www.archive-net-2013.com » NET » E » ECKENFELS

Choose link from "Titles, links and description words view":

Or switch to "Titles and links view".

    Archived pages: 629 . Archive date: 2013-09.

  • Title: IT Blog - Einträge für Juni 2012
    Descriptive info: Einträge für Juni 2012.. Themen in Juni, 2012.. am.. GUI Design.. Montag, 4..

    Original link path: /archives/2012/06/summary.html
    Open archive

  • Title: IT Blog - Einträge für Februar 2012
    Descriptive info: Einträge für Februar 2012.. 05:25.. Freitag, 3.. Februar 2012.. Passwörter haben eine Menge Probleme.. Deswegen gibt es jede Menge best-practice um diese Probleme etwas zu reduzieren.. Eine einfache Regel ist, dass man Passwörter von Benutzern so abspeichern sollte, dass diese nicht wiederhergestellt werden können.. Der Grund dafür ist insbesondere dass die Passwörter die ggf.. in unterschiedlichen Diensten genutzt werden nicht eventuellen Hackern (oder unehrlichen Administratoren) in die Hände fallen können.. Dazu werden die Passwörter durch eine Hash Funktion einwegverschlüsselt.. Bei der Prüfung des Passwortes wird dann nicht das eingegebene Passwort mit der gespeicherten Version vergleichen, sondern die Einweg-Funktion darauf angewendet und dann verglichen.. Eine Konsequenz dieses Verfahren ist es, dass das Passwort von der Anwendung nicht wieder angezeigt oder per Mail an den User gesendet werden kann.. Bei mehr oder weniger öffentlichen Diensten ist es üblich, dass es dort eine Passwort-vergessen Funktion gibt die eine Reset Mail an den Benutzer versendet.. Dieses Verfahren verlässt sich auf die Sicherheit des E-Mail Verkehrs - ist somit keine sonderlich sichere Option - aber bei Diensten die mehr oder weniger öffentlich angeboten werden ist die E-Mail Adresse sowieso die einzige zusätzliche Möglichkeit den User zu erreichen.. Es gibt im wesentlichen 3 Möglichkeiten für solche Passwort-Zurücksetzungsmails:.. a) aktuelles Passwort per E-Mail zusenden..  ...   den Link benutzt, so wird er um Eingabe eines neues Passwortes gebeten.. Dies bietet den Vorteil, dass das alte Passwort weiterhin gültig bleibt wenn die Funktion jemand unberechtigt benutzt.. Außerdem wird kein Passwort per (unverschlüsselter) Mail versendet.. Man sieht hier schnell, dass die Methode a) nicht nur die unsicherste und unpraktische ist, sondern auch dass man daraus auch als Endanwender (ohne den Quelltext zu analysieren oder die Datenbank zu kennen) sofort ablesen kann, dass die Web Anwendung eine unsichere Passwort Speicherung verwendet.. Immer wenn ich eine Passwort Recovery Mail mit einem bestehenden Passwort bekomme regt mich das auf, deswegen muss ich jetzt mal einfach hier im Blog "Fingerpointint" betreiben:.. Intel Software Network.. : speichert und mailt Passwörter an Benutzer.. BMC Servicedesk Express: speichert und mailt Passörter an Benutzer.. (Beispiel).. Open Application Group (OAGi) Portal.. RosettaNet.. org.. kontent.. de.. mailman.. Die GNU Mailing-List-Manager-Software weist wenigstens beim Anlegen eines Kontos schon drauf hin (einfacher wäre es die Eingabe generell zu entfernen und nur zufällige Passwörter zuzusenden).. Update:.. OAGi und Rosettanet.. org (danke Christian) hinzugefügt.. de hinzugefügt (danke Robin).. Added mailman.. Kommentare (7).. Bei mehr oder weniger öffentlichen Diensten ist es üblich, dass es dort eine Passwort-vergessen Funktion gibt die eine Reset Mail an.. (Seite 1 von 1, insgesamt 1 Einträge)..

    Original link path: /archives/2012/02.html
    Open archive

  • Title: IT Blog - Einträge für Februar 2012
    Descriptive info: Themen in Februar, 2012..

