Dienstag, 30. August 2011

Thema Sicherheit - neue Einträge

Jemand aus unserem Netzwerk hat sich mal wieder mit dem Thema Computer und Sicherheit auf einen neueren Stand gebracht und nach brauchbaren Aufsätzen recherchiert. Er hat sich freundlicherweise bereit erklärt, die wichtigsten Aufsätze in das User-Archiv einzutragen.

Auszug aus dem User-Archiv:

Suchergebnisse: "Sicherheit"

http://www.dfn-cert.de/dokumente/workshop/2011/beitragmueller.pdf
Rubrik: Webseiten; Typ: Sonstige_Literatur
http://www.dfn-cert.de/dokumente/workshop/2011/folienpetrlic.pdf
Rubrik: Webseiten; Typ: Sonstige_Literatur
http://www.dfn-cert.de/dokumente/workshop/2011/folienstelte.pdf
Rubrik: Webseiten; Typ: Sonstige_Literatur
http://www.dfn-cert.de/dokumente/workshop/2011/folienmetzger.pdf
Rubrik: Webseiten; Typ: Sonstige_Literatur
http://www.dfn-cert.de/dokumente/workshop/2011/foliengerling.pdf
Rubrik: Webseiten; Typ: Sonstige_Literatur
http://www.dfn-cert.de/dokumente/workshop/2011/folienvoelker.pdf
Rubrik: Webseiten; Typ: Sonstige_Literatur
http://www.dfn-cert.de/dokumente/workshop/2011/folienliebchen.pdf
Rubrik: Webseiten; Typ: Sonstige_Literatur
http://www.dfn-cert.de/dokumente/workshop/2011/foliensakal.pdf
Rubrik: Webseiten; Typ: Sonstige_Literatur
http://www.dfn-cert.de/dokumente/workshop/2011/folienwegener.pdf
Rubrik: Webseiten; Typ: Sonstige_Literatur
http://www.dfn-cert.de/dokumente/workshop/2011/foliengabriel.pdf
Rubrik: Webseiten; Typ: Sonstige_Literatur
https://www.antispam-ev.de/wiki/Sicherheit_im_Internet
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
https://www.antispam-ev.de/wiki/Virenschutz
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
https://www.antispam-ev.de/wiki/Sicherung_der_Registry
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
https://www.antispam-ev.de/wiki/Firefox-Browser_absichern
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
https://www.antispam-ev.de/wiki/Werbeblocker_f%C3%BCr_Browser
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
https://www.antispam-ev.de/wiki/Virenbefall_aus_Mails_heraus_vorbeugen
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
https://www.antispam-ev.de/wiki/Firewall
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
https://www.antispam-ev.de/wiki/Botnetz
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
https://www.antispam-ev.de/wiki/DDoS
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
https://www.antispam-ev.de/wiki/Exploits
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
https://www.antispam-ev.de/wiki/IP-Adresse
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
https://www.antispam-ev.de/wiki/Hosts-Datei
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
https://www.antispam-ev.de/wiki/Dialer
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
http://wp-magazin.ch/blog/sicherheitsluecke-timthumb-php-script-4627/
Rubrik: Webseiten; Typ: Sonstige_Literatur
http://www.macwelt.de/artikel/_Ratgeber/377828/neue_sicherheitsoptionen_in_mac_os_x_lion_mit_filevault/1
Rubrik: Betriebssysteme; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/anleitung/online-banking-mit-dem-browser
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/anleitung/der-weg-zum-online-banking
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/anleitung/checkliste-was-tun-wenn-sie-vermuten-phishing-opfer-geworden-zu-sein
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/anleitung/technische-hilfsmassnahmen-gegen-phishing
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/anleitung/checkliste-sicherer-umgang-mit-tans
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/anleitung/checkliste-sicherer-umgang-mit-der-chipkarte
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/anleitung/checkliste-sicherer-umgang-mit-der-pin
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/glossary/term/688
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/anleitung/verhaltensregeln-zum-vorbeugen-von-phishing-schaeden
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/anleitung/checkliste-wie-erkenne-ich-phishing-webseiten
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/anleitung/checkliste-wie-erkenne-ich-phishing-e-mails
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/anleitung/checkliste-umsichtiges-verhalten-beim-online-banking
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/anleitung/checkliste-sicherer-computer
Rubrik: Sonstige Themen; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/artikel/e-mail-aber-sicher
Rubrik: Internet; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/thema/e-mail-verschluesselung
Rubrik: Internet; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/artikel/internetbetrueger-phishen-nach-geld
Rubrik: Internet; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/anleitung/thunderbird-2-fuer-sichere-e-mail-kommunikation-einrichten
Rubrik: Internet; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/anleitung/outlook-express-6-sicher-einrichten
Rubrik: Internet; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/anleitung/apple-mail-sicher-einrichten
Rubrik: Internet; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/anleitung/checkliste-wlan-router-einrichtung
Rubrik: Netzwerk; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/anleitung/einrichtung-des-wlan-routers
Rubrik: Netzwerk; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/anleitung/sichere-verbindung-zum-eigenen-wlan
Rubrik: Netzwerk; Typ: Sonstige_Literatur
http://www.verbraucher-sicher-online.de/anleitung/wlan-verbindung-sicher-einrichten-mac-os-x-10-5
Rubrik: Netzwerk; Typ: Sonstige_Literatur
Initiative: Mehr Sicherheit für WordPress durch den Schutz von WP-Admin
Rubrik: Webseiten; Typ: Sonstige_Literatur
http://www.texto.de/9-quick-tipps-zur-sicherheit-oder-hilfe-mein-blog-wurde-gehackt-547/ rel=bookmark
Rubrik: Webseiten; Typ: Sonstige_Literatur
http://it-republik.de/php/artikel/Usereingaben-mit-der-Filter-Erweiterung-validieren-1564.html
Rubrik: Webseiten; Typ: Sonstige_Literatur
http://www.apple.com/de/support/macbookpro/care/
Rubrik: Hardware; Typ: Sonstige_Literatur
http://www.pc-erfahrung.de/nebenrubriken/wireless-lan/fritzbox-dsl-wlan-router-sicher-einrichten.html
Rubrik: Hardware; Typ: Sonstige_Literatur
http://blogsecurity.net/wpscan
Rubrik: Webseiten; Typ: Sonstige_Literatur
http://www.cywhale.de/sicherheit-wordpress-absichern/
Rubrik: Webseiten; Typ: Sonstige_Literatur
http://www.cywhale.de/5-wichtige-sicherheitstips-fur-wordpress/
Rubrik: Webseiten; Typ: Sonstige_Literatur
http://security.magnus.de/viren-trojaner/artikel/sicherheit-step-by-step.html
Rubrik: Betriebssysteme; Typ: Sonstige_Literatur
http://www.pcpraxis.de/index.php?option=com_content&task=view&id=5392&Itemid=50
Rubrik: Betriebssysteme; Typ: Sonstige_Literatur
http://www.pcpraxis.de/index.php?option=com_content&task=view&id=4892&Itemid=50
Rubrik: Betriebssysteme; Typ: Sonstige_Literatur
http://bueltge.de/wordpress-login-sicherheit-plugin/652/
Rubrik: Webseiten; Typ: Sonstige_Literatur

