www.archive-net-2013.com » NET » E » ECKENFELS

Choose link from "Titles, links and description words view":

Or switch to "Titles and links view".

    Archived pages: 629 . Archive date: 2013-09.

  • Title: STRIDE vs. CIA - IT Blog
    Descriptive info: STRIDE vs.. CIA.. IPv6 default address selection in Java.. |.. 21:56.. Freitag, 5.. August 2011.. Microsoft hat mit Ihrem.. Security Development Lifecycle.. für eine deutliche Steigerung der Sicherheit Ihrer Produkte gesorgt.. Zudem ist die Methodik offen zugänglich und verbessert somit die Software Entwicklung auch in anderen Firmen.. Ein Konzept das bei der Analyse und Modellierung von Risiken und Bedrohungen im Ramen von SDL eingesetzt wird ist die STRIDE-Klassifizierung von Bedrohungen:.. Threat.. Definition.. S.. poofing.. Impersonating something or someone else.. T.. ampering.. Modifying data or code.. R.. epudiation.. Claiming to have not performed an action.. I.. nformation Disclosure.. Exposing information to someone not authorized to see it.. D.. enial of Service.. Deny or degrade service to users.. E.. levation of Priviledge.. Gain capabilities without proper authorization.. Diese Klassifizierung finde ich nicht sonderlich nützlich.. Die Klassen der Bedrohungen überlappen sich.. Es ist eine Mischung aus Angriffen auf primäre und sekundäre Schutzziele.. Viel besser finde ich es daher, bei der Betrachtung von Bedrohungen deren Auswirkungen auf die Primären Schutzziele der Informationssicherheit (.. ) zu betrachten:.. C.. onfidentiality (Vertraulichkeit).. ntegrity (Integrität).. A.. vailability (Verfügbarkeit).. Wenn alle drei Schutzziele erfüllt sind so stellt ein Informationssystem sicher, dass die richtige Person unverfälschte Daten jederzeit nutzen kann.. Das CIA Trippel steht auch in der Kritik nicht alle Fälle abzudecken, so wird z.. immer wieder angeführt dass Zurechnungsfähigkeit oder Nicht-Abstreitbarkeit (Accountability, Non-Repudiation) damit nicht abgedeckt werden.. Das sehe ich allerdings nicht so, denn wenn eine Anforderung an ein IT System ist, dass man nachvollziehen kann wer etwas gemacht hat, so werden dazu eigene Daten erfasst, und deren Integrität (kann nicht verändert werden) und Verfügbarkeit (kann nicht unterdrückt werden) stellen sicher,  ...   klassifizieren lassen.. David LeBlanc, einer der Väter der STRIDE Methode gibt dies in einem.. Blogpost.. auch offen zu.. Er sieht trotzdem einen Anwendungsfall für die Methode in der Praxis.. Ich persönlich würde mir wünschen, wenn SDL hier angepasst wird.. Nützlicher sind hier eher Checklisten mit typischen Bedrohungen (und deren Auswirkungen auf die Primären Schutzziele).. Microsoft hat mit Ihrem Security Development Lifecycle für eine deutliche Steigerung der Sicherheit Ihrer Produkte gesorgt.. Ein Konzept das bei der Analyse und Modellierung von Risiken und Bedrohungen im Ramen von SDL eingesetzt wird ist die STRIDE-Klassifizierung von Bedrohungen: ThreatDefinition SpoofingImpersonating something or someone else.. TamperingModifying data or code RepudiationClaiming to have not performed an action.. Information DisclosureExposing information to someone not authorized to see it Denial of ServiceDeny or degrade service to users Elevation of PriviledgeGain capabilities without proper authorization Diese Klassifizierung finde ich nicht sonderlich nützlich.. Viel besser finde ich es daher, bei der Betrachtung von Bedrohun.. Trackbacks.. Trackback-URL für diesen Eintrag.. Keine Trackbacks.. Ansicht der Kommentare: (.. Linear.. | Verschachtelt).. Noch keine Kommentare.. Kommentar schreiben.. Name.. E-Mail.. Homepage.. Antwort zu.. [ Ursprung ].. Kommentar.. BBCode.. -Formatierung erlaubt.. Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.. Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen.. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden.. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.. Hier die Zeichenfolge der Spamschutz-Grafik eintragen:.. Pavatar.. Gravatar.. Favatar.. MyBlogLog.. Autoren-Bilder werden unterstützt.. Daten merken?.. Verlinkung.. [303].. [316].. [330].. Eingehende Links.. www.. domaincrawler.. [25].. google.. [1].. Blogsphere.. netcraft uptime.. Technorati Profile..

