YourHelpCenter.de

"Hilfe & Support für IT Probleme"

• Startseite
• Impressum

Kategorien

• Allgemeines
• Anleitungen
• Apache WebServer
• C# .Net
• cakePHP
• Datenschutz
• Download
• eclipse
• Ext JS
• Linux
• MSSQL
• MySQL
• Oracle
• php
• Ruby on Rails
• Sicherheit
• Spiele
• Windows
• WordPress

Suchen

Aktuelle Artikel

• PHP: Zufallszeichenkette erzeugen (random string)
• .htaccess: Zugriff auf ein Unterverzeichnis erlauben
• WordPress: Besucher protokollieren und auswerten
• mySQL: Update if exists else insert record (SQL statement)
• mySQL: In PHP vor SQL Injection schützen
• C#: “System.Data.XmlReadMode” enthält keine Definition für “WriteSchema” (CS0117)
• C#: SQLite Datenbank einbinden und nutzen (auch für SharpDevelop)
• ExtJS: Fehler “unterminated string literal” bei .load()
• SVN: Die .svn Ordner rekursiv aus den Verzeichnissen löschen
• Linux: Datenträger Partitionierungs Tool

Archiv

• März 2010
• Februar 2010
• Januar 2010
• Dezember 2009
• November 2009
• Oktober 2009
• September 2009
• August 2009
• Juli 2009
• Juni 2009
• Mai 2009
• April 2009
• März 2009
• Februar 2009
• Januar 2009
• Dezember 2008
• November 2008
• Oktober 2008
• September 2008
• August 2008
• Juli 2008

Sicherheit

PHP: Zufallszeichenkette erzeugen (random string)

Um eine Zeichenkette (string) mit zufälligen Zeichen zu erzeugen, können Sie folgende PHP Funktion nutzen:

1
2
3
4
5
6
7
8
9
10

// Zufallsgenerator schütteln
mt_srand((double) microtime() * 1000000); 
 
// Basiszeichenpool
$set = "ABCDEFGHIKLMNPQRSTUVWXYZ123456789";
$pin = "";
 
// 10 stelligen PIN aus den o.a. Zeichen erzeugen
for ($n=1;$n<=10;$n++)
	$pin .= $set[mt_rand(0,(strlen($set)-1))];

Natürlich geht das o.a. PHP Script auch für längere Zeichenketten. Ersetzen Sie einfach die “10″ (Zeile 9) durch die gewünschte Anzahl an Zeichen.

In der Variablen “set” (Zeile 5) können Sie die Zeichen festlegen, aus denen der Zufallsgenerator Ihre Zeichenkette erstellen soll.

.htaccess: Zugriff auf ein Unterverzeichnis erlauben

Es gibt Fälle, da möchte man ein Verzeichnis per .htaccess schützen – trotzdem aber den Zugriff auf ein Unterverzeichnis des geschützten Verzeichnisses wieder erlauben.

Praxis-Beispiel:

Um Ihre WordPress Installation zusätzlich zu sichern, sperren Sie das /wp-admin Verzeichnis durch eine .htaccess / .htpasswd Kombination. Dadurch werden aber andere Logins (z.Bsp. von normalen Benutzern auf der Webseite) auch blockiert, da bei die Loginmaske Dateien aus dem /wp-admin/css und /wp-admin/images Verzeichnis abruft.

Lösung:

Erstellen (der belassen) Sie den Schutz wie in unserem Artikel “WordPress: Schutz des Administrationsbereiches (wp-admin)/” beschrieben für den /wp-admin/ Ordner.

Erstellen Sie zusätzlich in den beiden Unterordnern “css” und “images” eine weitere .htaccess Datei mit diesem Inhalt:

Order Deny,Allow
Allow from all
Satisfy any

Nun werden Sie beim Zugriff auf “www.domain.de/wp-admin” nach Ihren Zugangsdaten gefragt. Möchte sich ein Benutzer jedoch normal über die Loginmaske anmelden, sieht es das bekannte Formular und wird nicht eingeschränkt.

mySQL: In PHP vor SQL Injection schützen

Wie wir in unserem Artikel “mySQL: Schutz vor Angriffen in Datenbankabfragen (SQL Injection)” bereits erklärt haben, ist es vergleichsweise einfach möglich, durch ungesicherte bzw. ungeprüfte Parameter schadhaften oder zerstörenden Code in Ihre SQL Statements einzufügen.

Wie Sie sich z.Bsp. in PHP einfach und schnell gegen solche Angriffe schützen können, zeigt folgender Codeausschnitt:

1
2

foreach ($_REQUEST as $key => $val)
  $_REQUEST["$key"] = mysql_real_escape_string($val);

Es werden alle übergebenen Parameter (GET und POST) durch die mySQL Funktion “mysql_real_escape_string” überarbeitet. Dadurch werden die für eine Injektion benötigten Zeichen unschädlich gemacht und der Datenbankserver wird im Normalfall mit der “kaputten” SQL Anweisung nichts anfangen können.

Für weitere Informationen zum Thema SQL Injektion besuchen Sie bitte unseren o.a. Artikel.