Gratis-Leitfaden Rechtssichere Internetseiten

Für den Webseitenbetreiber lauern viel zu viele rechtliche Fallstricke.

Der Gratisleitfaden „Rechtssichere Internetseiten“ bietet eine grundlegende Orientierung im Rechtsdschungel Internet. Grundwissen und Vorgaben für das sichere Betreiben von Webseiten werden anhand von Tipps, Checklisten und vielen Praxisbeispielen übersichtlich, verständlich und ausführlich erklärt. Insgesamt geht es auf den 23 Seiten nach aktuellem Stand der Rechtsprechung um die vier Bereiche

  • „Anforderungen an Impressum / Anbieterkennzeichnung“,
  • „Informationspflichten bei Online-Shops“,
  • „Vorgaben des Datenschutzes“ und
  • „Inhaltliche Rechtsverletzungen“.

Dazu gibt es Checklisten zur Überprüfung, Mustertexte für Impressum und Datenschutzerklärungen.

Herausgeber ist das Kompetenzzentrum elektronischer Geschäftsverkehr KEG Saar in Zusammenarbeit mit den Rechtsanwaltkanzleien Dury (Saarbrücken) sowie Kreienberg & Kuntz (Kaiserslautern). Gefördert wurde das Projekt durch das Bundeministerium für Wirtschaft und Technologie.


Das Wichtigste bei solchen Ratgebern ist der  Zeitpunkt des Erscheinens. Ein drei Jahre alter Ratgeber ist bei dem heutigen Stakkato an Gesetzesänderungen eher eine Haftungsfalle, als eine Hilfe. Daher dieser Tipp, denn das Skript ist auf dem Stand Juni 2011.



Zum Leitfaden als PDF-Download.

Montag, 29. August 2011

DoS-Attacken: Denial-of-Service-Angriffe überleben


Denial-of-Service-Attacken können die IT-Infrastruktur eines Unternehmens lahmlegen. Was steckt dahinter und wie können wir uns schützen?"Operation Payback", so nannten die Aktivisten ihre Angriffe auf Banken und Kreditkartenanstalten. Mit Hilfe einer Armee von Freiwilligen sollten die Server bis zum Zusammenbruch belastet werden, was teilweise auch gelang.

Solche  DoS-Attacken  sind nicht erst seit Wikileaks auf dem Vormarsch. Eine Studie des Anbieters Arbor Networks zeigte, dass  DoS-Attacken in 2010 um mehr als 100 Prozent angestiegen sind.

Zu diesem Thema habe ich einen brandaktuellen und ausführlichen Aufsatz von Moritz Jäger auf der "computerwoche" gefunden:



Inhalt und Direktlinks zu den einzelnen Kapiteln:

Sonntag, 28. August 2011

Computersicherheit: NIFIS warnt vor US-Clouds

Deutsche Unternehmen, die Datenbestände an US-amerikanische Cloud-Anbieter auslagern, laufen Gefahr, dass die Daten von den Ermittlungsbehörden der USA konfisziert werden. Auf dieses Gefährdungspotenzial weist die Nationale Initiative für Informations- und Internetsicherheit (NIFIS e.V.) in einer Pressemeldung vom 25. August 2011 hin.

US-Anbieter wie Apple, Google, IBM oder Microsoft unterliegen dem sog. „Patriot Act“, der US-amerikanischen Ermittlungsbehörden weitgehenden Zugriff auf alle Kundendaten erlaubt. Dies gilt ausdrücklich auch dann, wenn die Daten außerhalb des Territoriums der Vereinigten Staaten gespeichert werden.

„Wenn die US-Anbieter gerne auf ihre europäischen Rechenzentren hinweisen, dann ändert dies nichts daran, dass alle dort abgelegten Kundendaten im Zugriff der US-Behörden liegen. Ein solcher Zugriff verstößt eigentlich gegen europäisches Datenschutzrecht“, erklärt Rechtsanwalt Dr. Thomas Lapp, Vorsitzender der Nationalen Initiative für IT- und Internetsicherheit. Häufig wird die Datenübernahme durch die US-Behörden mit einer sog. Gag-Order versehen; das bedeutet, dass Apple, Google, IBM oder Microsoft den betroffenen deutschen Firmen nicht einmal Auskunft darüber geben dürfen, dass ihre Daten in den USA an die Behörden weitergereicht wurden.

„Vom Geschäftsführer oder Vorstand eines deutschen Unternehmens kann man erwarten, dass ihm diese Zusammenhänge klar sind, wenn er zulässt, dass Daten seiner Kunden an einen US-Cloudanbieter ausgelagert werden. Das heißt im Umkehrschluss, dass er dafür auch nach deutschem Recht im Zweifelsfall haftbar gemacht werden kann“, erläutert NIFIS-Chef Dr. Thomas Lapp. „Angesichts dieser Rechtslage ist möglicherweise die Auslagerung an einen deutschen Cloud-Anbieter sicherer“, gibt der Rechtsanwalt zu bedenken und ergänzt: „Grundlegende rechtliche Fragen hierzu müssen zwischen der EU und den USA noch geklärt werden und klare Vereinbarungen zu gemeinsamen Datenschutz-Prinzipien getroffen werden.“

NIFIS Nationale Initiative für Informations- und Internet-Sicherheit e.V. ist eine neutrale Selbsthilfeorganisation, die die deutsche Wirtschaft im Kampf gegen die täglich wachsenden Bedrohungen aus dem Netz technisch, organisatorisch und rechtlich unterstützen möchte. Vornehmliches Ziel der Arbeit der unter dem Dach der NIFIS organisierten Gremien ist es, Vertraulichkeit, Verfügbarkeit und Integrität sowie den sicheren Transport von Daten in digitalen Netzwerken sicherzustellen. Dazu entwickelt die NIFIS seit ihrer Gründung im Jahr 2005 unterschiedliche Konzepte und setzt diese in pragmatische Lösungen um. Zu den Schwerpunkten der Tätigkeit zählen die aktive Kommunikation und die Bereitstellung von Handlungsempfehlungen und Dienstleistungen.