    Original link path: /archives/475-STRIDE-vs.-CIA.html
    Open archive

  • Title: jarsigner mit Tokens - IT Blog
    Descriptive info: jarsigner mit Tokens.. Hardware Security.. Windows 7 hosts-file ignoriert IP Addressen mit 0 prefix.. 23:37.. Donnerstag, 2.. Juni 2011.. Um Java Applets und JAR Files zu signieren nutzt man den jarsigner, der normalerweise ein Java-Keystore (.. jks) file nutzt.. Es ist allerdings ungünstig Codesigning Zertifikate einfach so in Files herumliegen zu haben (auch wenn man diese gesondert sichert).. Es ist anzuraten ein Zertifikat besser in einer SmartCard oder einem Token zu speichern.. Der Oracle jarsigner.. exe verwendet die Java Security Provider der JCE API.. Um damit ein Hardware Token anzusprechen gibt es im wesentlichen 2 Methoden.. Entweder den PKCS#11 Provider (benötigt eine PKCS#11 library (.. dll oder.. so) des Hardwareherstellers) oder unter Windows den Microsoft CryptoAPI (MSCAPI) treiber.. Letzteres hat den Vorteil dass die meisten Smartcards unter Windows 7 oder 2008 bereits Treiber beim einstecken installieren.. Diese Minitreiber sind nur begrenzt nutzbar, aber für das signieren reicht es aus.. Bei meinen Versuchen habe ich aber einige Einschränkungen gefunden:.. Es wird Java 5,6 oder 7(>b144) benötigt.. Ich habe nur die Java Distribution von Sun/Oracle getestet.. In der 64bit Variante wird der Provider aktuell nur von Java 7 ausgeliefert.. Über MSCAPI wird immer in getrenntem Dialog nach PIN gefragt.. Anbei Beispielbefehle zum auslesen des Keystores (in dem auch das Codesigning Zertifikat das auf dem USB Token gespeichert ist sichtbar ist) sowie dem Signaturvorgang:.. c:\Program Files (x86)\Java\jdk1.. 0_24\bin>keytool -list -storetype Windows-MY Keystore-Typ: Windows-MY Keystore-Provider: SunMSCAPI Ihr Keystore enthält 4 Einträge.. FIRMA AG, PrivateKeyEntry, Zertifikatsfingerabdruck (MD5): 57:EF:97:04:EA:91:EE:FF:CF:BF:7F:75:AE:E1:A2:7D.. 0_24\bin>jarsigner.. exe -storetype Windows-MY %TEMP%\test.. jar "FIRMA AG".. Als Speicher für die  ...   Thu Jun 02 23:27:48 CEST 2011 META-INF/MANIFEST.. MF 258 Fri Jun 03 00:04:02 CEST 2011 META-INF/FIRMA_AG.. SF 4764 Fri Jun 03 00:04:02 CEST 2011 META-INF/FIRMA_AG.. RSA 0 Thu Jun 02 23:23:38 CEST 2011 META-INF/ sm 15104 Sun Mar 06 04:56:06 CET 2011 jarsigner.. exe X.. 509, CN=FIRMA AG, OU=Software Development, OU=Digital ID Class 3 - Microsoft Software Validation v2, O=FIRMA AG, ST=Baden-Wuerttemberg, C=DE [certificate is valid from 21.. 12.. 10 01:00 to 22.. 11 00:59] X.. 509, CN=VeriSign Class 3 Code Signing 2010 CA [certificate is valid from 08.. 02.. 10 01:00 to 08.. 20 00:59] [KeyUsage extension does not support code signing] X.. 509, CN=VeriSign Class 3 Public Primary Certification Authority - G5 [certificate is valid from 08.. 11.. 06 01:00 to 17.. 07.. 36 01:59] [KeyUsage extension does not support code signing] s = signature was verified m = entry is listed in manifest k = at least one certificate was found in keystore i = at least one certificate was found in identity scope jar verified.. Update:.. Ich habe das ganze gerade mit der b144 von Java 7 getestet, und damit lassen sich sowohl mit 32bit als auch mit der 64bit Version der MSCAPI Provider für die Signatur von JAR Files via Smart Token nutzen.. Bei meinen Versuchen habe ich aber einige Einschränkungen gefunden: Es wird Java 5,6 oder 7(>b144) benötigt.. Ich habe n.. [424].. Codesigning Zertifikat von.. Verisign.. [411].. jarsigner mit ASEKey Token.. Dialog unter Windows 7.. teloperator.. [20].. 3d-anim-sofware.. [6].. jetsli.. [5].. data-basa-ru.. [4].. chei-telefon.. phone-bases.. full-version.. vk.. kp.. ru.. liveinternet..

    Original link path: /archives/472-jarsigner-mit-Tokens.html
    Open archive

  • Title: Hardware Security - IT Blog
    Descriptive info: Atomi erklärt die Vorteile der Atomkraft (x3).. 01:58.. Freitag, 13.. Mai 2011.. Kris weißt in einem.. Tweet.. auf eine Diskussion zum Thema Sicherheit von Management-Adaptern hin.. Im konkreten Fall wurde vermutet dass ein BMC (Der Mikro-Controller der die IPMI Schnittstelle bereitstellt) Spam Mails versendet hatte (nachdem er kompromittiert wurde).. In dem Forum wird nicht klar, ob es wirklich der Fall ist und welche Schwachstelle dabei verwendet wurde.. Aber in den Kommentaren sind einige sehr bedenkliche Meinungen und Vorgehensweisen zu entdecken:.. Management Adressen (SSH, HTTP, Remote-IPMI) werden von einzelnen Admins absichtlich im öffentlichen Netz zugänglich betrieben - oder aus Versehen aus Unkenntnis.. Hersteller der BMCs installieren keine oder unsichere Default-Passwörter.. Generell waren die Admins der Meinung dass BMCs gar nicht die Ressourcen haben um Spam zu versenden, und es wird unterstellt die Firmware auf den Controllern sei unbedingt sicher.. Das ist natürlich eine naive Annahme.. Auf den BMC Mikro-Controllern läuft  ...   Servern mit Management Adaptern (oder Lights-Out Karten) als wichtig an:.. Firmware des BMC in den Update/Patch Prozess aufnehmen.. Mittels physischer Ports oder VLANs BMC in getrenntem Management LAN betreiben.. Zugriff auf Management LAN beschränken, nur über sichere Hops zugreifen lassen.. Server provisioning Prozedur muss sichere Konfiguration der BMC Adapter beinhalten (Zertifikate, Passwörter, User, evtl.. SSO, WoL Secret.. Verzicht auf Produkte die keine Netzwerksicherheit (Verschlüsselung) bieten.. Generell kann man sagen, der Remote-Zugriff auf BMC Funktionen ist vergleichbar mit physikalischem Konsolen-Access (besonders dann wenn hier auch Consolas und Laufwerke gemapped werden können).. Hardware.. Kris weißt in einem Tweet auf eine Diskussion zum Thema Sicherheit von Management-Adaptern hin.. Aber in den Kommentaren sind einige sehr bedenkliche Meinungen und Vorgehensweisen zu entdecken: Management Adressen (SSH, HTTP, Remote-IPMI) werden von einzelnen Admins absichtlich im öffentlichen Netz zugänglich betrieben - oder aus Versehen aus Unkenntnis.. Auf den BMC Mikro-Controllern läuft ein Betriebssystem mit voll.. [8]..

