Zum Inhalt

Schlagwort: Security

Security (engl.: Sicherheit) bezeichnet in der Informationstechnik Verfahren, die eine gewollte oder ungewollte Manipulation ermöglichen oder erschweren – je nach Blickwinkel, Zielsetzung und Ansicht. Dabei werden kryptografische Verfahren, Sicherheitslücken, Programmierfehler oder Konfigurationsmerkmale betrachtet, um ein System sicher zu machen.

WordPress: BruteForce per .htaccess abwehren

Jeder, der eine WordPress-Instanz mit einem Plugin wie LoginSecuritySolution betreibt, kennt sicher die Erinnerungsmails zu Brute-Force-Angriffen. Mit einer einfachen .htaccess-Modifikation lassen sich die Login-Namen ausreichend vor den Angreifern verstecken. Die hier genannten Vorschläge haben zwar etwas von Augenwischerei, weil sie weder die Symptome bekämpfen noch vollständig sind; derzeit decken sie aber um die 98% der Angriffe ab. Dabei bedarf es nur eines minimalen Eingriffs in die Blog-Konfiguration via .htaccess.

Polizeiabsperrung - Karl-Heinz Laube / pixelio.de
Polizeiabsperrung – Karl-Heinz Laube / pixelio.de

DNS-Eintrag für PGP-Key erstellen

Wer einen PGP-Key mit GnuPG oder ähnlichen Tools nutzt, möchte erreichen, dass andere Personen den eigenen Key leicht erhalten und prüfen können. Neben der üblichen Prüfung von Signaturen und Fingerprints bietet das Domain Name System (DNS) eine einfache Möglichkeit, zumindest eine kleine Prüfung vorzunehmen.

Verschlüsselung - Carola Langer / pixelio.de
Welcher Schlüssel ist der richtige? Verschlüsselung – Carola Langer / pixelio.de

Das funktioniert zwar nur mit einer eigenen Domain – aber den DNS-Einträgen vertraut man beim Senden einer E-Mail nunmal auch. Sie stehen unter der Kontrolle des Empfängers. Stimmt ein speziell formartierter Eintrag nun also mit dem Schlüssel des Empfängers überein, so gewinnt man ein wenig Sicherheit.

OpenSSL auf dem Raspberry Pi aktualisieren

Derzeit ist der Heartbleed-Bug ja in aller Munde. Es geht darum, dass eine OpenSSL-Sitzung ihren Key preisgeben könnte. Damit wären rückwärtig alle mitgeschnittenen Datenpakete abhörbar. Heise bezeichnet ihn sogar als SSL-GAU.

Heartbleed Website
Heartbleed Website

Der Raspberry Pi ist ein sehr beliebter Mini-Server. Auch auf diesem laufen viele Dienste, die OpenSSL nutzen (u.a. für https) und daher vom Herzbluten (engl.: Heartbleed) betroffen sein könnten. Das Aktualisieren geht zum Glück ganz einfach – wie auch unter Debian.

Billige Hoster = schlechte Web-Hoster!

Homepage ClipartGünstige Webhoster gehören verboten. Punkt. Neulich habe ich erst wieder eine Erfahrung gemacht, bei der ich glatt rückwärts vom Stuhl gefallen bin. Hintergrund: Veraltete Software, kritische Konfiguration, fehlende Flexibilität.

Selbst bei Webhosting mit SSH-Zugriff (engl.: ssh access) sieht die Sache meinen Erfahrungen nach nicht immer besser aus. Oftmals erhält man diesen nur bei Virtuellen Servern, und auch dann oft nur stark verkrüppelt: Kein Auth per Public Key, keine Cron-Jobs, kaum Ablagemöglichkeiten und keine editierbaren .profile / .bashrc -Dateien. Meine Erfahrungen mit Systix schildere ich neutral in diesem Artikel.

Hoster: Schokokeks und Uberspace

Tango Icon Internet, WebWer als Linux-Enthusiast seine Websites professionell hosten will, kommt an einem SSH-Zugang , SNI und flexibler Mailkonfiguration nicht vorbei. Nur zwei Hoster – Uberspace und Schokokeks – sind mir bekannt, die solch spezielle Dienste überhaupt anbieten – die haben es aber qualitativ in sich!

Beide verwenden ein relativ ähnliches Setup, was sich gefühlt nur in Details unterscheidet. Es gibt aber durchaus wichtige Unterschiede, die man vor dem Anlegen eines Kontos dringend verstehen sollte. Diese Unterschiede zwischen Schokokeks.org und Uberspace.de möchte ich im folgenden möglichst neutral darlegen.

Easybell-Datenschutz: Telefonrechnung ohne Rufnummer

Datenschutz Piktogramm
Gerd Altmann / pixelio.de

Eine Telefonrechnung kann sehr praktisch sein. Etwa, weil man sie beim Finanzamt einreichen kann, die Kosten kontrollierbar bleiben. Andererseits kann man sich mit einer Telefonrechnung normalerweise bei StartSSL zertifizieren lassen, eine so genannte Class 2 Identity Validation.

Dämlicherweise gibt es Firmen, die den Datenschutz allzu ernst nehmen. Easybell gehört wohl dazu. Natürlich kann es auch sein, dass ich hier einen einschlägigen Paragrafen nicht kenne. Jedenfalls machte mir weiland die Telefonrechnung einen Strich durch selbige. Die folgende Begebenheit rief Unverständnis bei mir hervor.

Sichere E-Mail-Adressen für Facebook

Briefumschläge (Nachrichten)Wer Nutzer von sozialen Netzen, Blogging-Diensten und anderen Services im Internet ist, kennt es: Überall sollte er ein anderes Passwort nutzen, und möglichst auch verschiedene E-Mailadressen.

So kompliziert muss es gar nicht sein – vorrausgesetzt man nutzt GMail (ehemals Google Mail). GMail erlaubt es nämlich, seine E-Mail-Adressen auf ganz geschickte Art und Weise zu verändern – ohne, dass sie ungültig würden.