Weitere Informationen: NIFIS e.V., Weismüllerstraße 21, 60314 Frankfurt, Tel.: 069 40 80 93 70, Fax: 069 40 14 71 59, EMail: nifis@nifis.de, Web: www.nifis.de

Freitag, 26. August 2011

Werbung im RSS-Feed hat auch Nachteile

Geld-verdienen-Gurus und Affiliate-Partner vermittelten uns Webmaster, wir sollen auch noch im RSS-Feed Werbung einbauen, damit uns ja keine Verdienstmöglichkeit entgeht. Das hat aber Nachteile. Denn RSS-Feeds sind letztendlich deshalb so populär geworden, weil sie als Quasi-Nachrichtenticker in fremde Webseiten eingebunden werden können. Ein Beispiel sind die User-Archiv-Seiten, wo jeweils themenspezifische RSS-Feeds eingebunden sind.

Wenn da aber Werbund dazwischen ist, dann kommt der Feed-Aggregator durcheinander. Auf der Suche, warum plötzlich ein RSS-Feed von chip.de nicht angezeigt wird, fand ich die Ursache: Chip.de hat Werbung eingebunden. Reichen denn die 1000 Anzeigen in der Printausgabe und in der Online-Ausgabe nicht, muss da auch noch Werbung rein?



Zum Einen stört einfach diese Werbung bei der Wiedergabe , zum anderen vermurkst es den Quelltext so, dass das Einlesen komplett scheitert. Denn wenn mit CDATA gearbeitet wird, wird es einfach kompliziert. Vor allem das Abschneiden des contents auf die ersten paar Sätze kann nicht funktionieren, wenn da Formatierungen, Bilder oder Javascripte enthalten sind.

Na, egal. Es gibt wohl mehr Webmaster wie ich, die nicht die Zeit haben, am php-Script herumzubasteln, damit das Ganze wieder funktioniert. Vor allem, wenn ich nicht weiß, was sich der Anbieter als nächstes einfallen lassen wird.

Ich warf den Feed einfach raus. Leider - ich finde ihn sinnvoll und nützlich, aber was soll ich machen.


Etwas anderes gilt natürlich für Newsletterwerbung. Das ist Werbung durch sinnvoll und stört nicht.

Ein ähnliches Problem ergeben andere Elemente wie z.B. "Bookmark this" oder "Share This" hinter jedem Feed-Item. Hier ein Beispiel aus dem heise-security-Feed:


Jeder Feedbetreiber muss sich also überlegen, ob er eine Einbindung in anderen Webseiten will. Wenn ja, sollte der reine unformatierte Text ohne störende Elemente ausgegeben werden.

Donnerstag, 25. August 2011

LG Düsseldorf bestätigt einstweilige Verfügung in der heutigen mündlichen Verhandlung


Das Landgericht Düsseldorf bestätigte heute, am Donnerstag den 25. August 2011, die vorangegangene einstweilige Verfügung, wonach Samsungs Tablet-PC Galaxy in Deutschland nicht verkauft werden darf.

Heute fand die mündliche Verhandlung statt, die nach dem Rechtsmittel gegen die einstweilige Verfügung anberaumt war. Viele Beobachter glaubten, das Blatt könnte sich hier wenden, da mittlerweile Bilder von iPad-ähnlichen Geräten in Filmen wie Odysse 2001, Star Trek etc. kursieren, außerdem eines der Vergleichsbilder in der Antragsschrift die Größenverhältnisse falsch wiedergebe.


 Das Düsseldorfer Landgericht folgte der Argumentation des US-Konzerns, das koreanische Gerät verletze Rechte von Apple. Samsung war mit seiner Argumentation, es habe lange vor Apples iPad ähnlich aussehende Geräte gegeben, nicht erfolgreich.

Es sei Dringlichkeit geboten, es gebe einen übereinstimmenden Gesamteindruck der später erschienenen Galaxy-Tabs mit Apples iPad, erklärte die vorsitzende Richterin. Deshalb wurde die Entscheidung bestätigt.

Endgültig entschieden ist der Streit damit aber noch nicht, denn dies ist nach wie vor eine Dringlichkeitsentscheidung. In einem darauf folgenden Hauptsacheverfahren (was in diesem Fall ein normaler Unterlassungsklage-Prozess wäre) kann sich noch etwas anderes ergeben, z.B. aufgrund neuer Argumente oder Beweismittel.

Verwirrend für Beobachter war eine andere Entscheidung in Den Haag, gestern am Mittwoch, ebenfalls in einem Streit Apple gegen Samsung.


Dabei ging es diesmal um eine Patentverletzung (offenbar die Bilderanzeige-app betreffend). Das Bezirksgericht von Den Haag ein EU-weites Verkaufsverbot gegen Galaxy-Smartphones verhängt, das am 13. Oktober in Kraft treten soll. Dabei sind angeblich auch das alte Galaxy Tab 7 Zoll und das Samsung Smartphone Galaxy S betroffen.

Allerding, sieht sich Samsung als Sieger des Rechtsstreits.  Denn Samsung muss im Prinzip nur eine App verändern, um seine Geräte weiter anbieten zu dürfen. Wie die niederländische Webseite "Webwerled" berichtet, verhängten die Richter das Verkaufsverbot für Galaxy-Smartphones, weil die auf dem Smartphones installierte Android-App ein Apple-Patent zur Navigation durch Galerien verletzt. Betroffen seien die Android-Versionen 2.2 und 2.3 ("Froyo" und "Gingerbread"). Die Galaxy-Tablets, auf denen das Betriebssystem Android 3.1 installiert ist, seien  von dem Verbot überhaupt nicht betroffen.
Laut Onlinemeldung des  Nachrichtensender n-tv könne Samsung  das Verkaufsverbot mit einem schlichten Update vermeiden. "Wir haben sieben Wochen Zeit, mehr als wir benötigen", wird Samsung-Anwalt Bas Berghuis zitiert


Links


Auch hier wieder wurde in den Medien schlampig gearbeitet und das Verfahren mit Patentstreitigkeiten vermischt. Das ist bei der Lektüre der nachfolgenden Links zu beachten.