    Original link path: /archives/2012/02/summary.html
    Open archive
  •  

  • Title: IT Blog - Einträge für Januar 2012
    Descriptive info: Einträge für Januar 2012.. E-Mail versenden von Amazon EC2 (SES mit Exim).. 01:06.. Samstag, 14.. Januar 2012.. Wie ich.. bereits berichtet.. hatte kann es für einen Anwender der IaaS Cloud Amazon EC2 Sinn ergeben den.. Simple Email Service.. SES.. ) von Amazon zu verwenden um E-Mails zu versenden.. Dabei kann man entweder die Amazon API/Tools verwenden, oder inzwischen auch die Mails per smtps an den Amazon Smarthost liefern.. Amazon selbst bietet nur einen SMTP-SSL Server auf Port 465 an.. Die meisten MTAs können dieses Protokoll nicht mehr sprechen und ziehen STARTTLS vor, deswegen empfiehlt Amazon in seiner.. Anleitung.. die Verwendung von.. stunnel.. als zwischengeschaltenen Proxy.. Diese Indirektion ist aber unschön, und kann mit einer aktuellen.. Exim.. Version vermieden werden.. Ab der Version 4.. 77 unterstützt der SMTP Transport von Exim auch das.. smtps Protokoll.. (für ausgehende Verbindungen).. Mit folgenden Exim Einstellungen (Auszug) kann also ein EC2 Linux Rechner direkt an den Amazon Dienst die E-Mail ausliefern (wichtig: die Envelop-From und From: Addresse der versendeten Mails müssen in der Liste der verifizierten SES Absender sein.. Als Empfänger kommen nur dann beliebige E-Mail Addressen in Frage, wenn man diese Funktion bei Amazon explizit freischalten hat lassen.. 1.. Alle Mails an dem Amazon Server leiten (dnslookup entfernen):.. smarthost: driver = manualroute domains = ! +local_domains transport = remote_smtps route_data = email-smtp.. us-east-1.. amazonaws.. com no_more.. 2.. Einen neuen SMTP/SSL Transport definieren:.. remote_smtps: driver = smtp protocol = smtps #port = 465 hosts_require_auth = hosts_require_tls =.. 3.. Zusätzlich einen Authenticator mit dem SES User/Passwort definieren:.. client_login: driver = plaintext public_name = LOGIN client_send = : xxxxI6CIH2YIWSNxxxxx : Agcq00AEvA2ZDiQHNrDvTEODE3FWa1rxxxxx.. Ich habe das ganze unter Amazon Linux mit Exim 4.. 77 aus dem AltCent Repository getestet:.. wget http://centos.. alt.. ru/repository/centos/6/i386/exim-4.. 77-1.. el6.. i686.. rpm rpm -i exim-4.. rpm.. Es bietet sich an Exim so zu konfigurieren, dass nur auf localhost auf dem Submission Port E-Mails angenommen werden:.. daemon_smtp_ports = 587 local_interfaces = 127.. Dies stellt sicher, dass der Dienst nicht für Spam oder Sicherheitsangriffe ausgenutzt werden kann.. Wie ich bereits berichtet hatte kann es für einen Anwender der IaaS Cloud Amazon EC2 Sinn ergeben den Simple Email Service (SES) von Amazon zu verwenden um E-Mails zu versenden.. Die meisten MTAs können dieses Protokoll nicht mehr sprechen und ziehen STARTTLS vor, deswegen empfiehlt Amazon in seiner Anleitung die Verwendung von stunnel als zwischengeschaltenen Proxy.. Diese Indirektion ist aber unschön, und kann mit einer aktuellen Exim Version vermieden werden.. 77 unterstützt der SMTP Transport von Exim auch das smtps Protokoll (für ausgehende Verbindungen).. Mit folgenden Exim Einstellungen (Auszug) kann also ein EC2 Linux Rechner direkt an den Amazon Dienst die E-Mail ausliefern (wichtig: die Envelop-From und From: Addresse der versendeten Mails müssen in der List.. Java 7 - Probleme mit neuen JSSE Features.. 11:36.. Samstag, 7.. Mit Java 7 sind in den SSL/TLS Provider von Oracle einige.. neue Funktionen.. eingezogen.. Darunter der schon lange erwartete Support für TLSv1.. 1 und TLSv1.. 2, aber auch die Unterstützung der.. TLS Extensions.. u.. A.. für die Server Name Indication(SNI).. Letzteres wird dazu verwendet virtuelle Hosts auf einem SSL Port zu unterstützen: Bisher konnte ein SSL Server nämlich nicht wissen an welchen (der potentiell vielen) virtuellen Dienste hinter einer IP Adresse sich der SSL Client wenden will.. Besonders ärgerlich ist dies im Fall von HTTP/s, dort ist es die Regel dass Hoster sehr viele Kunden-Domains hinter ein und der selben IP-Adresse betreiben.. In HTTP/1.. 1 wird der gewünschte Servername in der Anfrage mitgegeben (Host: Header).. So kann der HTTP Server entscheiden welche Webseiten er ausliefern soll.. Im Falle des SSL Server Zertifikats (welches im SSL Handshake schon vor der HTTP Anfrage ausgetauscht wird), kann dies der Webserver aber nicht.. Er muss raten welches Zertifikat er dem Client präsentieren soll, und das schlägt natürlich in der Regel fehl.. Mit der Extension wird der Servername auch im Handshake mitgeschickt, und der Server kann sein Zertifikat passend auswählen.. Problem bei der Geschichte ist: der Server darf auf eine solche Namensanfrage mit einem SSL Alert (Warning) reagieren.. In dieser sagt er, dass er sich für den angefragten Host nicht zuständig fühlt.. Das kommt bei aktuellen Webserver Installationen häufig vor, weil diese einfach nicht korrekt eingerichtet sind (und die modernen Browser die SNI unterstützen diese Warnung auch einfach ignorieren).. Da das zurückgelieferte Default Zertifikat oftmals den richtigen Hostnamen (in einer der Attribute) enthält, klappt der gesicherte Handschlag im Alltag dennoch.. Nicht jedoch mit Java 7 SSL Clients, JSSE macht daraus eine fatale Exception:.. javax.. ssl.. SSLProtocolException: handshake alert: unrecognized_name.. at sun.. security.. ClientHandshaker.. handshakeAlert at sun.. SSLSocketImpl.. recvAlert at sun.. readRecord at sun.. performInitialHandshake at sun.. startHandshake at sun.. www.. protocol.. https.. HttpsClient.. afterConnect at sun.. AbstractDelegateHttpsURLConnection.. connect at sun.. http.. HttpURLConnection.. getOutputStream  ...   