f-thies.de

Erste Sicherheitslücke im Google Chrome geschlossen

Thies — Sat, 10 Mar 2012 09:10:43 +0000

Der Google Chrome ist bisher nicht durch Sicherheitslücken aufgefallen, was vor allem auch in der engen Zusammenarbeit zwischen Google und Sicherheitsfachleuten begründet liegt. Google bietet sogar finanzielle Anreize für das Aufspüren von Sicherheitslücken im Chrome-Browser: so wurde im Rahmen des Pwn2Own-Browser-Hacking-Wettbewerbs ein mit 60.000 US-Dollar dotierten Sonderpreis namens Pwnium für den Ersten ausgeschrieben, der es schafft, das als besonders sicher geltende Sandbox-Modell des Chrome vollständig zu umgehen.

Der russische Sicherheitsexperte Sergej Glasunow schaffte dann – erstmalig – einen Angriff, bei dem von außen das Sicherheitsmodell von Chrome so ausgetrickst wurde, dass in der Folge Zugriff auf das darunter liegende Windows-7-System erreicht wurde. Konkrete Details, worum es sich bei der Sicherheitslücke handelte, wurden aber nicht genannt. Lediglich, dass ein Universal Cross Site Scripting-Problem und ein Fehler in der History die Ursache waren. Google reagierte schnell und bereits 24 Stunden nach Bekanntwerden der Lücke wurde nun ein neues Update auf die Chrome Version 17.0.963.78 veröffentlicht, welches die betreffende Lücke beseitigt.

Sicherheits-Updates für den Firefox 10 erschienen

Thies — Sat, 18 Feb 2012 20:19:57 +0000

Die Mozilla Foundation hat für den Firefox 10 innerhalb weniger Tage zwei Sicherheits-Updates v10.0.1 und v10.0.2 veröffentlicht, mit denen kritische Sicherheitslücken geschlossen werden.

Hierbei handelt es sich um Schwachstellen mit der höchsten Risikobewertung, d.h. diese können von Angreifern zum Einschleusen und Ausführen von Schadcode ausgenutzt werden. Dazu reicht agg. bereits der Besuch einer entsprechend präparierten Webseite aus. Laut Mozilla steckt die Sicherheitslücke nur in Firefox 10, ältere Versionen enthalten den Fehler nicht. Ein zeitnahes Update wird daher empfohlen!

Neben den Sicherheitslücken wurden aber auch eine Reihe von Absturzursachen beseitigt. So soll ein Fehler im Zusammenhang mit Java-Applets behoben sein, durch den es bei der Texteingabe zu Hängern kommen konnte. Über die nachstehenden Links gelangt Ihr zur Downloadseite bzw. zur Übersicht der Änderungen im Detail:

Firefox – Downloadseite
Offizielle Releasenotes Firefox 10.0.1

Firefox 10 steht zum Download bereit

Thies — Tue, 31 Jan 2012 18:16:31 +0000

Gut 6 Wochen nach dem letzten Release hat die Mozilla Foundation wie geplant den Firefox 10 veröffentlicht. Aufgrund dieses kurzen Update-Zyklus, ein Trend den Google mit dem Chrome eingeführt hat, gibt es natürlich auch keine grossen Änderungen zu verkünden. Eine Neuerung in Firefox 10 ist die versteckte, nur bei Bedarf erscheinende Vorwärts-Schaltfläche, was mehr Platz in der Navigationsleiste schafft. Und es werden die Grundlage für das geplante stillen Update integriert, das mit der Veröffentlichung des Firefox 13 eingeführt werden soll. Damit kann sich der Browser automatisch im Hintergrund aktualisieren, Inkompatible Add-Ons werden dabei deaktiviert.

Außerdem werden sogenannte Extended Support Releases (ESR) eingeführt, die sich an den Einsatz in Unternehmen richten. Um hier nicht alle sechs Wochen ein Update durchführen zu müssen, wird Mozilla 54 Wochen lang jede Firefox-Version mit Sicherheits-Updates versorgen. Dabei ändert sich die Versionsnummer dann nur in der letzten Stelle (10.0, 10.0.1, 10.0.2…), für die Nicht-ESR-Versionen bleibt es bei einem Update-Zyklus von sechs Wochen. Firefox 11 soll am 13. März 2012 erscheinen, am 24. April 2012 dann Firefox 12.