Apache: Reverse Proxy & Multi Subdomains

Wenn Sie einen Apache2 Webserver als Reverse Proxy betreiben und dabei mehrere Subdomains berücksichtigen möchten, müssen Sie nicht zwangsläufig mehrere virtuellen Hosts (VHosts) in der Apache Konfiguration definieren. Es geht wesentlich einfacher über Parameter in der Konfiguration:

Fügen Sie am Ende der Datei die folgenden beiden Zeilen ein:
ProxyRequests on
ProxyPreserveHost on

Starten Sie anschließend den Apache durch “/etc/init.d/apache2 restart” neu. Fertig.

Wenn Sie WebMin für die Administration nutzen, können Sie die Einstellung auch bequem über die Weboberfläche durchführen:

• Server
• Apache Webserver
• Den entsprechenden virtuellen Server auswählen
• Proxying
• “Erhalte originalen Host:-Header” auf “Ja” setzen
• Oben rechts auf “Änderungen anwenden” klicken

Warum man Partitionen einrichten sollte

Bei der Installation eines Betriebsystemes werden Sie meist nach der Einrichtung von Partitionen gefragt.

Eine partition ist die (virtuelle) Unterteilung eines Datenträgers in einzelne Bereiche.

Die jeweils passende Partitionierung hängt davon ab, wie Sie den Computer nutzen möchten.
Eine gute Faustregel ist, dass Sie mit den Partitionen eher großzügig sind und dabei folgendes berücksichtigt:

Jeder Bereich (Verzeichnisbaum), auf den ein Benutzer Schreibzugriff haben soll (z.Bsp. bei Linux auf die Verzeichnisse /home, /tmp und /var/tmp) sollte auf einer separaten Partition liegen. Das senkt das Risiko eines DoS (= Denial of Service) durch einen Benutzer. Das kann z.Bsp. passieren, indem man Ihren “/”-Mountpoint füllt (eine Datei, bis sie den kompletten freien Speicherplatz benötigt) und so das komplette System unbenutzbar macht. Rein technisch ist zwar immer noch ein wenig Platz für den Benutzer “root” – aber ein großes Problem haben Sie trotzdem.

Außerdem schützt dieses Vorgehen vor Hardlink-Angriffen.

Debian: Verbindung per SSH installieren / einrichten

Nachdem Sie sich einen minimalen Linux Server (hier mit “Debian +lenny4″) installiert haben, sollten SIe sich für den Remotezugang den SSH-Server installieren:

apt-get install openssh-server

Danach mit folgendem Befehl starten:

/etc/init.d/ssh start

Ab jetzt können Sie sich per SSH mit Ihrem Server verbinden.

Kostenloses & häufig eingesetztes Tool ist “PuTTY”.
Auf der folgenden Webseite finden Sie dazu mehr Informationen:

http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Apache2 – Variable “SERVER_SOFTWARE” setzen

Um im Apache2 die Umgebungsvariable “SERVER_SOFTWARE” zu beeinflussen, nutzen Sie einfach die Konfiguration des Apache WebServers:

Z.Bsp. in Debian Linux lenny4:
Unter “/etc/apache2/conf.d/security” die Zeile beginnend mit “ServerTokens” finden und entsprechend anpassen.

• ServerTokens Prod
  Der Server sendet “Server: Apache”
• ServerTokens Major
  Der Server sendet “Server: Apache/2″
• ServerTokens Minor
  Der Server sendet “Server: Apache/2.0″
• ServerTokens Min
  Der Server sendet “Server: Apache/2.0.41″
• ServerTokens OS
  Der Server sendet “Server: Apache/2.0.41 (Unix)”
• ServerTokens Full   (oder nicht angegeben)
  Der Server sendet “Server: Apache/2.0.41 (Unix) PHP/4.2.2 MyMod/1.2″

Die gesendeten Texte sind nur Beispiele.

Mehr Infos unter apache.org/docs/2.2/mod/core.html#servertokens

Warnung vor einer kritischen Sicherheitslücke im IE (Internet Explorer)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer sehr kritischen Sicherheitslücke im Browser “Internet Explorer” (IE) von Microsoft. Durch diese Lücke können Angreifer mit einer manipulierten Website sehr schnell und sehr einfach Schadcode auf Ihren Windows-Rechner kopieren.

Das BSI rät, den IE-Browser vorerst nicht zu benutzen, bis die Lücke geschlossen ist !

Betroffen sind die Browser-Versionen 6, 7 und 8 (und damit alle genutzten Versionen !) auf den Betriebssystemen WindowsXP, Windows Vista und Windows 7.

Schnelle, einfache und kostenlose Lösung

Nutzen Sie den Browser “Firefox” von Mozilla. Dieser Browser ist kostenlos, einfach & schnell zu installieren. Das Wichtigste ist aber, dass der Source (= Quellcode) frei zugänglich ist und daher von tausenden Programmierern und SOftwareentwicklern regelmäßig geprüft und überarbeitet wird. Dadurch sind Sicherheitslücken extrem selten und werden ggf. sehr schnell behoben.

Updates können nach der Installation auf Wunsch automatisch oder manuell installiert werden.

