Weiterlesen »

Ich geb ja zu, ich kaufe Klamotten bei Metro. Der Markt mit den besonderen Sicherheitsmaßnahmen. Weiterlesen »

Heute habe ich diesen Artikel auf Telepolis gelesen. Man muß jetzt als Passagier auf US-Flügen eine Knarre mit an Bord nehmen, damit einem die Kamera nicht geklaut wird. Und das wegen der Anti-Terror-Maßnahmen. Ich werde wahrscheinlich 3-4 Wochen brauchen, um mit dem Kopfschütteln fertig zu sein…

Kürzlich hatte ich einen RSA SID800 SecurID-Token zum Test. Weiterlesen »

Heute wieder mal im Elektro-Markt… Weiterlesen »

Nu hat ich schon zwei Blog-Einträge zu den world writable-Rechten der Linux-Sourcen geschrieben. Heute kam der 2.6.18-Kernel raus. Weiterlesen »

Bruce Schneier berichtet in seinem Blog, daß die NIST in ihrer Special Publication 800-88, Guidelines for Media Sanitization schreibt:

Encryption is not a generally accepted means of sanitization. The increasing power of computers decreases the time needed to crack cipher text and therefore the inability to recover the encrypted data can not be assured.

Wissen die etwa etwas, was wir nicht wissen? Oder fehlt denen die Sachkunde?

Kommentare?

Vor ein paar Tagen hatte ich mal die Frage aufgeworfen, warum die Linux-Kernel-Sourcen eigentlich mit den Zugriffsrechten World-Writable verteilt werden. Mir war daraufhin vorgeworfen worden, daß ich von Security keine Ahnung hätte, weil ich mich an allgemein schreibbaren Dateien störte. Obwohl ich dazu gar nichts mehr schreibe, geht der Spuk weiter, ich bekomme direkt oder als Cc: ständig weitere Mails mit absurden Standpunkten: Weiterlesen »

Heute wurde im Radio gefragt, woher der Stinkefinger (Autofahrer-Gruß, sonstige LMAA-Geste: Mittelfinger nach oben) kommt. Verblüffend zu hören, daß die Geste ihren Hintergrund in der Security hat.

Weiterlesen »

Linux-Kernel kompiliere ich seit fast dem Anfang von Linux an. Damals, als die Kompilation noch den ganzen Mann erforderte und die erste Linux-Distribution noch auf ein paar Disketten paßte. Ich kompiliere Linux-Kernel bis heute.

Weiterlesen »

Was die Deutschen treiben, ist auch nicht besser. Der Verfassungsschutz soll “Emails auf Festplatten” lesen dürfen,
Weiterlesen »

Zwei Vorgänge aus dem anglikanischen Recht können dem rechts- und sicherheitsbewußten Informatiker (oder auch jedem Bürger) ernsthaft Sorgen bereiten:

Weiterlesen »

So, nun hab ich auch mal ein Blog eingerichtet. Gibt ja erst 70 Millionen Blogs, da fehlt ganz sicher noch meines.

Ich hab mir dazu WordPress ausgesucht, weil es mir zunächst ausgereift und gut zu bedienen vorkam. Pustekuchen. Mit der Sicherheit ist es nicht weit her.

Sämtliche Passworte und Cookies werden im Klartext übertragen. (Vorsicht also für registrierte Benutzer.) Das ist natürlich nicht schön, ein Blog auch über Sicherheit zu machen und dann das Administrationspasswort im Klartext rüberzuschicken. Die Lösung wäre, das Blog nochmal im HTTPS-Server einzublenden, wie auch schon im WordPress-Forum verschiedentlich diskutiert und experimentiert wurde.

Nur: WordPress sträubt sich beharrlich dagegen, die Zugangsdaten verschlüsselt zu übertragen. Sämtliche Links werden absolut herausgegeben, womit man die Spiegelung wieder auf die unverschlüsselte Seite zurücklinkt. Mit einigen Tricks und Rewrites hab ich es hinbekommen, laufe dann aber in das nächste Problem: Manche der WordPress-Seiten verwenden doch relative URLs, d.h. berechnen sie aus dem Request. Ein gespieltes Blog taucht daher unter zwei verschiedenen Unterpfaden auf. Die Cookies, die es setzt, gelten aber nur für jeweils einen davon. So kann es passieren, daß sich der Browser in einer Endlosschleife verfängt: Die Admin-Seite sieht das Cookie nicht und redirected einen erst einmal zur Anmeldeseite. Die aber sieht das Cookie, erkennt, daß man schon angemeldet ist, und redirected einen sofort wieder zurück. Und so weiter. Nach dem dritten Mal wird’s dem Browser zu blöd und er gibt beleidigt ne Fehlermeldung aus. Da haben offenbar verschiedene Autoren dran geschrieben und sich nicht abgestimmt. Gar nicht schön.
Im WordPress-Forum wird eine Methode vorgeschlagen, die an sich schon bemerkenswert ist: Im normalen Blog (unverschlüsselt, virtueller Webserver) wird einfach für die Admin-Seiten ein redirect auf die verschlüsselten Seiten eingerichtet. Das führt zu dem absurden Verfahren, daß der Browser zunächst einen Request (mit Passwort, Cookie usw.) an die unverschlüsselte Seite schickt, und auf die verschlüsselte redirected. Das geht so schnell, daß der Admin davon nichts sieht und subjektiv glaubt, immer auf verschlüsselten Seiten zu arbeiten. Zwischendrin gibt’s dann immer einen unverschlüsselten Zugriff, damit der Angreifer auch was davon hat. Bitte, damit ist beiden Seiten gedient. Security kann ja so einfach sein…

Ich bin mal gespannt, was zuerst passiert: Ein Einbruch in die Webseite oder für den Inhalt verklagt zu werden…

Hadmut Danisch