Über die nachstehenden Links gelangt Ihr zur Downloadseite bzw. zur Übersicht aller Änderungen im Detail:

Firefox – Downloadseite
Offizielle Releasenotes Firefox 10

Social Plugins / Like-Buttons sind datenschutzwidrig

Thies — Tue, 03 Jan 2012 22:53:11 +0000

Social Media im Internet hat in den letzten Jahren deutlich an Bedeutung gewonnen und immer mehr Website-Betreiber nutzen die Möglichkeiten der Vernetzung via Facebook, Twitter, Google+ und Co. Insbesondere die Share- & Like-Buttons zur Weiterempfehlung stehen hier im Vordergrund und gerne greift man auf die angebotenen Social Plugins zurück, um schnell und einfach diese in den eigenen Webauftritt zu integrieren.

Seit längerem stehen Google, Facebook & Co. in der Kritik, dass deren Datensammlung intransparent ist, und insbesondere in Deutschland wird seit Monaten diskutiert, inwiefern hier die Datenschutzgesetze tangiert werden. Im Dezember hat nun der Düsseldorfer Kreis, ein Zusammenschluß der deutschen Datenschutz- Aufsichtsbehörden, Stellung zum Datenschutz in sozialen Netzwerken genommen und kommt zum Ergebnis, daß die Verwendung von Social Plugins datenschutzwidrig ist:

Das direkte Einbinden von Social Plugins, beispielsweise von Facebook, Google+ oder Twitter, in Websites deutscher Anbieter, wodurch eine Datenübertragung an den jeweiligen Anbieter des Social Plugins ausgelöst wird, ist ohne hinreichende Information der Internetnutzerinnen und -nutzer und ohne ihnen die Möglichkeit zu geben, die Datenübertragung zu unterbinden, unzulässig. In Deutschland ansässige Unternehmen, die durch das Einbinden von Social Plugins eines Netzwerkes auf sich aufmerksam machen wollen oder sich mit Fanpages in einem Netzwerk präsentieren, haben eine eigene Verantwortung hinsichtlich der Daten von Nutzerinnen und Nutzern ihres Angebots.

Der geneigte Leser könnte nun zu dem – sicherlich nicht unberechtigten – Schluß kommen, dass man sich als Betreiber einer Website durch die Aufnahme von Datenschutzerklärungen zu diesen Social Plugins hier rechtlich wappnen kann und entsprechende Mustertexte gibt es ja bereits. Auch ich habe im Impressum dieser Website unter Punkt 8 und 9 (Stand Impressum vom 03.01.2012) solche Hinweise inkl. Verlinkungen zu den Richtlinien bei Facebook, Twitter und Google aufgenommen. Doch auch das ist nach der Verlautbarung des Düsseldorfer Kreises nicht ausreichend:

Sie (d.h. die Anbieter deutscher Websites, Anm. d. Red.) laufen Gefahr, selbst Rechtsverstöße zu begehen, wenn der Anbieter eines sozialen Netzwerkes Daten ihrer Nutzerinnen und Nutzer mittels Social Plugin erhebt. Wenn sie die über ein Plugin mögliche Datenverarbeitung nicht überblicken, dürfen sie daher solche Plugins nicht ohne weiteres in das eigene Angebot einbinden.

Da bei Websites mit aktivierten Social Plugins Plugin ja bereits Daten über den Nutzer erfasst werden, sobald dieser die Seite in seinem Browser aufruft und somit noch bevor irgendein Button betätigt wird, können diese Datenschutzerklärungen nicht ausreichend greifen.

Und nun?

Grundsätzlich kann ich die Auffassung unserer obersten Datenschützer schon nachvollziehen. Social Plugins, die ungefragt Daten über den Nutzer sammeln und diese ungefiltert und ohne Information über deren Inhalt versenden, das gefällt auch mir nicht und hierzu muss es ausdrückliche Regelungen geben. Hierzu sind Gesetzgeber und Gerichte gefordert, für verbindliche Lösungen zu sorgen, die ausdrücklich nicht auf dem Rücken von einfachen Betreibern von Websites ausgetragen werden. Doch diese Regelungen stehen aus und werden sicherlich (leider) nicht kurzfristig geschaffen sein.