    Original link path: /archives/471-Hardware-Security.html
    Open archive
  •  

  • Title: Sicherheit - IT Blog
    Descriptive info: XSRF Schwachstelle auf dem ePetitions Server.. 23:21.. Freitag, 15.. Mai 2009.. Der.. ePetitions-Server.. des Deutschen Bundestages hat leider ein Sicherheitsloch.. Das Eintragen und Austragen aus den Petitionslisten erfolgt durch einen einfachen HTTP GET Request ohne Sicherung durch ein Shared Secret (nonce).. Deswegen ist es sehr trivial auf einer beliebigen Web Seite Bilder oder iFrames einzubauen die bei einem Besuch unbemerkt für den Besucher eine Anfrage an den Petitionsserver absenden.. War der Besucher auf dem Petitionsserver angemeldet so wird die Aktion ohne weitere Nachfrage durchgeführt.. Dies geht natürlich nur, wenn der Benutzer auf dem Server bereits angemeldet ist.. Aber eine Gültige Login Session beim ePetitionsserver hat jeder der dort schon mal mitdiskutiert hat (das Session cookie läuft solange der Browser nicht geschlossen wird).. Auf folgender Seite habe ich einen Proof of Concept erstellt.. Besucher dieser Seite (nach der Vorschaltseite) werden in der Liste gegen das Gendiagnose-Gesetz eintragen.. Sie müssen sich dort selbst wieder austragen.. Wenn Sie die Seite besuchen wollen, so kopieren Sie den Link in die Browser Adresszeile.. http://eckenfels.. net/w/CompXSRFPetition.. Das BSI hat übrigend eine.. Studie.. zum Web2.. 0 veröffentlicht in der XSRF als eines der größten Sicherheitsprobleme genannt wird.. Man kann zwar nicht behaupten dass der E-Petitionsserver sehr Web2.. 0 ist, aber immerhin hätte der Bund Ressourcen zur Verfügung gehabt dieses Sicherheitsloch selbst zu entdecken.. Übrigens glaube ich nicht, dass die Schwäche in der eingesetzten Foren-Software SMF ist (da diese es an anderer Stelle wie Logout oder Profil richtig macht) sondern eher an der Erweiterung für die Abstimmungen.. Über die Firma hinter dem Projekt findet sich einiges im.. Artikel von Alvar Freude.. Vielen Dank an.. Matthias Bauer.. für den Hinweis auf dieses Problem.. Kommentare (5).. Der ePetitions-Server des Deutschen Bundestages hat leider ein Sicherheitsloch.. Sie müssen sich dort selbst wieder austra.. OAuth Problem.. 22:03.. Samstag, 25.. April 2009.. We’d like to publicly show our appreciation for Twitter’s role in helping to minimize premature publicity of this threat, even at its own expense, taking the heat as if it was their own issue in order to allow other companies to address this threat.. Die Abschaltung der.. OAuth.. Authentifizierung bei Twitter Services führte zu einem Pressesturm.. Das ReadWrite Web Blog hat jetzt eine (etwas aufgeblasene).. Zusammenfassung der Ereignisse.. veröffentlicht.. Persönlich finde ich - jetzt nachdem die Fakten klar sind - die ganzen Reaktionen etwas übertrieben.. Immerhin ist es weiterhin so, dass Millionen von Anwender OAuth nicht nutzen (können) und Ihre Web 2.. 0 Passwörter weiterhin in dutzenden Third-Party Anwendungen eingeben um deren Dienste zu nutzen.. Ein Session Fixation Angriff, wie er bei OAuth möglich ist hat dabei doch wesentlich weniger weitreichende Konsequenzen.. Entsprechend ist auch das Ergebnis, dass alle OAuth APIs wieder aktiviert wurden, und das Protokoll nur in einem langfristigen Community Prozess noch etwas verbessert werden kann.. Interessanterweise scheint die Flickr API Authentication dieses Problem z.. nicht zu haben.. Zum einen wird nach einem Authorisierungsversuch der Benutzer auf eine festgelegte WebSeite des Anbieters verwiesen, und zum anderen kann der Authorisierungstoken (frob) nur vom Dienstanbieter mit einem Signierten Request in einen Auth Token umgewandelt werden.. Ich hab mir mal ne Mühe gemacht eine kleine Google Appengine.. Anwendung.. zu erstellen die diesen Vorgang vorführt.. OAuth Security Advisory 2009.. Details Explained (Hueniverse).. Die Abschaltung der OAuth Authentifizierung bei Twitter Services führte zu einem Pressesturm.. Das ReadWrite Web Blog hat jetzt eine (etwas aufgeblasene) Zusammenfassung der Ereignisse veröffentlicht.. Entsprechend ist auch das Ergebnis, dass alle OAuth APIs wieder aktiviert wurden, und das Protokoll nur in einem.. Datenschutz bei Bahn und Telekom.. 21:20.. Dienstag, 3.. Februar 2009.. Gerade fand auf dem.. 25C3.. (Der jährliche Hauskongress des CCC, 2008 unter dem Motto "Nothing to hide") noch ein Vortrag darüber statt, dass die in Deutschland existierenden Grundsätze zum Datenschutz (insbesondere die einstmals fortschrittlichen Grundsätze zur Informellen Selbstbestimmung) eventuell nicht mehr der Bedrohungslage gerecht werden, und eher kontraproduktiv sind:.. The Trust Situation.. Why the idea of data protection slowly turns out to be defective.. Sandro Gaycken.. Eine These des Vortrags ist es, dass aktuelle in den Medien breit getretene Datenpannen auch positiv auf das Risikobewusstsein der Bevölkerung wirken.. Entsprechend war auch der.. Datenpannen 2008 Vortrag.. auf dem 25C3 eine gute Zusammenfassung des Jahres.. Und weil ich gerade von Pannen rede: der Spitzel-Skandal bei der DB ist ja grade die prominenteste Panne, aber als politischen Selbstmord muss man wohl die.. letzte Aktion.. der DB werten: sie haben.. Netzpolitik.. org abgemahnt.. wegen Veröffentlichung eines Gesprächsprotokolles (das etwas Licht in die Machenschaften der DB bringt, zum Beispiel die Tatsache dass die Bahn ihre Top Manager und deren Ehepartner hat durchleuchten lassen.. Delikaterweise wurden die Ehepartner über die Verkäufe der (verbilligten) Fahrkarten für Angehörige ermittelt).. Alle Daten die erhoben werden, werden auch missbraucht.. Genauso.. wie die Telekom.. hat auch die Bahn keinerlei Skrupel auf Bewegungsdaten Ihres Geschäftsbetriebes zuzugreifen (und diese auch noch an Ermittlungsfirmen weiterleiten).. Dass die Ermittlungsfirma.. Network Deutschland GmbH.. unter anderem Telefonate und Kontenbewegungen durchleuchtet hat legt nahe, dass sie generell an solchen Listen Interesse haben.. wie zu erwarten zieht das Thema weite Kreise, bei der.. TAZ.. findet sich diese amüsante Zusammenfassung:.. Die Bahn legt Wert auf Transparenz.. Deshalb stochert sie auch gerne mal in den.. Privatdaten ihrer Mitarbeiter herum.. Wenn es aber um die eigenen Angelegenheiten der Bahn AG.. geht, sieht es ganz anders aus.. Informationen über den jüngsten Datenschutzskandal versucht.. die Bahn mit juristischen Mitteln  ...   