software „BitDefender 8 Standard“ zum kostenlosen Download an (inklusive kostenloser Updatess für die Antiviren-Signaturen für ein Jahr, danach 18,68 EUR / Jahr):

www.bitdefender.de/24free

Auch wenn es mittlerweile bereits die Version 9 von Bitdefender gibt, scheint mir ein solches Angebot immer noch besser zu sein, als ohne Schutz durchs Netz zu ziehen. Die Stiftung Warentest hat jedenfalls vor einem Jahr die Software für gut befunden (siehe auch www.stiftung-warentest.de):

Umgekehrt beim Sicherheitspaket BitDefender 8 Professional Plus von Softwin: Hier ist der Virenscanner erste Sahne, aber die Firewall enttäuscht. Das Programmpaket schützt sehr gut vor Viren, wehrt Angriffe aber nur mangelhaft ab. Softwin verkauft seinen Virenscanner aber auch solo. Der heißt dann Bitdefender 8 Standard. Preis: rund 25 Euro. […] BitDefender 8 Standard und Zone Alarm Pro sind sogar noch besser als die Testsieger in den Einzeldisziplinen Firewall und Virenschutz.

Alle Daten des Tests im Ãœberblick: www.stiftung-warentest.de[2]

(via www.golem.de, www.pcwelt.de)

Google Desktop: Doppel-Agent 003 auf der Suche (Update)

von Stefan Evertz am 13.02.06 um 11:32 Uhr | 4 Antworten

Logo 'Google Desktop' Am 9. Februar hat Google eine Beta-Variante der neuen Version 3 von „Google Desktop“ veröffentlicht (Download Beta-Version 3: desktop.google.com[1], englisch; Download Version 2: desktop.google.de). Diese sog. „Desktopsuche“ durchsucht alle Dateien auf dem Computer (=“Desktop“) des Benutzers und bietet somit die Chance, die zahllosen Daten wiederzufinden, die sich heutzutage auf unseren Computern ansammeln (siehe auch „Copernic Desktop Search – Herr der Daten-Massen„).

Für durchaus nachvollziehbare Aufregung hat nun eine neue Funktion bei dieser Software gesorgt: Mit der Funktion „Search Across Computers“ können Daten auch über mehrere Computer hinweg gesucht werden (z.B. auf dem Haupt-PC und dem Notebook). Hierzu werden die Daten zentral auf den Google-Servern gespeichert (siehe auch Privacy Policy unter desktop.google.com[2]):

The Google Desktop application indexes and stores versions of your files and other computer activity, such as email, chats, and web history.
(…)
If you choose to enable Search Across Computers, Google will securely transmit copies of your indexed files to Google Desktop servers, in order to provide the feature.

Weiterlesen →