Wer also auf Nummer Sicher gehen und jeden Ansatz für eine Abmahnung vermeiden will, müsste komplett alle Social Media Plugins und Buttons entfernen. Aller höchstens könnte man noch sog. statische Links zu Facebook & Co. anbieten. Peer Wandiger hat in seinem Blogprojekt sehr schöne und ausführliche Anleitungen zu Facebook und Twitter sowie zu Google+ erstellt.

Ich persönlich finde den Weg von heise.de – 2 Klicks für mehr Datenschutz für zielführend, da hier der Besucher im Rahmen seiner Eigenverantwortung selber entscheidet, ob er einen Datentransfer an die Social Networks zuläßt. Nur leider birgt auch diese Lösung rechtliche Risiken. Da Facebook & Co. nicht wirklich offenlegen, was mit den Nutzerdaten passiert und um welche Daten es sich konkret handelt, können Nutzer dieser Buttons keine wirksame Einwilligung abgeben. Und damit trägt wiedermal der Betreiber der Website das Risiko.

Und zum Schluss noch ein Hinweis in eigener Sache: dieser Artikel stellt selbstverständlich keine Rechtsberatung dar! Ich bin kein Jurist, sondern lege hier lediglich meine persönliche Meinung dar.

WordPress 3.3.1 veröffentlicht

Thies — Tue, 03 Jan 2012 21:23:08 +0000

Heute wurde für die bekannte Blogsoftware Wordpress ein Security and Maintenance Release auf die Version 3.3.1 online gestellt. Das Update war notwendig geworden, um 15 Bugs zu beheben sowie eine kritische Sicherheitslücke eines potentiellen XSS-Angriffs zu schliessen, die mit dem letzten Update auf die Version 3.3 eingebaut wurden. Zu einem Update wird daher dringend geraten!

Eine Übersicht aller Änderungen und Neuerungen kann man in der Changelog nachlesen, zum Download der deutschen Version gelangt Ihr über den nachfolgenden Link:

Zum Download von Wordpress 3.3.1

Firefox 9 veröffentlicht

Thies — Wed, 21 Dec 2011 18:58:55 +0000

Knapp 7 Wochen nach dem Release der Version 8 hat nun die Mozilla Foundation den Firefox 9 veröffentlicht. Die wichtigste Änderung stellt sicherlich die Nutzung von Type Inference dar. Mithilfe des JIT Compilers dessen soll ein effizienterer Code erzeugt werden, was Leistungssteigerungen bei der Verarbeitung von Javascripts von bis zu 30% ermöglicht!

Weitere Änderungen sind eine verbesserte Intergration in das Mac-Betriebssystem OS X Lion sowie Erweiterungen im Bereich der HTML 5- und CSS-Unterstützung. Und ein paar kleine Bugs wurden auch noch beseitigt. Über die nachstehenden Links gelangt Ihr zur Downloadseite bzw. zur Übersicht aller Änderungen im Detail:

Firefox – Downloadseite
Offizielle Releasenotes Firefox 9

WordPress 3.3 erschienen

Thies — Tue, 13 Dec 2011 20:37:26 +0000

Die freie Blogsoftware Wordpress liegt nun in der Version 3.3 mit dem Codenamen Sonny vor – benannt nach dem Jazz-Saxophonisten Sonny Stitt. Mit mehr als 580 Änderungen und Neuerungen handelt es sich um ein sehr umfangreiches Update, wobei das neue Upload-Tool sicherlich zu den markantesten Änderungen zählt. Dank der neuen Upload-Funktion können nun Dateien per Drag & Drop zu einem Posting hinzugefügt werden, sofern der Browser die dazu notwendigen HTML5-APIs unterstützt. Ausserdem können nun auch 7z- und Rar-Archive hochgeladen werden.