task force believes that Common Criteria is presently inadequate to raise.. sufficiently the trustworthiness of software products for the DoD.. This is.. particularly true at Evaluation Assurance Level-4 (EAL4) and below, where.. penetration testing is not performed.. Nonetheless, Common Criteria evaluation is.. an international program, well established, and not easy to change.. Es ist interessant zu sehen, dass einer der Haupt-Initiatoren der.. Common Criteria.. nun erkennt, dass diese nicht sehr nützlich ist - und was noch viel interessanter ist - nicht so einfach geändert werden kann, da diese nun im Standardisierung-Morast festsitzt.. Auf den Report hat übrigen's Oracle's CSO.. Mary Ann Davidson.. hingewiesen.. In einem Report (PDF) des U.. DoD findet man folgende - doch recht amüsante - Anmerkung: The primary process relied upon by the DoD for evaluation of the assurance of commercial products today is the Common Criteria (CC) evaluation process.. The task force believes that Common Criteria is presently inadequate to raise sufficiently the trustworthiness of software products for the DoD.. This is particularly true at Evaluation Assurance Level-4 (EAL4) and below, where penetration testing is not performed.. Nonetheless, Common Criteria evaluation is an international program, well established, and not easy to change.. Es ist interessant zu sehen, dass einer der Haupt-Initiatoren der Common Criteria nun erkennt, dass diese nicht sehr nützlich ist - und was noch viel interessanter ist - nicht so einfach geändert werden kann, da diese nun im Standardisierung-Morast festsitzt.. Auf den Report hat übrigen\'s Oracle\'s CSO Mary Ann Davidson hingewiesen.. Zufall?.. 00:46.. Mittwoch, 14.. Mai 2008.. Da ich davon beim abendlichen Beercall erzählt bekam gehe ich davon aus, dass es schon alte News ist und sage.. dazu.. nichts weiter.. naja außer vielleicht:.. 2ecki@calista:~> dpkg -l openssl ||/ Name Version Description +++-===================-===================-====================================================== ii openssl 0.. 9.. 7e-3sarge5 Secure Socket Layer (SSL) binary and related cryptogra.. Da ich davon beim abendlichen Beercall erzählt bekam gehe ich davon aus, dass es schon alte News ist und sage dazu nichts weiter.. naja außer vielleicht: 2ecki@calista:~> dpkg -l openssl ||/ Name Version Description +++-===================-===================-====================================================== ii openssl 0.. 7e-3sarge5 Secure Socket Layer (SSL) binary and related cryptogra.. Gefahren des DRM.. 02:16.. Freitag, 25.. April 2008.. Digital Rights Management (DRM) ist eine Methode Abspiel- und Kopier Möglichkeiten von Medien einzuschränken.. Inhaltsanbieter sagen sie können damit günstigere Preise machen indem die Rechte auf ein vom Kunden benötigtes Maximum eingeschränkt werden.. Kunden hingegen fühlen sich dadurch insbesondere mehrfach abgezockt.. So oder so hat DRM große Probleme, weil dem Kunden (dem Käufer) einiges an Rechte weggenommen wird.. Das kann dann so weit gehen, dass man gekaufte Songs nicht mehr abspielen kann, weil die DRM Server nicht erreichbar sind, oder keine Geräte mehr das Verfahren unterstützen.. Microsoft hat den DRM Skeptikern einst versucht mit Ihrer "Plays for Shure" Campagne zu entgegnen.. Ironischer weise schaltet Microsoft diesen Dienst jetzt ab, was dazu führt dass man die gekauften Medien nicht mehr von einem Gerät zum anderen übertragen kann (sondern nur noch auf den 5 registrierten Geräten).. Wieder einmal zeigt sich, dass offene Formate eine sichere Zukunftsinvestition sind.. Via.. Kris.. Update: auch im.. Spiegel.. Marketing.. Microsoft hat den DRM Skeptikern einst versucht mit Ihrer \"Plays for Shure\" Campagne zu entgegnen.. Wieder einmal zeigt sich, dass offene Formate eine sichere Zukunftsin.. ROTFL: Lost Security Question.. 00:01.. Donnerstag, 24.. Wenn man bei Novell angibt den Username und das Passwort vergessen zu haben, so bekommt man einen Passwort Reminder, der neben dem Usernamen auch die Securityquestion enthält - und die Antwort (was soll das denn, da kann man ja gleich nen neues Passwort zusenden).. Rotfl:.. ROTFLBTC.. Kommentare (3).. Rotfl:.. Intranet Identity Management (Part 1).. 07:48.. Montag, 3.. Dezember 2007.. Das Thema Identity Management wurde besonders von den Herstellern entsprechender Lösungen immer wieder.. in die Fachpresse.. gebracht.. Sicherheit ist auch ein sehr wichtiges Thema, und gerade die Innerbetrieblichen Abläufe lassen sich durch entsprechende Automatisierung nicht nur beschleunigen oder kostengünstiger machen, nein insbesondere auch die Sicherheit profitiert von einem durchdachten Ansatz.. Ein typisches Beispiel ist der HR Prozess bei dem ein Mitarbeiter das Unternehmen verlässt, oder dessen Zugriffsrechte kurzfristig zurückgezogen werden sollen.. Je mehr Systeme an einer Synchronisation beteiligt sind, oder direkt auf die zentrale Benutzerverwaltung zugreifen, desto schneller und vollständiger ist dieser Prozess.. Aber wieder zurück zum Thema IM - ich habe den Eindruck das Risiko wird zwar verstanden, aber noch immer sind Tools in dem Umfeld "Nice-to-have", oder noch schlimmer: es werden strategische Entscheidungen "angedacht" und investiert, ein Großteil der Intranet Anwendungen bleibt aber außen vor.. Hier genau setzt jetzt ein Compliance und Risk Management an.. Und wie allen bekannt ist, kann sich Niemand dem Thema entziehen.. Spätestens mit der neuen EU Direktive zum.. EuroSOX.. (was für ein schreckliches Schlagwort) wird es hier einen Boom geben.. Entsprechend gibt es auch schon eine Analysten Meinung zu dem Thema, wie gerade bei CIO.. de.. gefunden.. Zugriffsrechte sollen hier vereinheitlicht werden (und dazu muß man natürlich Produkte kaufen).. "Intranet Identity Management (Part 1)" vollständig lesen.. Intranet.. Das Thema Identity Management wurde besonders von den Herstellern entsprechender Lösungen immer wieder in die Fachpresse gebracht.. Aber wieder zurück zum Thema IM - ich habe den Eindruck das Risiko wird zwar verstanden, aber noch immer sind Tools in dem Umfeld \"Nice-to-have\", oder noch schlimmer: es werden strategische Entscheidungen \"angedacht\" und investiert, ein Großteil der In.. vorherige Seite.. (Seite 2 von 4, insgesamt 33 Einträge)..

