Security

Gerade eben habe ich von auf heise.de  in einem Artikel von Schwachstellen in OpenSSL unter Debian gelesen. Vorweg: Das Security-Problem betrifft alle Betriebssysteme (auch Windows) und ist daher durchaus ernst zu nehmen. Manchmal (nein eigentlich ja immer) bin ich ja dankbar, dass ich ein Gentoo fahre…denn nur Debian-Derivate erzeugten im Zeitraum September 2006 bis Mai 2008 (also immer noch) unsichere Schlüssel und erlauben Angreifern somit ein mitschneiden und dekodieren des Datenverkehrs. Das Problem in Openssl betrifft auch SSH-Zugänge, SSL-Verbindungen für Mail, DNS, Jabber und Webserver. Wer ein Debian fährt, sollte auf jeden Fall diesen Artikel  von Heise lesen, der einige Lösungsmöglichkeiten anbietet. Hab bei mir grad alles durchgetestet, dankbarerweise sind soweit keine Probleme zu sehen ;) ...

Heute habe ich mit der Release Preview von Windows 8 ein bisschen herumgespielt. Interessant fand ich die Verknüpfung mit einem live-Account, der mein Benutzerkonto online synct. Nette Idee, hat aber den Haken, dass ich mich mit dem Passwort meines Live-Accounts auch am Rechner anmelden muss. Das ist bei mir ein Problem, da ich ausschließlich den Keepass Passwortmanager für meine Passwörter nutze und somit Passwörter habe, die ich mir nicht merken kann. Um das zu umgehen bietet Windows 8 zwei praktische Funktionen. Zum einen den Login per PIN, den ich hier beschreibe. Und zum anderen den Login per Bild, zu dem ich noch kommen werde. Ich nutze für das folgende Tutorial ein Englisches Windows 8, die Scritte sind aber auf Deutsch recht ähnlich. ...

Letztens hatte ich noch über Microsoft Office 365 berichtet, welche nur 16 Zeichen Passwörter zulassen, heute bin ich auf einen Onlineshop gestoßen, der sogar nur 12 Zeichen und keine Sonderzeichen zulässt. Auf omengo.de gesehen: Da frage ich mich ja: Warum? Die einzige logische Erklärung: Für die Passwörter wird kein Hashing-Mechanismus verwendet, sodass die Tabellenspalte eben einfach nur 12 Zeichen hergibt und man das deswegen begrenzen muss. Wenn Hashing verwendet wird, dann ist es einfach nur sinnbefreit, denn der Unterschied der CPU-zeit von 12 auf 64 Zeichen eines Passworts ist vernachlässigbar (aus meiner Sicht, man möge mich korrigieren). Ein Gedankengang noch: 2010 hatte Heise geschrieben  , dass man mindestens 12 Zeichen in einem Passwort verwenden sollte. Das war 2010, die Rechnergeschwindigkeit ist ja nicht stehen geblieben. ...

Soeben habe ich meinen ersten Microsoft Office 365  Account bekommen und musste bei der Änderung meines initialen Passworts erstmal lachen. Laut und Herzlich. Aber seht selbst: ...

Easy to learn, Easy to work, Easy to root. Man fragt sich manchmal, was sich ein Hersteller bei manchen Dingen denkt…Asus schafft es immer wieder, diesen Gedanken bei mir zu wecken. Vor etwa einem Jahr wurde von dem beliebten SMB-Server und -Client “Samba” die Version 3.0.24 veröffentlicht, welche mit einigen Angriffsmöglichkeiten  versehen ist (Betroffene Versionen: 3.0.0 - 3.0.25rc3). Derzeit aktuell ist die Version 3.0.28 (erschienen am 10. Dezember 2007), welche diese Bugs natürlich behoben hat. Die Tester  von RISE Security konnten die angeschlagene Version 3.0.24 nun auf dem eeePC entdecken und darüber Root-Zugriff auf dem integrierten Xandros erlangen. Derzeit steht auch noch kein Update für Samba seitens Asus zur Verfügung… ...

Gerade eben habe ich auf heise.de einen Hinweis zur Absicherung der neuen Wordpress Versionen größer 2.5 gelesen. Seit 2.5 gibt es einen neuen Login-Mechanismus, dessen Daten durch einen “SECRET_KEY” extra geschützt werden. Bei einer Neuinstallation wird dieser automatisch in der wp-config.php gesetzt, bei einem Update ist dies nicht der Fall. Dieser kann jedoch einfach gesetzt werden. Man öffne zunächst eine Seite der Wordpressmacher  , die einen solchen SECRET_KEY erzeugt. Anschließend muss man die wp-config.php öffnen und eine folgenden Zeilen suchen, die sich je nach Sprache unterscheiden: Englische Installation: ...