Ferner wurden die Admin Bar und Kopfzeile des Dashboards zu einer neuen Werkzeugleiste zusammengefasst, um die Benutzerfreundlichkeit zu verbessern. Die Menus des Dashboards sind nun mit Ausklappmenüs versehen, die sich öffnen, wenn die Maus über einem Menüpunkt steht. Und neu eingeführt wurde die Option, Tumblr-Inhalte zu importieren, um Blogs aus der populären Wordpress-Alternative zu übernehmen.

Eine Übersicht aller Änderungen und Neuerungen kann man in der Changelog nachlesen, zum Download der deutschen Version gelangt Ihr über den nachfolgenden Link:

Zum Download von Wordpress 3.3

Tutorial: Website-Spammer anhand IP umleiten

Thies — Mon, 14 Nov 2011 18:20:40 +0000

Wie kann man gegen unliebsame Besucher auf der eigenen Website vorgehen? Da ich am Wochenende einen Spammer zu Gast hatte, der versuchte via Server aus der Ukraine das Gästebuch auf einer meiner Websites zuzumüllen, musste ich mich mal wieder mit dem Thema IP-Sperre / IP-Umleitung beschäftigen und habe dazu gleich mal ein kleines Tutorial gepostet, das vielleicht dem / der Einen unter Euch helfen kann:

Zum Tutorial Website-Zugriffe anhand einer bestimmten IP-Adresse sperren oder umleiten

P.S.: Ich hoffe natürlich, dass Ihr nie die Notwendigkeit habt, aber das hatte ich ja auch gehofft ….

Firefox 8 erschienen

Thies — Tue, 08 Nov 2011 20:49:15 +0000

Knapp fünf Wochen nach dem Release der Version 7 hat nun die Mozilla Foundation den Firefox 8 online gestellt. Mit der neuen Version des Browsers gibt es Verbesserung im Themenbereich Sicherheit, aber auch eine höhere Startgeschwindigkeit und ein effizienterer Umgang mit der Speicherverwaltung.

U.a. werden beim ersten Aufruf einer neuen Browser-Version ab sofort alle installierten Addons auf ihre Kompatibilität hin überprüft, wobei Anwender dann auswählen können, welche Addons weiterhin genutzt werden sollen. Die mit einer früheren Version des Firefox installierten Addons sind dabei vorausgewählt, ganz im Gegensatz zu den Addons, die über andere Programme installiert wurden. Diese sind zunächst deaktiviert, um unerwünschte Werbe-Toolbars etc. zu vermeiden. Auch werden Addons, die nicht mit der aktuellen Browser-Version kompatibel sind, ebenfalls deaktiviert, aber in die Update-Prüfung einbezogen und ggf. später aktualisiert.

Ebenfalls neu ist, dass der Anweder festlegen kann, ob beim nächsten Browser-Start die Tabs der letzten Sitzung wiederhergestellt werden sollen oder nicht. Damit soll insbesondere die Startgeschwindigkeit verbessert werden. Ferner kann festgelegt werden, ob die Tab-Inhalte sofort geladen werden oder erst dan, wenn der jeweilige Tab angewählt wird.

Über die nachstehenden Links gelangt Ihr zur Downloadseite bzw. zur Übersicht aller Änderungen im Detail:

Firefox – Downloadseite
Offizielle Releasenotes Firefox 8

Firefox 7 veröffentlicht

Thies — Thu, 29 Sep 2011 17:22:28 +0000

Die Zeitpsanne zwischen den Veröffentlichungen neuer Versionen des Browsers Firefox werden immer kürzer! Gerademal sechs Wochen sind seit der Version 6 vergangen, da hat die Mozilla Foundation bereits den Firefox 7 online gestellt.

Wichtigste Änderung für die meisten Nutzer dürfte die neue Speicherverwaltung sein, mit der die Performance deutlich verbessert wird. Dazu kommt, dass die neuen Programmroutinen für einen um rund 30% reduzierten Speicherverbrauch sorgen. Aber auch einige Bugs wurden wieder beseitigt, so dass ein Update zeitnah empfohlen wird.

Nachstehend findet Ihr die Links zur Downloadseite bzw. zur Übersicht aller Änderungen im Detail:

Firefox – Downloadseite
Offizielle Releasenotes Firefox 7