    Original link path: /categories/8-Sicherheit/P2.html
    Open archive

  • Title: HTTP Header und Browser Sicherheit - IT Blog
    Descriptive info: Ansicht der Kommentare: (Linear |.. Verschachtelt.. [520].. W3C Working Draft Content.. Security Policy 1.. [477].. [485].. [516].. IETF WEBSEC Draft: HTTP Strict.. Transport Security.. [546].. W3C Working Draft Cross Origin.. Resource Sharing.. [448].. IETF RFC6255 HTTP State.. Management Mechanism.. [515].. IE8 Security Blog:.. Clickjacking Defense.. [460].. [522].. [439].. [19].. t.. co..

    Original link path: /index.php?url=archives/494-HTTP-Header-und-Browser-Sicherheit.html&serendipity[cview]=linear
    Open archive

  • Title: Database Administration for Diaspora pods (mongo shell) - IT Blog
    Descriptive info: Database Administration for Diaspora pods (mon.. Apache als Reverse Proxy für Diaspora.. Amazon Web Services als PaaS Anbieter.. Database Administration for Diaspora pods (mongo shell).. 22:33.. Dienstag, 30.. November 2010.. One advantage of running your own Diaspora pod is the fact, that you have access to the MongoDB which is used to store your Seed.. This allows you to do some functions which do not yet have a UI (for example canging the E-Mail address of a user) or which is required to work around alpha hickups (deleting duplicate requests).. The mongo shell is a client to the mongodb, which can evaluate JavaScript expressions.. It has some macros ("use", "show" and "help"), the other commands are typically JavaScript methods.. First you assign a Database Object to the variable "db", you can use that with "use".. In the case of Diaspora, the database is named "diaspora-ENVIRONMENT".. If you start mongo shell, it will start with the database "test", but you can list all existing databases, and pick one:.. $ mongo connecting to: test print('hello JavaScript!') hello JavaScript! show dbs admin diaspora-development local magent use diaspora-development switched to db diaspora-development db diaspora-development show collections aspects comments contacts invitations people posts requests system.. indexes users.. Note: you can specify non-existing databases and collections, they are initially empty but will be created, so do not misstype.. You can use db.. collection.. help() to see the available methods on a collection object.. find() is used to search and display documents.. If you specify no parameters it will return a cursort with all documents.. The first parameter can be a list of filter criterias, and the second parameters a list of properties to return.. mongo shell will iterate and print the first ten entries of a cursor automatically:.. db.. users.. find({},{username:1,email:1}) { "_id"  ...   collection.. You need to know that db.. users contains the actual users of the pod (i.. e.. the seeds) and db.. people contains a copy of the public part of other seeds (if you received a request from them, or if you added them to an aspect).. requests.. findOne() { "_id" : ObjectId("4cf1.. a3"), "sent" : true, "from_id" : ObjectId("4cf1.. 03"), "to_id" : ObjectId("4cee7.. a9"), "into_id" : ObjectId("4cf1.. 9d") } db.. people.. findOne({_id:ObjectId("4cf1.. 03")}).. diaspora_handle bernd@pod.. net db.. findOne({_id:ObjectId("4cee7.. a9")}).. diaspora_handle daniel.. @joindiaspora.. com db.. aspects.. findOne({_id: ObjectId("4cf1.. 9d")}).. name Piraten.. As you can see I sent a request to "Daniel", inviting him to my aspect "Piraten", but he has not yet responded.. Hope this helps you to find your way around in the object model of Diaspora.. I recommend you read the MongoDB.. tutorial.. to better use the mongo shell, and check the.. JS API documentation.. for the details.. It has some macros (\"use\", \"show\" and \"help\"), the other commands are typically JavaScript methods.. First you assign a Database Object to the variable \"db\", you can use that with \"use\".. In the case of Diaspora, the database is named \"diaspora-ENVIRONMENT\".. If you start mongo shell, it will start with the database \"test\", but you can list all existing databases, and pick one: $ mongo connecting to: test print(\'hello JavaScript!\') hello JavaScript! show dbs admin diaspora-development local magent use diaspora-development switched to.. Hier fehlt der Flattr-Button!.. #1.. Lutoma.. am.. 01.. 2010 00:02.. Antwort.. Super Artikel, hat mir sehr geholfen!.. #2.. Whiti.. ) am.. 03.. 2010 18:39.. Grosse Hilfe, genau den Tipp hatte ich gesucht.. Thx for sharing!.. #3.. Schulze.. 08.. 01.. 2011 00:27.. #1: Lutoma am 01.. #2: Whiti am 03.. #3: Schulze am 08.. [762].. [728].. [10].. web-promotion-services.. [2].. auslander.. twitter.. tv-base.. 123people.. diasporatest.. search.. yahoo.. ph..