Begriffsdefinitionen und ist schon aus diesem Grund sehr lesenswert.. Ob die einzelnen Thesen (Abnahme des Gesamtenergieverbrauchs) nun zutreffen wird sich zeigen, von einer Zunahme der Stromabnahme wird aber ausgegangen.. Auch bei intelligenteren Verbrauchern (da zunehmend andere Energieformen verdrängt werden, was angesichts der Endlichkeit von fossilen Energieträgern nur logisch ist).. Das Paper baut darauf, dass Verbraucher sich über Marktsignale (Preise) steuern lassen.. Das wird sich zeigen wie gut das funktioniert.. Ein wenig sehr optimistisch dürfte die Annahme der Transaktionskostensenkung bei "kleinteiliger Interaktion" sein (.. Fehlschläge im Smartmeter Markt wie in den Niederlanden oder Großbritannien.. deuten ja eher darauf hin, dass es sinnvoll sein kann alternative Lösungswege anzustreben und nicht alles über Informationstechnologie lösen zu wollen.. Größtenteils wird der Smartmetermarkt von Anbietern getrieben die sich neue Einnahmequellen versprechen und die Vorteile werden in den meisten Haushalten weder gesehen - noch existieren diese).. Das BNetzA Papier sieht dies aber auch (Leitgedanke 4).. Was mir persönlich im Papier fehlt ist ein klarere Fokus auf das Thema Datenschutz, Schutz von kritischen Infrastrukturen und Monokultur.. Die Notwendigkeit von Datendrehscheiben wird nicht hinterfragt, und eine Vermischung der Messdaten von Prosumenten oder Industrieabnehmern mit den Messstellen in Haushalten führt meiner Meinung nach zu einer Übertechnisierung der Haushalte.. Für eine zuverlässige Demand-Site Prognose ist meiner Meinung nach nicht notwendig den Tagesverlauf jedes einzelnen Haushaltes zu betrachten - ganz im Gegenteil das ist eher schädlich.. Der Nutzen von mehr Transparenz beim Stromverbrauch eines einzelnen Haushaltes kann auch durch eine rein lokale Informationsanwendung (deutlich besser) gelöst werden.. Eine feingranulare Übermittlung von Messwerten erscheint mir nicht zwingend notwendig und vor allem nicht Ökonomisch.. In dem Zusammenhang verweise ich auch auf den Artikel in der aktuellen.. Datenschleuder.. #95 (Power to the People, Das Stromnetz der Zukunft, Mathias Dalheimer, Seite 35-48) und die Projekte.. mySmartGrid.. sowie.. volkszaehler.. Hardware.. Die Bundesnetzagentur hat ein Eckpunktepapier zum Thema Smart Grids und Markets veröffentlicht.. Damit will die Bundesbehörde durch dieses Papier eine intensivere Diskussion der Thematik anstoßen zu können und die Veränderungen des Energieversorgungssystems weiter voran zu bringen.. Das \"Eckpunktepapier der Bundesnetzagentur zu den Aspekten des sich verändernden Energieversorgungssystems\" enthält Leitgedanken und Begriffsdefinitionen und ist schon aus diesem Grund sehr lesenswert.. Das Paper baut darauf, dass Verbraucher sich über Marktsignale (Preise) s.. SQL Server JDBC Probleme.. 03:31.. Sonntag, 1.. Von den Änderungen in Java SE 6.. 0 Update 29 zum Schutz vor SSL BEAST Angriffen hatte ich schon.. berichtet.. Ein Opfer dieser Kompatibilitätsänderung sind die JDBC Treiber für den Microsoft SQL Server (.. jTDS.. und.. Microsoft JDBC Driver for SQL Server.. sind betroffen).. Beim Aufbau der Verbindung (TCP) direkt mit dem.. Treiber kommt es zu folgendem Fehler:.. java.. SQLException: I/O Error: Software caused connection abort: recv failed State : 08S01 Error : 0.. Und die folgende Exception wirft der.. com.. microsoft.. sqlserver.. jdbc.. SQLServerException: Connection reset State : 08S01 Error : 0.. Wenn die Treiber durch einen Connection Pool benutzt werden, oder innerhalb einer Datasource, so kann es sogar zum Hängen (wegen Endlosschleife) kommen.. Eine Möglichkeit ist es, beim jTDS Treiber anzugeben, dass man kein SSL machen möchte (sollte aber eigentlich auch der default sein, laut.. jTDS FAQ.. Dies kann man mit dem JDBC URL Property ".. ;ssl=no.. " erreichen.. Wenn der Server allerdings auf "Force Encryption" konfiguriert ist, so wird er dann die Logins ablehnen.. Beim Microsoft Treiber würde das property ".. encrypt=false.. " lauten, dies half aber in meinen Versuchen (mit MS SQL Server 2008 R2 Express) nicht.. Eine weitere Möglichkeit ist es den SSL/TLS CBC-Fix per Java System Property abzuschalten:.. -Djsse.. enableCBCProtection=false.. Dies wirkt sich aber auf alle anderen SSL Verbindungen innerhalb dieser VM ebenfalls aus.. Es gibt Berichte, dass dieses Problem mit JavaSE 6.. 0 Update 30 behoben sei, das kann ich aber weder nachvollziehen, noch lassen die ReleaseNotes darauf schließen.. Ich habe mal einen.. Fehlerbericht bei jTDS.. dazu geöffnet.. 0 Update 29 zum Schutz vor SSL BEAST Angriffen hatte ich schon berichtet.. Ein Opfer dieser Kompatibilitätsänderung sind die JDBC Treiber für den Microsoft SQL Server (jTDS und Microsoft JDBC Driver for SQL Server sind betroffen).. Beim Aufbau der Verbindung (TCP) direkt mit dem jTDS Treiber kommt es zu folgendem Fehler: java.. SQLException: I/O Error: Software caused connection abort: recv failed State : 08S01 Error : 0 Und die folgende Exception wirft der Microsoft JDBC Driver for SQL Server: com.. SQLServerException: Connection reset State : 08S01 Error : 0 Wenn die Treiber durch einen Connection Pool benutzt werden, oder innerhalb einer Datasource, so kann es sogar zum Hängen (wegen Endlosschleife) kommen.. Eine Möglichkeit ist es, beim jTDS Treiber anzugeben, dass man kein SSL machen möchte (sollte aber eigentlich auch der default sein, laut jTDS FAQ).. Dies kann man mit dem JDBC URL Property \";.. (Seite 1 von 1, insgesamt 4 Einträge)..

