Security

Gerade eben habe ich von auf heise.de  in einem Artikel von Schwachstellen in OpenSSL unter Debian gelesen. Vorweg: Das Security-Problem betrifft alle Betriebssysteme (auch Windows) und ist daher durchaus ernst zu nehmen. Manchmal (nein eigentlich ja immer) bin ich ja dankbar, dass ich ein Gentoo fahre…denn nur Debian-Derivate erzeugten im Zeitraum September 2006 bis Mai 2008 (also immer noch) unsichere Schlüssel und erlauben Angreifern somit ein mitschneiden und dekodieren des Datenverkehrs....

Heute habe ich mit der Release Preview von Windows 8 ein bisschen herumgespielt. Interessant fand ich die Verknüpfung mit einem live-Account, der mein Benutzerkonto online synct. Nette Idee, hat aber den Haken, dass ich mich mit dem Passwort meines Live-Accounts auch am Rechner anmelden muss. Das ist bei mir ein Problem, da ich ausschließlich den Keepass Passwortmanager für meine Passwörter nutze und somit Passwörter habe, die ich mir nicht merken kann....

Letztens hatte ich noch über Microsoft Office 365 berichtet, welche nur 16 Zeichen Passwörter zulassen, heute bin ich auf einen Onlineshop gestoßen, der sogar nur 12 Zeichen und keine Sonderzeichen zulässt. Auf omengo.de gesehen: Da frage ich mich ja: Warum? Die einzige logische Erklärung: Für die Passwörter wird kein Hashing-Mechanismus verwendet, sodass die Tabellenspalte eben einfach nur 12 Zeichen hergibt und man das deswegen begrenzen muss. Wenn Hashing verwendet wird, dann ist es einfach nur sinnbefreit, denn der Unterschied der CPU-zeit von 12 auf 64 Zeichen eines Passworts ist vernachlässigbar (aus meiner Sicht, man möge mich korrigieren)....

Soeben habe ich meinen ersten Microsoft Office 365  Account bekommen und musste bei der Änderung meines initialen Passworts erstmal lachen. Laut und Herzlich. Aber seht selbst: Passwörter kann man also nur in den Längen von 8-16 Zeichen erstellen, was meines Erachtens in der heutigen Zeit einfach Quatsch ist. Eine Begrenzung auf 64 Zeichen kann ich verstehen, um die Systemlast für die Passwortverschlüsselung gering zu halten (und selbst da lach ich drüber), aber 16 Zeichen ist einfach ein Witz....

Easy to learn, Easy to work, Easy to root. Man fragt sich manchmal, was sich ein Hersteller bei manchen Dingen denkt…Asus schafft es immer wieder, diesen Gedanken bei mir zu wecken. Vor etwa einem Jahr wurde von dem beliebten SMB-Server und -Client “Samba” die Version 3.0.24 veröffentlicht, welche mit einigen Angriffsmöglichkeiten  versehen ist (Betroffene Versionen: 3.0.0 - 3.0.25rc3). Derzeit aktuell ist die Version 3.0.28 (erschienen am 10. Dezember 2007), welche diese Bugs natürlich behoben hat....

Gerade eben habe ich auf heise.de einen Hinweis zur Absicherung der neuen Wordpress Versionen größer 2.5 gelesen. Seit 2.5 gibt es einen neuen Login-Mechanismus, dessen Daten durch einen “SECRET_KEY” extra geschützt werden. Bei einer Neuinstallation wird dieser automatisch in der wp-config.php gesetzt, bei einem Update ist dies nicht der Fall. Dieser kann jedoch einfach gesetzt werden. Man öffne zunächst eine Seite der Wordpressmacher  , die einen solchen SECRET_KEY erzeugt. Anschließend muss man die wp-config....