    Original link path: /archives/466-Database-Administration-for-Diaspora-pods-mongo-shell.html
    Open archive

  • Title: Apache als Reverse Proxy für Diaspora - IT Blog
    Descriptive info: WLAN to go (Trekstor Portable WLAN HotSpot).. 06:08.. Sonntag, 28.. Diaspora*.. die Software für verteilte soziale Netze wurde in einer.. Alpha.. Version veröffentlicht.. Bei Diaspora ist vorgesehen dass es keine zentrale Plattform gibt, sondern Benutzer Ihre eigenen Server - Pods genannt - betreiben.. Da es.. aktuell.. auch auf dem offiziellen pod von joindiaspora.. com keine Benutzer freigeschalten werden, ergibt es Sinn einen eigenen Server aufzusetzen.. Im Diaspora Wiki findet man dazu eine.. Anleitung.. Allerdings beschreibt diese nicht, wie man in einer Produktivumgebung die Ruby Anwendung mit einem Webserver versieht, der die Anfragen auf Port 80 entgegennimmt (und statische Assets direkt ausliefert).. Ich habe dazu einen virtuellen Host mit Apache eingerichtet, die Konfiguration sieht so aus:.. LoadModule proxy_module.. LoadModule proxy_http_module.. VirtualHost *> ServerAdmin webmaster@example.. com DocumentRoot /var/www/example.. com/pod/data/public ServerName pod.. example.. com ErrorLog /var/log/httpd/pod.. com-error_log CustomLog /var/log/httpd/pod.. com-access_log combined Alias /uploads/ "/var/www/example.. com/pod/data/public/uploads/" Alias /images/ "/var/www/example.. com/pod/data/public/images/" Alias /stylesheets/ "/var/www/example.. com/pod/data/public/stylesheets/" Alias /javascripts/ "/var/www/example.. com/pod/data/public/javascripts/" ProxyPass / http://pod.. com:3000/ Directory "/var/www/example.. com/pod/data/public"> Options Indexes FollowSymLinks  ...   es aktuell auch auf dem offiziellen pod von joindiaspora.. Im Diaspora Wiki findet man dazu eine Anleitung.. Ich habe dazu einen virtuellen Host mit Apache eingerichtet, die Konfiguration sieht so aus: LoadModule proxy_module.. com-error_l.. Wie wärs denn mit Squid, Squid kann das Ganze eigentlich noch ne Spur besser - meiner Meinung nach ;-).. Wir nutzen Diaspora auch, mit Squid als Reversen.. Wesentlich schneller als mod_proxy, was wir auch erst verwendet haben.. Markus.. 02.. 2011 22:57.. Klar, man kann auch andere Proxy Server verwenden, ich habe halt Apache genommen weil auf meinem Server dieser schon für andere Domains läuft.. Kann Squid denn auch statische Seiten ausliefern?.. Hmm, wundert mich dass es sich von der Performance her viel gibt.. squid ist ja im vergleich zum ningx auch schon sehr betagt.. Vielleicht war der apache nicht so toll konfiguriert? (ist ja leider eine geheimwissenschaft).. Habt Ihr Eure Squid settings irgendwo veröffentlicht?.. Gruss.. Bernd.. 2011 23:52.. #1: Markus am 02.. 1: Bernd am 02.. [688].. [684].. [674].. [763].. ch..

    Original link path: /archives/465-Apache-als-Reverse-Proxy-fuer-Diaspora.html
    Open archive