    Original link path: /archives/2012/01.html
    Open archive

  • Title: IT Blog - Einträge für Januar 2012
    Descriptive info: Themen in Januar, 2012..

    Original link path: /archives/2012/01/summary.html
    Open archive

  • Title: IT Blog - Einträge für Dezember 2011
    Descriptive info: Einträge für Dezember 2011.. Facebook Events im Google Kalender.. 01:11.. Freitag, 30.. Dezember 2011.. Wer ein Smartphone mit sich rumschleppt wird schon auf die Idee gekommen sein einen Web Kalender wie z.. Google Calendar.. zu synchronisieren, um immer alle Termine im Blick zu haben.. In meinem Fall habe ich einen Google Calendar Account in dem ich einige andere Kalender zusammenfasse, dieser wird dann per CalDAV auf dem iPhone eingebunden.. So sehe ich zum Beispiel die.. Karlsruher IT Termine.. , die Familientermine und die.. Termine der Karlsruher Piraten.. Was mir bisher noch gefehlt hat, waren meine.. Facebook Events.. , da hier immer auch mal wieder eine Einladung dabei ist, der ich zwar bei Facebook zusage, diese dann aber nicht in einen der Google Calender übernehme.. Es gibt hier aber eine einfache Möglichkeit, man kann die Events in Facebook als webcal/ical Feed exportieren.. Diese URL kann man dann in Google als neuen Kalender von einer URL importieren.. Das hat aber leider das Problem, dass Google bei einigen Einträgen kein Titel oder Beschreibung anzeigt.. Das ist ein.. bekanntes Problem.. , und es gibt im Web auch.. Anleitungen.. wie man das beheben kann.. Bei mir hat das auch geklappt (allerdings musste ich nicht CLASS:CONFIDENTIAL in CLASS:PUBLIC ändern, sondern bei mir waren es CLASS:PRIVATE Einträge die Facebook produziert hat:.. Diese Lösung setzt allerdings voraus, dass man irgendwo ein PHP Script ablegen kann.. Damit muss man jetzt nur die Export-URL von Facebook in dem PHP Script hinterlegen ("webcal:" in "http:" ändern), und in Google die PHP URL als Kalender importieren.. Dabei ist zu beachten, dass jeder der das Script kennt und aufrufen kann so an alle Facebook Termine rankommt (auch die privaten).. Wer das mit dem eigenen PHP Script nicht machen will, der kann auch.. Yahoo! Pipes.. verwenden.. Das ist ein Dienst bei den man eine Verarbeitungspipeline für Feeds zusammenstellen kann.. Im Falle von ICS Dateien reicht es bei Yahoo aus diese nur als Source zu definieren, und dann direkt wieder zurückzugeben, denn die Yahoo Quelle für Feeds (die ICS versteht) filtert automatisch die CLASS Attribute ganz raus.. Bei Yahoo Pipes muss man immer etwas tricksen wenn man einzelne Komponenten verbinden möchte (auf den Typ achten), deswegen hat die von mir verwendete Pipe noch den Zwischenschritt mit dem URL-Builder.. Die URL selbst ist in einem "Private String" abgelegt, damit niemand der die Sourcen sehen kann an meine Facebook Events herankommt.. (Leider lässt sich aber die Pipe trotzdem nicht sinnvoll Sharen, aber ich denke mit dem Screenshot könnt Ihr Euch leicht eine eigene zusammenbauen).. Beim Aufruf der Pipe ist es wichtig den Parameter "_render=ical" mitzugeben.. Früher gab es hierfür wohl einen Menueintrag bei Yahoo, der scheint aber entfernt worden zu sein.. Auch hier gilt, wer die Addresse Eurer Pipe kennt, kann Eure Facebook Terminzusagen lesen.. Google Calendar zu synchronisieren, um immer alle Termine im Blick zu haben.. So sehe ich zum Beispiel die Karlsruher IT Termine, die Familientermine und die Termine der Karlsruher Piraten.. Was mir bisher noch gefehlt hat, waren meine Facebook Events, da hier immer auch mal wieder eine Einladung dabei ist, der ich zwar bei Facebook zusage, diese dann aber nicht in einen der Google Calender übernehme.. Das ist ein bekanntes Probl.. E-Mail versenden von Amazon EC2.. 