Deutsches Gericht gibt Apple recht
http://www.spiegel.de/netzwelt/netzpolitik/0,1518,782389,00.html


Chip.de
http://www.chip.de/news/Verwirrung-um-Galaxy-Tab-Verbot-bestaetigt_51184319.html

Gericht bestätigt Verbot von Galaxy Tab
http://www.stern.de/digital/telefon/patentkrieg-zwischen-samsung-und-apple-gericht-bestaetigt-verbot-von-galaxy-tab-1720459.html

Galaxy darf in Deutschland weiter nicht verkauft werden
http://www.tagesschau.de/wirtschaft/applesamsung110.html

Weitere Artikel der tagesschau:

Donnerstag, 18. August 2011

Security: Die sic VulDB

Wenn Sie mal sehen wollen, was für Sicherheitslücken in den letzten Jahren bei gängiger Software oder Betriebssystemen sowie bei PHP-Skripten registriert wirid, dann können Sie sich eine Übersicht auf den Webseiten der Firma Scip AG ansehen. Diese führt u. a. das Security-Projekt "VulDB":

Die Abteilung Auditing führt seit 2003 eine umfassende Verwundbarkeitsdatenbank in deutscher Sprache. Einfach verständlich werden dort beständig die jüngst publizierten Schwachstellen diskutiert, bewertet und mit einem Expertenkommentar versehen. Unsere Kunden und Partner können damit auf einen grundlegenden Teil unseres Knowhows bezüglich Sicherheitslücken zugreifen.

Das zeigt, wie wichtig ständig Updates bei allen Programmen und Skripten sind!

Mittwoch, 17. August 2011

Mail-Anhang: Neue Variante des ZeuS-Trojaners im Umlauf

Bonn, 30.06.2011/ Update 01.07.2011

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist darauf hin, dass derzeit in großem Umfang Spam-Mails zur Verbreitung einer neuen Variante des Online-Banking-Trojaners "ZeuS" versendet werden.


Die in nahezu fehlerfreiem Deutsch verfassten E-Mails sollen den Empfänger dazu verleiten, einen in der E-Mail enthaltenen Link anzuklicken. Über den Link wird eine Datei mit Namen "Konto055.zip" aus dem Internet heruntergeladen, welche den ZeuS-Trojaner enthält.

Die Betreffzeilen der Spam-Mails lauten unter anderem:

  • "Werkzeuge 425-736",
  • "Die Zahlung 785-774" oder einfach nur
  • "Antwort".

BSI weist auf massenhafte Kompromittierung von Online-Shops hin: veraltete osCommerce-Shops verbreiten Schadprogramme

Bonn, 15. August 2011

Beobachtungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zufolge nutzen Angreifer derzeit verstärkt mehrere Sicherheitslücken in veralteten Versionen des Online-Shop-Systems "osCommerce" aus, um auf diesem System basierende Web-Präsenzen zu manipulieren. Die Angreifer fügen unter Ausnutzung der Sicherheitslücken schädlichen Code auf dem Shop-Server ein, welcher auf so genannte "Drive-by-Exploits" verweist. Beim Besuch eines so manipulierten Online-Shops wird automatisiert versucht, verschiedene Schwachstellen im Web-Browser, im Betriebssystem oder anderer auf dem PC des Besuchers der Webseite installierter Anwendungssoftware auszunutzen, um unbemerkt ein Schadprogramm auf dem PC des Nutzers zu installieren.

Sonntag, 14. August 2011

Professionelle Video-Software "Lightworks" jetzt Open Source

Lightworks von EditShare ist ein professionelles "nicht-lineares" Videoschnittsystem für Kinofilme und Fernsehproduktionen. Lightworks ist einer der Pioniere für computerbasierenden Filmschnitt und wird bereits seit 1989 entwickelt. Zahlreiche international bekannte und oskarpreisgekrönte Spielfilme, unter anderem Mission Impossible, Pulp Fiction, Braveheart oder Batman wurden auf Lightworks geschnitten. Sogar das System selber wurde mit zahlreichen Preisen ausgezeichnet, darunter dem Oscar und dem Emmy.



Donnerstag, 11. August 2011

Apple versus Galaxy Tab - die einstweilige Verfügung

Apple hat eine einstweilige Verfügung (e.V.) gegen den Verkauf des Galaxy Tab 10.1 bewirkt. Um den Vorgang näher beurteilen zu können, muss man sich den Inhalt der e.V. selbst ansehen. Denn die Wiedergabe in den Medien war, zumindest bisher, mangelhaft.

Den vollen Wortlaut des Antrags auf die einstweiligen Verfügung von Apple findet man z.B. auf folgender Seite  (wobei wir den Beitrag nachfolgend eingebunden haben).
10-08-04 Apple Motion for EU-Wide Prel Inj Galaxy Tab 10.1

Neue _com_de domains? Eine kritische Untersuchung

"Tausende von neuen Stichwort-Domain-Namen ab sofort in Deutschland erhältlich" - so  lautet die Pressemitteilung von www.com.de. Tausende von neuen erstklassigen Domain-Namen, die mit Deutschlands neuer Erweiterung ".COM.DE [http://com.de/index-de.php ]" enden, seien in der heute (beginnenden Landrush-Phase erhältlich, darunter:
  • wertvolle Stichworte und beliebte Suchbegriffe - wie etwa   musik.com.de und chat.com.de
  • geographische Domains - deutschland.com.de, Hollywood.com.de und  jeder Ortsname in Deutschland und der gesamten Welt!
  • Domains mit nur ein oder zwei Buchstaben - wie x.com.de und  be.com.de
  • Domains mit deutschenSonderzeichen- wie diät.com.de oder  grubetakarten.com.de 
Was ist davon zu halten? Ich habe das Ganze kritisch durchleuchtet.


Apple erwirkt einstweilige Verfügung gegen die Markteinführung von Galaxy Tab 10.1

Apple hat vor dem LG Düsseldorf eine einstweilige Verfügung gegen Samsung erlangt. Demnach darf Samsung das neue Tablet "Galaxy Tab 10.1", das in diesen Tagen in Deutschland seinen verkaufsstart hat, nicht mehr innerhalb der EG vertreiben. Das bisherige Tablet Galaxy Tab mit 7 Zoll Monitor (Produktname Galaxy Tab P1000) bleibt unberührt.