  • Title: Technik - IT Blog
    Descriptive info: 03:56.. Dienstag, 10.. August 2010.. Vor einiger Zeit habe ich mich bei der PR Agentur von Trekstor beschwert, dass diese mir als Blogger zwar unverlangt Pressemitteilungen senden, aber ohne Testgeräte ich nicht viel berichten kann und will.. Jetzt habe ich überraschend ein Testgerät von Trekstor erhalten, und will dies hier gerne besprechen:.. In einem sehr kleinen Paket habe ich den ".. Trekstor Portable WLAN Hotspot.. " für einen 2-wöchigen Test erhalten.. Ein Gerät in der Größe eines Mobiltelefons das als WLAN Hotspot eingesetzt werden kann, und dabei die Verbindung mit dem Internet mittels eingebauter UMTS Funktion herstellt.. Es ist also ein UMTS WLAN Router, benötigt dabei aber keinen externen USB Stick, die SIM-Karte des Mobilfunkanbieters wird direkt in das UMTS fähige Gerät eingelegt.. Bis zu 5 WLAN Geräte können sich mit dem Hotspot verbinden, und dieser stellt dann die Verbindung zum Internet via UMTS/HDSPA (3G) oder GSM her.. Zusätzlich hat das Gerät einen Mini-USB Anschluss über das es geladen werden kann.. Über diesen USB 2.. 0 Anschluss kann auch ein weitere Rechner (Via Hi-Speed USB 2.. 0 Netzwerk Interface Treiber) angebunden werden.. Der kleine Hotspot kümmert sich dabei um NAT, Firewall, hat einen DNS Proxy und DHCP Server eingebaut.. Konfiguriert wird das Gerät über den Web Browser.. Die Knöpfe am Gerät beschränken sich auf ein Minimum (Ausschalter, WLAN Schalter, Manueller Connect).. Das Trekstor Gerätes ist Baugleich mit dem E5 von Huawei (dies wird auch nicht versteckt, das Logo ist auf der Rückseite zu sehen).. Das Gerät ist Netlock frei, konnte in meinem Test mit Prepaid Standard SIM Karten von blau.. de ebenso wie mit einem UMTS Datenvertrag von O2 genutzt werden.. Es unterstützt UMTS im 2100MHz Band sowie Quad-Band GSM (EDGE, GPRS) 850/900/1800/1900MHz - ist also für Reisen geeignet.. Das WLAN Modul kann im 2,4GHz Band die Kanäle 1-13 nutzen.. (Es gibt bei den Europäischen Modellen eine Ortseinstellung bei der man auch "Japan" auswählen kann, diese schaltet aber keinen weiteren Kanal frei).. Das Gerät unterstütz WPS, konnte ich aber mangels Gegenstelle nicht testen.. Diese Funktion klingt aber kaum einfacher als das abtippen eines Passwortes von der Gehäuserückseite.. Die Anwendungsfälle sind vielfältig.. Als Besitzer von Internet Tablets oder Game Consolen die keine UMTS-Stick Möglichkeit haben ist das Gerät auf jeden Fall eine praktische Option.. Weiterhin kann das Gerät von kleinen Reisegruppen oder Arbeitsgruppen mit Note- oder Netbooks genutzt werden um einen (teuren) Internetzugang gemeinsam zu benutzen.. Es ist damit Ideal geeignet die Wartezeit am Flughafen zu überbrücken ohne dass jeder der beteiligten einen eigenen Datentarif haben muss (einige Provider erlauben nicht den Betrieb von mehreren Geräten per NAT, dies muss im Einzelfall geprüft werden).. Praktisch an dem Prinzip der WLAN Anbindung ist, dass in der Regel alle Geräte ohne spezielle Treiber die Vermittlungsfunktion des Gerätes nutzen können.. Es wird dabei WLAN nach 802.. 11 b/g mit WPA und oder WPA2.. Der WLAN Hotspot wird mit einem austauschbaren 3.. 7 V, 1500 mAh Akku geliefert.. Es kann über USB vom Rechner geladen und mit Strom versorgt werden.. Bei meinen Tests hatte es Laufzeiten von über 4h.. Es kann dabei auch von USB Steckernetzteilen oder externen Akkus (Test mit einem Phillips Reserveakku, der zum Beispiel von iPhones nicht akzeptiert wird, war erfolgreich).. Als zusätzliche Funktion bietet das Gerät übrigens noch einen MicroSD Kartenslot in der Speicherkarten bis zu 32GB eingesteckt werden können.. Diese können dann entweder über den USB Anschluss benutzt werden, oder der Zugriff auf den Inhalt steht über den Web Server des Geräts zur Verfügung.. Generell ist das Gerät und die Software gut durchdacht, es können mehrere Mobilfunk Profile angelegt werden; mutige Zeitgenossen können die Mobilfunk-PIN im Gerät speichern; wenn Roaming erkannt wird vermeidet das Gerät automatisch Online zu gehen.. Bei der Auslieferung hat das Gerät einen eindeutigen Verschlüsselungskey (der auf der Geräterückseite aufgedruckt ist).. Die NAT (ALG, DMZ) und Firewall Funktionen können mit guten Home Routern locker mithalten.. Das Gerät wird mit einem kurzen Mini-USB nach USB Kabel geliefert (aber keinem Netzteil) und einem Quick-Start Guide der keine der Optionen der Software auch nur ansatzweise erklärt.. Er ist aber ausreichend um die erste WLAN Verbindung mit dem Gerät aufzubauen (Ich empfehle als einer der ersten Aktionen den WPA2 Modus zu aktivieren).. Ja, ich kann das Gerät fast nur loben, auf der Seite der Nachteile sehe ich vor allem den relativ hohen Preis (wobei es im direkten Vergleich mit anderen Geräten in der Leistungsklasse mit 139,- Eur günstig abschneidet), kleinere Lieblosigkeiten in der recht technischen Web Oberfläche (zum Beispiel die Deutsche Übersetzung "x Tag x Stunden x Protokoll") und die doch recht knappe Begrenzung auf 5 WLAN Clients.. Das OLED Dot Display ist recht übersichtlich aber unter vielen Lichtbedingungen kaum abzulesen (spiegelt).. Dem Gerät fehlt auch eine VPN Funktion, allerdings sehe ich das nicht als Nachteil an, ein VPN sollte besonders in diesem Einsatzszenario (WLAN) auf dem Endgerät (Notebook) terminiert werden.. Für den stationären Einsatz würde ich das Gerät nicht empfehlen, ebenfalls nicht zur (Not)Versorgung von Veranstaltungen mit Internet (wegen der Anzahl der Clients und den fehlenden externen WLAN Antennen).. Aber als Reisebegleiter macht es eine sehr gute Figur.. Ich habe keine Erfahrungen mit der Stabilität des Gehäuses, beim Anfassen traut man dem Gerät keine große Robustheit zu.. Das Gerät ist auf  ...   nun offen für alle Entwickler.. (die kostenfreie Einsteigerversion erfordert eine SMS Registrierung, und kann auch mit Google Apps for Domains zusammenarbeiten).. In der Public Beta des Amazon Cloud Services werden bald.. persistente Volumes.. möglich sein: damit sind dann auch klassische Enterprise Anwendungen einfach zu betreiben und nicht nur Compute Jobs (Video Rendering) oder.. replizierte Datenbanken.. In zwei kommenden Artikel will ich beide Dienste etwas näher vorstellen, und meine Bewertung dazu abgeben wo und wie das Utility Computing funktionieren kann.. Im Gegensatz zum Begriff Grid Computing ist das Thema Cloud computing etwas eindeutiger definiert.. Die bekanntesten Vertreter dieses Genres sind Amazon\'s EC2 (Elastic Cloud Computing - eine Serverfarm auf der man Xen Images auf Stundenbasis laufen lassen kann) und Google App Engine (eine Python Web Server umgebung für Web Anwendungen).. Beide haben grade aktuell Neuigkeiten zu vermelden: Google App Engine ist nun offen für alle Entwickler (die kostenfreie Einsteigerversion erfordert eine SMS Registrierung, und kann auch mit Google Apps for Domains zusammenarbeiten).. In der Public Beta des Amazon Cloud Services werden bald persistente Volumes möglich sein: damit sind dann auch klassische Enterprise Anwendungen einfach zu betreiben und nicht nur Compute Jobs (Video Rendering) oder replizierte Datenbanken.. In zwei kommenden Artike.. Ich habe ein De ja vù.. 23:56.. Früher gab es kostenlose PDF Viewer die leichtgewichtig waren, und auf den meisten Plattformen verfügbar.. PDF war ein einfaches Austauschformat.. Zwar immer umstritten (Patente, Verschlüsselung, Freie Implementierungen, Versionen, Formulare, Scripte, etc) aber doch sehr erfolgreich (und benutzbar!).. Inzwischen ist der Adobe Reader zum Marketing-Vehikel von Adobe geworden.. Bilder Galerien oder Web Konferencing Funktionen sind mit drin.. Ständige nervige Auto-Updates und Taskleistenpest.. Der Plugin ist generell langsam und instabil.. PDF Inline Aufrufe klappen entweder Firefox oder im IE nicht (oder bei beiden nicht).. Nun ja, ein Mitbewerber ist XPS, aber das ist Microsoft, da kann man auch gleich.. doc Files nehmen (was ich sogar bevorzuge!).. Das ist ganz schön deprimierend.. Aber es geht noch schlimmer!.. Am Horizont ist ein neues Format angetreten, das ursprünglich aus der Imaging/Scan Ecke kommt und hocheffiziente Komprimierung von Bilddaten anbietet.. Neben dem Speichern (und schnellen Abrufen) von Scans kann man es auch für Bilderreiche Publikationen verwenden.. Aber irgendwie habe ich den Eindruck Djvu hat den Sprung von "kleinem nützlichen Format" zum "unbenutzbaren Tool" schon vor dessen Verbreitung gemacht.. Jedenfalls habe ich grade versucht auf meinem XP ein DJVue Demo Dokument zu öffnen.. Zuerst wollte Firefox ein Plugin herunterladen, hat mich dann auf eine manuelle Plugin Installation umgeleitet und diese mit einem 404 beendet.. Dann habe ich die Java Version probiert, aber diese stürzt mit einer Security Exception ab (wenn man ein Applet von einem Host läd, dann sollte es auch nur von dort Daten anfordern, liebe Entwickler).. Gut, dann halt der Installer von.. Lizardtech.. Ergebnis: der Auto Installer ist nur für IE verfügbar und die Stand-Alone Installation (6MB) bricht mit einem "RPC Server läuft nicht" Fehler im Installer ab.. Gut also.. WinDjview 0.. 5.. heruntergeladen und auf die.. Foto Demo.. Seite gegangen.. Ja toll, aber wo bekomme ich dort das Dejavu File das ich für den Viewer benötige?.. Nun gut dann halt einen der.. Artikel.. probiert.. Dort den.. djvu Link angeclicked, und was passiert? Firefox kennt den Viewer nicht - er hat sich nicht mit der File Extension assoziiert.. Also Open with.. Other.. ah endlich.. Aber.. ihh.. das ist ja hässlich - da muss man ja mehr als 100% auswählen (in meinem Alter).. Also als PDF Ersatz für Texte kann man das vergessen.. Kein Anti Aliasing, kein Cleartype, keine Vectorfonts und überhaupt (ist ja auch nicht die Domäne des Formats).. Eigentlich wollte ich es ja für Bilder probieren.. Ok, also die URL eines Demo Files aus der Seite extrahiert und.. angeclicked.. im Browser.. Jetzt öffnet sich DeJaView als Anwendung und zeigt rassend schnell 220 leere Seiten an.. Äh? Erst beim Click auf "Page Information" kommt dann ein Popup: "Error decoding page".. Ok.. dann lassen wir es halt.. Product Management.. Aber es geht noch schlimmer! Am Horizont ist ein neues Format angetreten, das ursprünglich aus der Imaging/Scan Ecke kommt und hocheffiziente Komprimierung von Bilddaten anbietet.. Neben dem Speichern (.. Filehippo Update Checker.. 01:14.. Donnerstag, 26.. Juli 2007.. Nach all der IT Management Theorie in den letzten paar Artikeln mal wieder etwas praktisches für den Windows Desktop.. Update Checker.. von.. Filehippo.. erlaubt es automatisiert einen Großteil aller frei verfügbaren Windows Programme auf Aktualisierungen zu testen.. Danke an Oliver Gassner für den Hinweis (in seinem.. Twitter feed.. Der Update Checker von Filehippo.. com erlaubt es automatisiert einen Großteil aller frei verfügbaren Windows Programme auf Aktualisierungen zu testen.. Danke an Oliver Gassner für den Hinweis (in seinem Twitter feed).. com/eckes.. 09:28.. Donnerstag, 5.. April 2007.. Ich habe mir einen Twitter Account zugelegt, weil ich denke das ist ein gutes Tool seinen Tagesablauf zu dokumentieren.. Ich werde mir neben dem.. öffentlichen Account.. den Sie gerne tracken dürft auch noch einen privaten anlegen in dem ich z.. Projektspezifische Zeiten accounten werde.. Jetzt muss ich nur noch den RSS Feed auf meiner privaten Homepage einbauen.. follow eckes at http://twitter.. Karlsruhe.. Ich werde mir neben dem öffentlichen Account den Sie gerne tracken dürft auch noch einen privaten anlegen in dem ich z.. com.. (Seite 2 von 4, insgesamt 32 Einträge)..