02:31.. Montag, 19.. Amazon EC2.. ist ein IaaS Anbieter bei dem man eigene virtuelle Systeme starten kann.. Diese Systeme können dann alle Systemfunktionen die eine Anwendung benötigt bereitstellen.. Dazu gehört zum Beispiel auch der E-Mail Versand (z.. root Mails oder eben E-Mails der Anwendung wie z.. Passwort Reminder oder Notifications).. Um sicherzustellen, dass die E-Mails die von einem Amazon EC2 System abgeschickt werden auch ankommen, und nicht in Spam Filter der Provider hängenbleiben sind folgende Punkte zu beachten:.. a) wenn man einen Mailserver (MTA) verwendet der die Mails versendet so sollte dieser natürlich sicher konfiguriert sein, und kein Relaying von E-Mails zulassen - da sonst der EC2 Server zur Spamschleuder wird (was nicht nur Ärger mit Amazon nach sich zieht).. b) Der SMTP Server meldet sich mit einem Rechnername.. Dort sollte er nicht den internen Amazon EC2 Namen verwenden der dem Rechner zugewiesen wird, denn dir dort verwendete.. internal Domain wird von vielen E-Mail Empfängern als ungültig abgelehnt.. c) Die E-Mail Adresse des SMTP Servers (also in dem Fall der virtuelle EC2 Host) sollte in einen gültigen Hostnamen aufgelöst werden, denn sonst springt der Spamschutz der Empfänger an.. Dies ist bei Amazon nur sinnvoll machbar wenn man eine Elastic IP verwendet.. Dieses Verfahren wird PTR oder auch "reverse DNS" checks genannt.. d) Der Envelop-From (im Falle von Cron Mails z.. B.. root@host) der versendeten E-Mails sollte eine gültige E-Mail Adresse sein.. Insbesondere prüfen E-Mail Server beim Empfang, ob die Domain existiert.. Hier sollte also auch nicht der.. internal Hostname von AWS verwendet werden.. e) Die Domain einer Absender E-Mail Adresse sollten nicht nur gültig sein, sondern mit dem.. SPF Mechanismus (Sender Policy Framework).. kann der Betreiber der Domain auch angeben von welchen Rechnern legalerweise Mails mit dem Absender versendet werden.. Einige Empfänger benutzen das, um das Spamaufkommen zu reduzieren.. In der Regel kommt in der Liste der  ...   ein Problem damit beim Testen auffällt.. Übrigens ist es nicht notwendig hier einen BufferedInputStream oder BufferedReader zu verwenden.. Der Reader wird ja bereits mit einem char array buffer (und nicht einzelnen Zeichen) gelesen.. Zudem liest der InputSreamReader() aus dem darunterliegenden InputStream mit einem StreamDecoder der einen eigenen Lesepuffer (bei den Sun Klassen ist das ein 8kb Puffer) hat.. Bin heute zufällig über folgende Methode gestolpert:String readToString1(InputStream in) throws IOException { byte[]buf = new byte[256]; StringBuilder sb = new StringBuilder(); int n; do { n = in.. read(buf, 0, 256); if (n > 0) { String s = new String(buf, 0, n, \"UTF-8\"); sb.. toString(); }Diese Funktion soll einen InputStream dessen Zeichen UTF-8 codiert sind in einen String lesen.. Man sollte solche starren bytepuffe.. SSL/TLS BEAST Lücke.. 10:49.. Samstag, 3.. Im September 2011 haben die Sicherheitsforscher Duong und Rizzo.. nachgewiesen.. , dass eine - seit.. 2002 bekannte.. und in TLS 1.. 1 behobene - Schwachstelle in den SSL 3.. 0 und TLS 1.. 0 Verschlüsselungsprotokollen nicht nur theoretisch ist, sonder wirklich ausgenutzt werden können.. Unter bestimmten Bedingungen erlaubt diese Schwachstelle einem Angreifer Teile aus einer SSL/TLS geschützten Übertragung zu ermitteln.. Gezeigt wurde dies am Beispiel eines abgefangenen paypal http Session Cookies, was erlaubte eine Browser Sitzung zu übernehmen.. Das Problem ist unter dem Namen „BEAST“ (Browser Exploit Against SSL/TLS) bekannt, und wird unter der Common Vulnerability ID.. CVE-2011-3389.. geführt.. Bei der Demonstration wurde ein Java Applet verwendet um die notwendigen Daten einzuschleusen, nach Duong/Rizzo es soll aber auch mit WebSockets oder JavaScript XHR Aufrufen möglich sein.. Dies zugrundeliegende kryptografische Schwäche ist ein generelles Problem vom SSL 3.. 