Der Text des Antrags zur einstweiligen Verfügung ist mittlerweile online einsehbar. Ob das Gericht allen Argumenten in der Antragschrift gefolgt ist oder nicht, lässt sich nicht feststellen, da die einstweilige Verfügung gem. Pressemitteilung des Landgerichtes keine Begründung enthält. Dies ist bei Eilverfügungen üblich.

Die Meldung hat hohe Wellen geschlagen und emotionale User-Kommentare hervorgerufen. Sogar Apple-symathisierende Blogger haben sich erschreckt zu Wertungen und Schlussfolgerungen hinreißen lassen. Allerdings basieren, bei näherem Hinsehen, alle Reaktionen auf falsch formulierte und schlecht erklärte Pressemeldungen, die voneinander abgeschrieben werden. Eine der ganz wenigen sachlichen und korrekten Darstellungen fand ich auf internet-law.de von Rechtsanwalt Thomas Stadler. (Nachtrag 25.08.2011: Bis heute verfolge ich die Meldungen auf allen großen Portalen und Zeitungen. Fünfundneunzig Prozent der Meldungen enthalten gravierende Fehler, auf denen wiederum Wertungen und Vermutungen basieren.)


Deshalb folgende Klarstellungen:


Es geht definitiv NICHT um Patentstreitigkeiten. Jede Verwendung des Wortes "Patentstreit" ist fehlerhaft.

Es handelt sich auch nicht um einen Bestandteil einer Patentprozesswelle oder um die Spitze von Patentstreitigkeiten. Denn der Vorgang hat, ausweislich der Antragschrift, eine eigenständige Vorgeschichte.

Der Antrag richtet sich gegen die Nachahmung des Designs und bewegt sich auf dem Bereich des Wettbewerbsrechts. Bei dem neuen Tablet mit 10 Zoll Bildschirm hat Samsung die Details nochmals in Richtung iPad abgeändert, z.B. durch einen silbernen Rand (das das 7-Zoll-Tablet nicht hat).
Apple stört sich daran, dass das iPad immer mehr nachgeahmt wird und keine eigenständige Designentwicklung stattfindet. Entsprechend hatte Apple schon vor Monaten mit Samsung Kontakt aufgenommen und gegen das anstehende Produktdesign protestiert. Samsung blieb bei seinen Plänen unbeirrt.

Um einen Verkaufsstopp zu erreichen, stützt sich der Antrag juristisch auf zwei Punkte:

  •  gerügt wird ein Verstoß gegen das Geschmacksmuster-Recht, denn Apple hatte bereits in 2004 das für die Entwicklung des iPad realisierte Design schützen lassen. Dieses "Geschmacksmuster" wurde nie von jemand angegriffen
  • gerügt wird ferner hilfsweise ein Verstoß gegen das UWG (Unlauterer-Wettbewerbs-Gesetz), das u.a. eine systematische Nachahmung von sehr bekannten und anerkannten Produkten verbietet. Die dazu existierende Rechtsprechung nennt diese Fallgruppe des unlauteren Wettbewerbs "sklavische Nachahmung". Der Begriff ist also keine Wertung oder Erfindung der Anwälte.

Ein Geschmacksmuster ist ein eingetragenes gewerbliches Schutzrecht durch das ganz konkret die äußere Erscheinungsform eines Gegenstands (Produkts) geschützt wird. Bei einem Patent dagegen geht es um technische Erfindungen.



Falsch interpretiert wird der Antrag bezüglich der Designelemente: Apple will nicht verbieten, dass andere Anbieter auch eine rechteckige, an den Ecken abgerundete Form verwenden. Die Antragschrift wiederholt nur die Formulierungen, die bei Eintragung des Geschmacksmusters im Jahre 2004 verwendet wurden. Dabei müssen neben der  Zeichnung auch eine Beschreibung in Textform verwendet werden. Dazu wurde, wie in solchen Fällen üblich, eine Liste beschreibender Designelemente erstellt, unter anderem auch die runden Ecken und die rechteckige Form. Die einzelnen Punkte der Liste sind dabei nur Teil des Ganzen und sind nicht etwa gesondert geschützt. Diese eingetragene Textformulierung und die Zeichnungen mussten im Antrag wiederholt werden, auch wenn das komisch klingt.

Falsch ist dementsprechend auch die Behauptung, dass Apple jetzt keine Konkurrenz mehr auf dem iPad-Markt will. Dann hätte es auch gegen das bisher vertriebene  Galaxy Tab P1000 und gegen andere Tablets vorgehen müssen. Auch entspricht das nicht der Begründung, die offenbar kaum jemand lesen will.

Die Antragschrift macht klar, dass es hier um Details geht. Der Autor besitzt ein Galaxy Tab, und zwar das P1000 mit 7 Zoll. Es  ist dem iPad schon sehr stark nachempfunden, wenn man die vielen kleinen Details zusammen nimmt. Es ist eben NICHT so, wie viele Kommentatoren meinen, dass ein Tablet  so aussehen müsse. Es gab vor der Einführung des iPad zahlreiche Tabs mit verschiedenen Designelementen, ob es nun metallene Einfassungen sind, nicht zentrierte Displays, die Bedienknöpfe, die Gesamtfarbe usw. Die Anwälte von Apple haben in den (leider nicht veröffentlichten) Anlagen zur Antragschrift Bilder beigelegt, die beweisen, dass Tablet durchaus anders aussehen können und bis zur Einführung des iPad auch ausgesehen haben.

Erst danach  wurde das Design in den Feinheiten nachgeahmt. Schon das Galaxy Tab P1000 ist schon sehr stark verwechslungsfähig mit dem iPad, und wer sich damit beschäftigt merkt schnell, dass das auch gewollt ist. Die hier umstrittene 10-Zoll-Variante hätte sogar noch zusätzlich einen Metallrahmen, und sieht somit dem iPad noch ähnlicher.