    Original link path: /categories/13-Technik/P2.html
    Open archive

  • Title: IT Blog
    Descriptive info: 2013.. September.. 0 Einträge.. (ganz anzeigen).. (Überschriften anzeigen).. August.. Juli.. Juni.. Mai.. April.. März.. Februar.. Januar.. 2012.. Dezember.. November.. 1 Einträge.. ganz anzeigen.. Überschriften anzeigen.. Oktober.. 2 Einträge.. 2011.. 2010.. 2009.. 2008.. 2007.. 2006.. 3 Einträge.. 2005.. 2004..

    Original link path: /archive/C13
    Open archive

  • Title: Oracle Java SE (hotspot) GC Logfile rotation - IT Blog
    Descriptive info: [514].. [18]..

    Original link path: /index.php?url=archives/493-Oracle-Java-SE-hotspot-GC-Logfile-rotation.html&serendipity[cview]=linear
    Open archive

  • Title: In-Memory Data Management (openHPI) - IT Blog
    Descriptive info: Das Einladungsvideo geht mir ja schon auf den Keks.. Ich bin einfach nicht dafür geschaffen dass auf der einen Seite in 10 Minuten mir eine Lehrplatform erklärt wird, da bin ich einfach textueller, da kann man querlesen.. 05.. 09.. 2012 17:53.. Super, ich wollte nur mal schnell die Einleitungsvorlesen ansehen, und jetzt hängt das schon mehrfach.. Ist die Technik schon reif für eLearning? :).. 2012 18:19.. #1: Bernd am 05.. 1: Bernd am 05.. [568].. [531].. google..

    Original link path: /index.php?url=archives/492-In-Memory-Data-Management-openHPI.html&serendipity[cview]=linear
    Open archive



  •  


    Archived pages: 629