0/TLS 1.. Es wurde aber als 2002 nur als theoretischer Angriff gesehen, jetzt sind Angriffe mit Hilfe der erweiterten Funktionen des WebBrowsers bekannt geworden.. Da es für einen erfolgreichen Angriff nicht nur notwendig ist, dass die verschlüsselte Verbindung abgehört werden kann, sondern auch, dass der Angreifer in den Klartext eigene Stück einfügen kann (Chosen Plaintext).. Dies ist durch die Verwendung von JavaScript auf Webseiten relativ einfach möglich.. Wird bei SSL/TLS eine Blockchiffre im CBC (Cipher Block Chaining) Modus verwendet, so benutzt SSL 3.. 0 einen vom Vorgängerblock abgeleiteten Initialisierungsvektor.. Da sich dieser ermitteln lässt ist hier ein Problem gegeben, das durch geschicktes einfügen von Füllzeichen in den Klartext erlaubt Inhalte zeichenweise an den Blockgrenzen zu ermitteln.. Dies zu behaben bedarf es einer neuen Protokollversion: TLS 1.. Aber in TLS 1.. 0 und SSL 3.. 0 kann es nicht so einfach verhindert werden.. Somit hilft mittelfristig nur ein Update auf diese „neuen“ Protokolle, die zwar schon Jahrelang verfügbar sind, sich aber in der Praxis in den meisten WebServern und WebBrowsern noch nicht durchgesetzt haben (vor allem nicht per default aktiviert sind).. Mögliche Gegenmaßnahmen zu BEAST (und deren Probleme) sind:.. SSL/TLS Ciphers nicht im CBC Modus verwenden.. Diese können in den gängigen Browsern und Servern abgeschalten werden.. Die Gefahr dass dann Gegenstellen keine gemeinsame Verschlüsselung aushandeln können ist allerdings groß.. Sollte also nur bei einer kleinen Anzahl von bekannten Kommunikationsgegenstellen benutzt werden.. Statt die CBC Chiffren abzuschalten kann auf jedenfall die Stromchiffre RC4 (TLS_RSA_WITH_RC4_128_SHA) bevorzugt werden.. Diese verwendet kein CBC und ist damit nicht betroffen.. Dies macht Google z.. schon seit einiger Zeit.. RC4 ist nicht unumstritten, es gibt Angriffe gegen das Verfahren, die aber in SSL.. nicht auftreten.. Oracle Java (JSSE) ab Version 1.. 0_29 und 7.. 0_1 implementiert einen CBC Schutz (der mit dem System Property jsse.. enableCBCProtection aus kompatibilitätsgründen wieder abgeschalten werden kann) bei dem der erste Block in zwei mit der Länge 1 und (n-1) gesplittet wird.. Erst mit Java 7 wird TLS 1.. 1 und 1.. 2 unterstützt.. Der gleiche Fix wird gerade in Chrome Beta 15 getestet, es gab schon.. Kompatiblitätsprobleme.. Für Opera 10.. 51 war der Fix geplant, ist aktuell noch nicht vorhanden (Opera benutzt keine WebSockets).. Dieser Schutz wird auch in Mozilla Firefox (via.. NSS library.. ) eingebaut, wartet dort aber noch auf eine Lösung der Kompatibilitätsprobleme und ist somit nicht Bestandteil von Firefox 7 (Mozilla sagt die WebSockets sind nicht verwundbar).. Es ist zu erwarten dass Microsoft für den Internet Explorer nachzieht, bisher.. empfehlen.. sie nur die RC4 Chiffre zu bevorzugen (Windows XP scheint dies zu tun), Vorsicht bei dem Umgang mit http Seiten walten zu lassen und ggf.. TLS 1.. 1 auf Client und Server zu aktivieren (immerhin unterstützen Microsoft Produkte dies schon, wird nur aus Kompatibilitätsgründen nicht aktiviert).. Die Option TLS 1.. 1 (oder neuer) zu verwenden wird leider noch einige Zeit auf sich warten lassen.. Besonders da SSL 3.. 0 abgeschalten werden müssten, um zu verhindern das Angreifer diese erzwingen.. Leider hängt openssl der TLS 1.. 1 Entwicklung nach, so dass auch Apache hier nur mit der RC4 Cipher gerettet werden kann (alternativ kann man mod_gnutls oder mod_nss verwenden, die sind aber beide weniger stark in der Nutzung).. Trackbacks (2).. Im September 2011 haben die Sicherheitsforscher Duong und Rizzo nachgewiesen, dass eine - seit 2002 bekannte und in TLS 1.. Das Problem ist unter dem Namen „BEAST“ (Browser Exploit Against SSL/TLS) bekannt, und wird unter der Common Vulnerability ID CVE-2011-3389 geführt.. Es wurde abe..