Apple habe über 600 Millionen Euro für die Werbekampagne ausgegeben, mit denen das iPad-Tablet erst so richtig bekannt wurde, schreiben die Anwälte. Es ist in der Wirtschaft aus Kostengründen durchaus üblich, sich an solche bekannten Vorbilder anzulehnen, statt ein eigenes, typisches Design aufzubauen, weshalb es auch schon set Jahrzehnten die Rechtsprechung zur Fallgruppe der "sklavischen Nachahmung" kommt. Die Antragschrift zufolge hatte Apple in den vorgerichtlichen Kontakten Samsung aufgefordert, eigenständige Designelemente zu entwickeln, was durchaus möglich ist.

Ich persönlich bin überzeugter Besitzer eines Galaxy Tab 7 Zoll, das k
ich mit keinem iPad tauschen würde, gleichzeitig überzeugter Benutzer eines Apple Mac Pro Desktops, das ich  ebenfalls nicht vermissen möchte. Ich verfolge den Streit leidenschaftslos und neutral. Was mich erschüttert ist die völlig verzerrte und emotionalisierte Darstellung in den Medien. Prozesse dieser Art, darauf weist der Kollege Stadler in seinem o.g. Artikel zu recht hin, sind etwas ganz alltägliches zwischen den Unternehmern und werden nur selten bekannt. Und wer betriebswirtschaftliche Kenntnisse hat, weiß, wieviel Geld in der Entwicklung eines einheitlichen Designs und den Marketingkosten hierfür steckt. Ich weiß nicht, ob die Begründung einer endgültigen Prüfung standhält - vielleicht ist der Gebrauchsmusterschutz nicht ausreichend genug definiert worden, und die hilfsweise vorgebrachte wettbewerbswidrige Nachahmung ist aus Sicht der Richter doch nicht stark genug - hier gibt es strenge Kriterien in der Rechtsprechung. Dann soll es so sein - das ist das Risiko, dessen sich Apple sicherlich bewusst waren, als sie den Antrag stellten. Das Risiko besteht darin, dass im Falle einer Meinungsänderung durch das Gericht riesige Schadenersatzbeträge an Samsung zu zahlen wären.


Dass Die Verwechslungsgefahr besteht, kann ich allerdings persönlich bestätigen. Ich werde laufend angesprochen "Ist das so ein iPad-Dignsda?" (das Dingsda gehört typischerweise dazu, weil die Leute nicht ganz sicher sind über die Unterschiede von iPod, iPhone, iPad und Tablets).  Ich muss dann immer erklären, dass es so was wie ein iPad ist, aber von einem anderen Hersteller. Und dass es für meine Zwecke besser ist. Ich bin nämlich durchaus stolz auf das Galaxy Tab, und möchte gar nicht, dass es mit dem iPad verwechselt wird. Aber die Masse hat noch nichts gehört davon, dass es ein Galaxy Tab gibt, das dem iPad entspricht. Aber mit dem iPad verbindet es grobe Vorstellungen, damit können die Leute etwas anfangen. Aus Verkäufersicht bzw. Herstellersicht ist also die Anlehnung an dieses bekannte Produkt besser.

Nachdem aber Samsung vorgewarnt war und auch wusste, dass es ein eingetragenes Geschmacksmuster gibt, das offenbar nie angefochten wurde, verstehe ich das riskante Vorgehen der Koreaner nicht.

Er sieht den Streit emotionslos.


Sonntag, 7. August 2011

Achtung Wordpress-User: Sicherheitslücke in timthumb.php

Einer Meldung von themelab.com vom 2. August entnehme ich eine Sicherheitslücke im Modul timthumb, das in vielen Themes mit dabei ist:TimThumb Security Vulnerability – Common in WordPress Themes

TimThumb, ist ein resizing-Script, das in Wordpress-themes (vor allem in kostenpflichtigen Themes) verwendet wird. Wordpressuser sollten auf jedem ihrer Blogs überprüfen, ob dieses Skript installiert ist. Dabei sollte man auch nicht benutzte Themes durchsuchen, die auf dem Server lagern.

Als Quick Fix empfiehlt der Autor:
  • The easiest way to fix it would be to delete any instance of timthumb.php on your sites. It is also commonly named thumb.php (this is what WooThemes uses).
Gemäß einer Blog-Meldung von Mark Maunder wäre der nächstbeste "Fix", den array in  “Allowed Sites” zu leeren:

Vorher:
$allowedSites = array (
 'flickr.com',
 'picasa.com',
 'img.youtube.com',
 'upload.wikimedia.org',
);
 
Ändere in:
 
$allowedSites = array();

Außerdem muss man folgende Konstante auf "FALSE" setzen, sonst wirkt obige Änderung nicht:

define( 'ALLOW_EXTERNAL', false );

Wo ist der Witz?

Von flickr und wikipedia selbst gehen zwar keine Gefahren aus, aber das Skript würde auch akzeptieren:  flickr.com.lamehackersite.info genauso wie flickr.com.

Theme Provider, die TimThumb benutzen

Einige Wordpress Theme-Programmierer haben TimThumb in ihr Theme eingebunden, um die Bilder zu reduzieren; insbesondere WooThemes und ElegantThemes, zwei sehr populäre kommerzielle Theme-Verkäufer, die jede Menge von entsprechenden Skripts mit TimThumb-Integration anbieten.



Some WordPress theme providers that bundle TimThumb in their themes to resize images include WooThemes and ElegantThemes, two very popular commercial theme vendors that have tons of sites using themes with the vulnerable TimThumb script. Außerdem haben auf vielen Portalen (z.B. ThemeForest) zahlreiche Autoren wiederum zahlreiche Themes mit TimThumb-Benutzung eingestellt, die jetzt verbreitet im Einsatz sind.
"Theme Lab Themes" gibt an, dass drei ihrer Themes betroffen sind, die TimThumb benutzen. Diese Themes erhielten sofort ein Sicherheitsupdate (mit "allowed sites" korrigiert).
  • If you use any of these themes, please update the /scripts/timthumb.php file ASAP. This advice can also apply to any other theme that uses the timthumb script, obviously.
Eine Alternative zu TimThumb: add_image_size

Der Autor weist auf eine viel bessere Möglichkeit hin, wie man Bilder "resizen" kann. Darum sind auch nur drei Themes negativ betroffen, bei den anderen hat der Programmierer die alternative Methode benutzt, und er empfiehlt:

Benutzt add_image_size !

WordPress habe eine großartige, eingebaute API um Bilder in der Größe zu verkleinern, mit der man effiktiv die Funktionen von TimThumb ersetzen kann. Es heiße  add_image_size.