    Original link path: /archives/2011/12.html
    Open archive

  • Title: IT Blog - Einträge für Dezember 2011
    Descriptive info: Themen in Dezember, 2011..

    Original link path: /archives/2011/12/summary.html
    Open archive

  • Title: IT Blog - Einträge für November 2011
    Descriptive info: Einträge für November 2011.. 2-wege Authentifizierung.. 00:33.. Mittwoch, 23.. November 2011.. Das Passwort als Mechanismus für die Authentifizierung von Benutzern ist tot, es hat es nur noch nicht bemerkt.. Benutzer sind es gewohnt mit Passwörtern umzugehen, und sie funktionieren für eine breite Palette an Anwendungen, Protokollen und Geräten.. Allerdings ist "funktionieren" zu viel gesagt.. Denn die Sicherheits- und Supportprobleme bei vergessenen, erratenen, weitergegebenen, zu einfachen oder wiederverwendeten Passwörtern sind sehr hoch.. Auch die großen sozialen Dienstbetreiber haben dies schon bemerkt, und versuchen auf zusätzliche Sicherheitsmerkmale zu setzen.. So versucht Facebook zum Beispiel zu erraten welcher Login aus einem fremden Netzwerk unerwartet ist, oder welches Endgerät noch nicht benutzt wurde.. Google und Amazon (bei den AWS Diensten) gehen hier schon einen Schritt weiter.. Beide setzen auf Mehrfaktoren Authentifizierung.. Google nennt es entsprechend.. 2-wege Verifizierung.. und Amazon AWS nennt es kurz.. MFA.. (für Multi Factor Authentication).. Beiden gemeinsam ist die Option einmalpasswörter von einem (Hardware) Token erzeugen zu lassen, das sind 6-stellige Zahlen die sich alle 30 Sekunden ändern.. Neben dem traditionellen Passwort muss dieser Code angegeben werden.. Somit können sich nur Anwender anmelden, die das Hardware Gerät besitzen und das Passwort kennen.. Statt einem Hardware Gerät bieten beide Anbieter auch an eine App auf dem Mobilfunkgerät zu verwenden.. Google bietet dazu zum Beispiel den freien und kostenloses.. Google  ...   erfolgreichen Token Authentifizierung hinterlegt werden, so dass man diese Prozedur nur alle 30 Tage durchführen muss.. Anwendungen wie Messenger, E-Mail Clients oder Mobile Apps können mit einem von Google erzeugten sekundären Passwort betrieben werden, das dann in einer Liste der bekannten Anwendungen steht und dort jederzeit wieder gesperrt werden kann.. Amazon bietet auch eine ganze Reihe von zusätzlicher Authentifizierungsverfahren (Zertifikate und Zugriffsschlüssel) für Anwendungen an.. Übrigens verwenden Google als auch Amazon dasselbe Token Protokoll TOTP das in.. RFC 6238.. spezifiziert wird.. Die 20byte Geheimnisse werden dabei in base32 codiert, erzeugt wird ein 6 stelliger Response Code mit dynamischer Offsetberechnung und die im HMAC eingesetzte Hashfunktion ist SHA-1.. Genau für diese Parameter habe ich auch eine kleine Java (Swing) Anwendung für den Desktop geschrieben.. Ich habe diese sowohl mit Google als auch Amazon getestet und sie funktioniert.. Aktuell wird das dabei notwendige Geheimnis noch AES-128 verschlüsselt auf der Platte abgelegt, was die Sicherheit dieses Verfahrens im Vergleich zu einem reinen Hardware Token natürlich etwas einschränkt.. Ich denke aber ich werde es noch um ein DPAPI oder TPM Modul zur Aufbewahrung des Geheimnisses erweitern.. Das Projekt findet sich bei GitHub unter dem Namen.. et-otp.. Allerdings ist \"funktionieren\" zu viel gesagt.. Google nennt es entsprechend 2-wege Verifizierung und Amazon AWS nennt es kurz MFA (für Multi Factor Authentication).. Beiden ge..

    Original link path: /archives/2011/11.html
    Open archive

  • Title: IT Blog - Einträge für November 2011
    Descriptive info: Themen in November, 2011..

    Original link path: /archives/2011/11/summary.html
    Open archive

  • Title: IT Blog - Einträge für August 2011
    Descriptive info: Einträge für August 2011.. 04:27.. Mittwoch, 10.. August 2011.. Ich hab ein wenig mit Powershell herumgespielt (weil ich das.. Script.. das auch in.. de.. Hackin9.. org 08/2011.. abgebildet war nicht verstanden habe).. Dabei kam dann folgendes funktionierendes Script heraus, es sortiert mit alle Rechner des AD LDAPs und zeigt diese in einem grafischen Viewer mit Betriebsystemversion und Servicepack Level an:.. $ldapSearcher = new-object directoryservices.. directorysearcher; $ldapSearcher.. filter = "(objectclass=computer)"; $computers = $ldapSearcher.. findall(); $pcs = @(); foreach ($c in $computers) { $pc = "" | Select-Object Name,OS,SP,SPN; $pc.. Name=$c.. properties["cn"]; $pc.. OS=$c.. properties["operatingsystem"]; $pc.. SP=$c.. properties["operatingsystemservicepack"]; $pc.. SPN=$c.. properties["serviceprincipalname"]; $pcs += $pc; } $pcs | sort-object OS,SP,Name | Out-GridView;.. Ich habe aber keine Ahnung wie man einfacher aus den Dictionary Entries des.. $c.. Properties.. Member direkte Properties machen kann ohne diese mit einer foreach Schleife und direktem Assignment aufwändig zu kopieren.. Ich hoffe ein mitlesender Powershell Guru kann mir das kurz sagen? :).. Max Trinidad.. @MaxTrinidad.. ) hat mich auf die Idee mit New-Object gebracht, damit lässt sich das Script etwas vereinfachen und die Attribute in Strings konvertieren:.. findall(); [Array] $pcs = $null; foreach($c in $computers) { $pcs += New-Object PSobject -property @{ Name = [string]$c.. properties["cn"]; OS = [string]$c.. properties["operatingsystem"]; SP = [string]$c.. properties["operatingsystemservicepack"]; SPN = [string]$c.. properties["serviceprincipalname"]; } }.. Und darauf aufbauend (aber ohne String Konvertierung) dann die Lösung mit der Automatischen Übernahme aller Dictionary Einträge aus dem AD Objekt:.. $ldapSearcher = New-Object directoryservices.. findall(); [Array] $pcs = $null; $computers | ForEach-Object { $pcs += New-Object PSobject -property $_.. Properties; } $pcs | Out-GridView;.. Intranet.. Kommentare (3).. Ich hab ein wenig mit Powershell herumgespielt (weil ich das Script das auch in de.. org 08/2011 abgebildet war nicht verstanden habe).. Dabei kam dann folgendes funktionierendes Script heraus, es sortiert mit alle Rechner des AD LDAPs und zeigt diese in einem grafischen Viewer mit Betriebsystemversion und Servicepack Level an: $ldapSearcher = new-object directoryservices.. filter = \"(objectclass=computer)\"; $computers = $ldapSearcher.. findall(); $pcs = @(); foreach ($c in $computers) { $pc = \"\" | Select-Object Name,OS,SP,SPN; $pc.. properties[\"cn\"]; $pc.. properties[\"operatingsystem\"]; $pc.. properties[\"operatingsystemservicepack\"]; $pc.. properties[\"serviceprincipalname\"]; $pcs += $pc; } $pcs | sort-object OS,SP,Name | Out-GridView; Ich habe aber keine Ahnung wie man einfacher aus den Dictionary Entries des $c.. Properties Member direkte Properties machen kann ohne diese  ...   dass die richtige Person unverfälschte Daten jederzeit nutzen kann.. Das CIA Trippel steht auch in der Kritik nicht alle Fälle abzudecken, so wird z.. immer wieder angeführt dass Zurechnungsfähigkeit oder Nicht-Abstreitbarkeit (Accountability, Non-Repudiation) damit nicht abgedeckt werden.. Das sehe ich allerdings nicht so, denn wenn eine Anforderung an ein IT System ist, dass man nachvollziehen kann wer etwas gemacht hat, so werden dazu eigene Daten erfasst, und deren Integrität (kann nicht verändert werden) und Verfügbarkeit (kann nicht unterdrückt werden) stellen sicher, dass authorisierte Nutzer diese Daten einsehen können.. Die STRIDE Eigenschaften lassen sich mit CIA gut ausdrücken:.. Spoofing.. Benutzer die sich als andere Nutzer ausgeben können sind nur ein Problem wenn daraufhin Daten unerlaubterweise weitergegeben werden (Vetraulichkeit) oder wenn andere Benutzer sich auf die Urheberschaft von Informationen verlassen (Integrität).. Tampering.. Unerwünschtes ändern von Daten oder Code ist ein Angriff auf die Integrität des Systems.. Repudiation.. Ein System das Nachvollziehbarkeit benötigt kann darüber unverfälschte (Integrität) Aufzeichnung führen sie sich nicht unterdrücken (Availability) lassen.. Information Disclosure.. Ein Verstoss gegen die Vertraulichkeit.. Denial of Service.. Ein Angriff auf die Verfügbarkeit des Systems.. Elevation of Priveledge.. Angreifer erlangt mehr Rechte als Ihm zustehen.. Dies ist ein Problem wenn damit Angriff auf Integrität oder Vertraulichkeit erfolgt.. Anhand der Gegenüberstellung wird klar, dass mit den 3 Schutzzielen die meisten Bedrohungen besser klassifizieren lassen.. David LeBlanc, einer der Väter der STRIDE Methode gibt dies in einem.. Blogpost.. auch offen zu.. Er sieht trotzdem einen Anwendungsfall für die Methode in der Praxis.. Ich persönlich würde mir wünschen, wenn SDL hier angepasst wird.. Nützlicher sind hier eher Checklisten mit typischen Bedrohungen (und deren Auswirkungen auf die Primären Schutzziele).. Microsoft hat mit Ihrem Security Development Lifecycle für eine deutliche Steigerung der Sicherheit Ihrer Produkte gesorgt.. Ein Konzept das bei der Analyse und Modellierung von Risiken und Bedrohungen im Ramen von SDL eingesetzt wird ist die STRIDE-Klassifizierung von Bedrohungen: ThreatDefinition SpoofingImpersonating something or someone else.. TamperingModifying data or code RepudiationClaiming to have not performed an action.. Information DisclosureExposing information to someone not authorized to see it Denial of ServiceDeny or degrade service to users Elevation of PriviledgeGain capabilities without proper authorization Diese Klassifizierung finde ich nicht sonderlich nützlich.. Viel besser finde ich es daher, bei der Betrachtung von Bedrohun.. (Seite 1 von 1, insgesamt 2 Einträge)..

    Original link path: /archives/2011/08.html
    Open archive

  • Title: IT Blog - Einträge für August 2011
    Descriptive info: Themen in August, 2011..

    Original link path: /archives/2011/08/summary.html
    Open archive



  •  


    Archived pages: 629