Es wird z.B. auf folgenden themelab-Themes verwendet: Green Tea, Cool Blue, or SongSpace (alle kostenlos).

Samstag, 6. August 2011

Neues von Skitch - dem genialsten Screenshot-Tool für Mac-User

Das Programm ist für alle Blogger, aber auch alle Dozenten und Lehrkräfte interessant: Skitch, ein Screenshot-Programm mit der Möglichkeit, auf bequeme Weise  Pfeile, Zeichen und Texte einzufügen. Das Programm, das es seit 2008 ab Beta-Version und seit kurzem als fertige Version gibt, habe ich über Hinweise von  Holger Vogt und ei Andreas Kalt entdeckt und hat mir seitdem unendlich viel geholfen bzw. Zeit erspart.

Für den Unterricht bzw. zur Skripterstellung  habe ich es bisher kaum  eingesetzt, sondern hauptsächlich für das Bloggen - hauptsächlich für das User-Archiv und für das  regensburger-tagebuch.de - aber die Software birgt noch viele Anwendungsmöglichkeiten.

Übrigens: Wenn Ihr das Programm schon als Beta-Tester benutzt habt, dann gibt es derzeit ein spezielles Angebot: ein Jahr lang kostenlose Nutzung der Pro-Version, wobei die Pro-Version automatisch endet, wenn sie nicht verlängert wird. Wer wissen will, ob er zu diesem Kreis gehört, muss nur folgenden Link verfolgen und seine Anmeldedaten eingeben: http://skitch.com/love/

Beachte: die zitierten Besprechungen sind noch aus 2008 aus der Beta-Phase.

Noch ein Tipp: wer größere Mengen an Bildern aus der History in normale JPGs konvertieren will, muss das nicht mühsam einzeln machen. Folgender Trick hilft: die Bilder in der History-Ansicht markieren und auf den Desktop ziehen (oder einen Ordner im Finder) - voila!

Homepage von Skitch: www.skitch.com

Die Anmeldung ist übrigens kein Problem. Ich bin nie mit Werbung belästigt worden. Und den Speicheraccount auf skitch.com muss man auch nicht nutzen. Ich ziehe alle Bilder in einen Ordner, oder speichere sie in der History (dort werden sie mitsamt den Pfeilen und anderen Elementen so gespeichert, wie es PSD, GIMP oder UFO-Dateien üblich ist. Ein undokumentierte Möglichkeit ist auch, das Bild auf die Arbeitsfläche eines geöffneten Bildbearbeitungsprogrammes zu ziehen (getestet mit Photoimpact). Ferner kann man das Bild auch auf einen eigenen FTP-account hochladen; man muss dies nur in den Einstellungen entragen.

Dienstag, 2. August 2011

Wordpress-Sicherheitsmaßnahme: wp-config auslagern (Schnell-Anleitung)

Anleitungen zum Sichern der wp-config.php im Rahmen der wordpress-Sicherheitsmaßnahmen.

I) Quick and Dirty

Die schnellste und einfachste Lösung, insbesondere für Anfänger:
  1. Nenne die wp-config.php um in z.B. wp-config-core.php
  2. Speichere diese einen Ordner höher, in den root Deines accounts
  3. Schreibe eine neue wp-config.php mit nachfolgendem Inhalt und speichere die Datei an der ursprünglichen Stelle ab.
<?php
include("../wp-config-core.php");
?>

Alles weitere in diesem Aufsatz können Sie im Grunde vergessen. Dies reicht.

II) Nur mysql-Daten auslagen – interessant bei mehrfachen Projekten


Das eigentlich Sicherheitsrelevante an der wp-config ist normalerweise nur der Abschnitt mit den mysql-Zugangsdaten. 

Passwörter sind anderenorts gespeichert, und die neuen Sicherheitsschlüssel sind keine Passwörter, sondern sorgen zusammen mit cookies dass während einer Sitzung immer gesichert ist, dass noch der "richtige" User mit dem Server kommuniziert.

Eine Möglichkeit ist es deshalb, nur den Abschnitt mit den reinen mysql-Daten in einen unzugänglichen Bereich auszulagern und in der wp-config.php per include einzubinden. Das ist besonders dann interessant, wenn man viele Projekte betreibt. Man belässt es dann bei der üblichen Datei wp-config.php auf der jeweiligen domain und ersetzt aber den Abschnitt mit den mysql-Zugangsdaten durch einen include-Befehl.

Original, unbearbeitet (aus wp-config.sample):



// ** MySQL Einstellungen - diese Angaben bekommst du von deinem Webhoster** //
/** Ersetze database_name_here mit dem Namen der Datenbank, die du verwenden möchtest. */
define('DB_NAME', 'database_name_here');

/** Ersetze username_here mit deinem MySQL-Datenbank-Benutzernamen */
define('DB_USER', 'username_here');

/** Ersetze password_here mit deinem MySQL-Passwort */
define('DB_PASSWORD', 'password_here');

/** Ersetze localhost mit der MySQL-Serveradresse */
define('DB_HOST', 'localhost');

Original, bearbeitet, so wie es in der endgültigen wp-config.php erscheinen sollte:


// ** MySQL Einstellungen - diese Angaben bekommst du von deinem Webhoster** //

define('DB_NAME', 'tramezzinoprojekte1');
define('DB_USER', 'burkes');
define('DB_PASSWORD', 'supergeheim');
define('DB_HOST', 'localhostodersonstwas');

Variante mit ausgelagerten SQL-Daten


Der ganze obere Abschnitt wird ersetzt durch folgende Zeile:

include("../mysqldaten.inc");

Wie man sieht, ist die Datei "mysqldaten.inc"  einen Ordner höher abgespeichert, also im echten "root" des Servers hinterlegt. Dort kommt der User über den Browser nie hin.

Die Datei mysqldaten.inc enthält dann den eingangs genannten Abschnitt,

define('DB_NAME', 'tramezzinoprojekte1');
define('DB_USER', 'burkes');
define('DB_PASSWORD', 'supergeheim');

define('DB_HOST', 'localhostodersonstwas');


III) wp-config über htaccess sichern


Das ist m.E. was für Fortgeschrittene und selbst diese werden eher auf die eingangs genannten Varianten zurück greifen.

Vorgehensweise: über eine im gleichen Ordner liegende Datei namens ".htaccess" wird der direkte Browserzugriff unterbunden. Die wp-config.php kann deshalb nur von den WordPress-Skripten per include-Befehl verwendet werden, aber nicht direkt aufgerufen werden.

Dazu muss man in die (notfalls neu anzulegende) .htaccess folgenden Abschnitt einfügen:

<files wp-config.php>
Order deny,allow
deny from all
</files>

Mit der Bedeutung brauchen Sie sich nicht zu beschäften, das ist schade um die Zeit.
Im übrigen rate ich komplett von dieser Sicherungsmethode ab. Es ist unnötige Arbeit und hat folgende Nachteile:
  • Für den Anfänger ist die Einarbeitung in den Umgang mit .htaccess-Dateien  mühsam bis qualvoll. Die Vielzahl von Tutorials im Internet zeugen davon.
     
  • Sofern bereits aus anderen Gründen eine htaccess-Datei existiert, muss sie um einen Abschnitt erweitert werden, der diesen Zugriff auf wp-config.php regelt. Das ist nicht schlimm, aber wenn im Laufe der Zeit öfter mal was zu ändern ist, muss man immer daran denken, dass auch dieser Abschnitt nicht vergessen wird. Besonders ärgerlich beim Lesen fertiger Anleitungen über htaccess-Modifikationen. Das ist selbst für Fortgeschrittene lästig.
Ein Auslagern und Einbinden per include reicht völlig aus. Dem Fortgeschrittenen leuchtet es ein, dem noch zweifelnden Anfänger sei es erklärt: Die Zugangsdaten zur Datenbank (meist eine mysql-Datenbank) und meinetwegen auch andere Werte in der config.php dürfen nicht bekannt werden. Normalerweile kann die Datei nicht direkt über den Browser aufgerufen werden, da der Aufruf einer Datei mit Endung.php nicht dazu führt, dass man den INHALT der Datei LESEN kann. Dafür sorgen die üblichen Sicherheitseinstellungen auf den Servern (für Fortgeschrittene: die Sicherheitseinstellungen im APACHE oder XITAMI etc, beim APACHE wären dies Einstellungen in der httpconf).

Es kann nun sein, dass bei Wartungsarbeiten, z.B. anlässlich des Updates auf neueste APACHE-Versionen oder aus anderen Gründen, kurzfristig dieser Sicherungsmechanismus nicht eingeschaltet ist oder, schlimmer, versehentlich dauerhaft ausgeschaltet wurde, ohne dass es die Angestellten gleich merken. Vorübergehend kann dann jemand, der über den Browser die wp-config.php aufruft, den Inhalt wie bei einer Textdatei lesen. Darum geht es hier, und nur darum.
Sicherungsmaßnahmen zur Vermeidung einer solchen Panne sind übrigens durchaus nicht paranoid, wie ein Anfänger meinen könnte, sondern sinnvoll und geboten. Für den Anfänger reicht die oben unter römisch eins geschilderte Maßnahme aus.
Annex: was bedeutet DEFINE

Für obige Anleitung ist es nicht unbedingt notwendig zu wissen, was das DEFINE bedeutet. Es ist aber sinnvoll, da man das Wissen immer wieder benötigen kann. Ein paar PHP-Grundkenntnisse setze ich voraus
Normalerweise werden in den Skripten Variable gesetzt, möglichst zu Beginn eines Skripts. Z.B. $domain="burkes.de", $user="burkes"; $mysqlhost="localhost", $mysqlpasswort="90345720", $uploadordner="/files/uploads" usw.
Dann werden im Skript an gegebenen Stellen diese Variablen verwendet.
Statt Variablen kann man aber auch mit Konstanten arbeiten. Diese sind auch so was wie Variablen, aber viel stärker, so 'ne Art Supervariablen. Konstanten werden nicht so wie Variable definiert. Vergleich:
Variable: $DB_PASSWORD = "supergeheim";
Konstante: define("DB_PASSWORD", "supergeheim");
Was als Konstante definiert ist, kann auch als normale Variable ausgelesen werden.
if($DB_PASSWORD=="supergeheim") echo "na super, geh' heim!";
Zwei wichtige Vorteile der Konstanten sollte man kennen, wenn man mehr mit php programmieren will:
  • die Konstanten können NIE über Browser-Parameter rein geschmuggelt werden.
Sie müssen fest im Skript definiert werden, können sich zwar im Laufe des Skripts ändern, können aber nicht von außen herein getragen werden. Egal, wie safe_mod verwendet wird, egal, ob Variable ausreichend sicher initialisiert wurden: es kann zu keiner Manipulationspanne kommen. Nicht möglich also: www.deinedomain.de/index.php?DB_PASSWORD=blablabla

  • die Konstanten sind auch innerhalb von Funktionen da, ohne dass sie über "global" globalisiert, also in die funktion hinein getragen werden müssen. Konstante sind superglobal.
An Letzteres wenn ich doch früher gedacht hätte, also ich vor vielen Jahren ein Standardproblem mit dem FCK-Editor lösen musste. Eine Administration (nicht unbedingt wordpress) mit FCK-Editor, zu verwenden für verschiedene Projekte. Ich habe dann die Lösung mit Session-Variablen übernommen, von der ich las, heute denke ich mir, dass das alles ein Klacks gewesen wäre, wenn ich die superglobalen Konstanten verwendet hätte. Ich glaube, letzteres ist in der Forums-Literatur auch nie so richtig aufgedeckt worden (siehe auch meine Notizen auf: http://www.user-archiv.de/fckeditor.html#abschnitt_299; der Stand ist allerdings nicht mehr der Aktuelleste, denn ich habe in den letzten zwei Jahren diese Seite nicht mehr gepflegt)

Weitere Sicherheitsmaßnahmen


Diese Anleitung hat nur die Auslagerung der wp-config.php behandelt. Es gibt noch weitere Maßnahmen. Aufsätze finden Sie z.B. unter

Montag, 1. August 2011

Anleitung zum Einbau einer Festplatte in einen Apple MacPro (2006)

Eine Anleitung zum Einbau einer Festplatte in einen MacPro hatte ich im letzten August auf meinen persönlichen Blog eingestellt, auf den ich verweisen möchte:

Eine Bilderstrecke: Anleitung zum Einbau einer Festplatte in einen MacPro (auf burkes.de)


Die Fotos kann man auch auf einem picasa-Webalbum aufrufen, aber nicht so komfortabel.


  © Blogger template 'Fly Away' by Ourblogtemplates.com 2008

Back to TOP