Der Mozilla Firefox Browser ist heute sehr weit verbreitet und wird auch von uns stets als erste Wahl – ausdrücklich vor dem IE – empfohlen.

Links

Download des besseren und sichereren Mozilla Browsers
Sicherheitswarnung vor dem IE des BSI

Ausspähen von ungeschützen Daten ungestraft

Im §202a StGB (“Ausspähen von Daten”) steht folgender Text:

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

Im Klartext heißt u.a.:

Wenn Sie Ihre Daten nicht durch Passwörter oder andere Schutzmaßnahmen vor dem Zugriff durch Andere (Dritte) schützen, wird der Spion wahrscheinlich straffrei ausgehen. Dabei ist wichtig, dass der Zugang zu Daten in besonderen Fällen auch “versehentliches” Löschen oder Manipulieren einschließt.

Kommt ein Hacker oder anderer Computernutzer also auch Ihren Computer und kann ohne Hürden auf Ihre Daten zugreifen, so hätten Sie bei gelöschten Dateien ggf. nicht einmal die Möglichkeit, den Angreifer anzuzeigen.

Wie leicht das heute gehen kann, zeigen viele Quellen im Internet. Das kann vom “WarDriving” (= teilweise unbemerktes Einwählen in Ihr WLAN Netz z.Bsp. aus dem Auto) oder der Zugriff über das Internet sein (z.Bsp. durch Ausspähen Ihrer aktuellen IP Adresse durch kostenlose und frei zugängliche IP Scanner Tools). Die technische Hürde ist dabei sehr gering. Durch einen Download und eine sehr kurze Anleitung (nicht einmal eine DIN A5 Seite) könnten wir auch einen Computer-Neuling leicht in die Lage versetzen.

Wichtige Punkte zum Schutz Ihrer Daten

• Schützen Sie Ihr Benutzerkonto immer mit einem Passwort
• Wählen Sie ein sicheres Passwort.
  Sichere Passwörter sind mind. 8 Zeichen lang und bestehen aus:
  • Groß- und Kleinbuchstaben
  • Ziffen- und Zahlenkombinationen
  • Enthalten möglichst auch Sonderzeichen (# $ % …)
• Halten Sie Ihre Passwörter geheim
• Speichern Sie Ihre geheimen Daten (z.Bsp. Bank PINs etc.) nicht auf Ihrem Computer
• Vertrauen Sie nicht dem Passwortschutz Ihrer Textverarbeitung.
  Für fast alle Programme gibt es leicht verfügbare Software zum Entfernen oder Anzeigen des benutzten Passwortes. Ein “verschlüsseltes” Textdokument ist heute keine große Hürde mehr und der Angreifen hat beliebig viel Zeit – nachdem er sich Ihre Dateien z,Bsp. auf seinen eigene PC kopiert hat.
• Für sensible Daten nutzen Sie immer Zusatzsoftware wie z.Bsp. TrueCrypt.
  TrueCrypt ist kostenlos erhältlich und erstellt auf Ihrem Computer sog. “Container”. Diese Dateien sind passwortgeschützt und nicht einfach und ohne Spezialwissen zu knacken. Wenn Sie ein sicheres Passwort wählen, ist die Wahrscheinlichkeit des Zugriffes durch Dritte auf diese Daten fast ausgeschlossen oder nur mit extremen Aufwand möglich.
  Webseite von TrueCrypt: www.truecrypt.org
• Legen Sie auch vertrauliche Photos nicht einfach auf Ihrem Computer ab. Intime Bilder können sehr schnell zu Ärgernis werden sobald Sie (im schlimmsten Fall) im Internet auftauchen. Und was einmal im Internet gespeichert wurde kann kaum noch gelöscht werden. Erst recht gegen ausländische Server hat man kaum rechtliche Möglichkeiten.

Schutz Ihres WLAN Netzwerkes

• Verschlüsseln Sie Ihre Netzwerk.
  Eine kurze Anleitung finden Sie im Artikel “Das WLAN Netzwerk einfach schützen” oder im Handbuch Ihres WLAN Routers.
• Lassen Sie nur bekannte MAC Adressen zugreifen.
  Mehr Details dazu finden Sie im o.a. Artikel. Dieser Schritt muss nicht zwingend sein und ist auch durch Hacker schnell zu umgehen – aber normale Hacker und Kids werden dadurch erstmal abgewehrt.

Leitregeln

• Machen Sie es einem Angreifer so schwer wie möglich.
  Je mehr Hürden (Passwörter, Firewall, Portfilter, …) zu überwinden sind, desto wahrscheinlicher ist, dass er zum nächsten (ungeschützen) Computer weiterzieht.
• Wenn Sie Ihr Netzwerk, Ihren Computer und Ihre Daten schützen – dann greift auch der o.a. §202a StGB nicht mehr. Dann ist der Zugriff auf Ihre Daten garantiert kriminell und wird hart bestraft.

Hinweis:

Dieser Artikel enthält rechtliche Informationen. Wir möchten Sie hiermit nur auf die Gefahr hinweisen und können und wollen SIe rechtlich nicht beraten. Für rechtliche Auskünfte suchen Sie bitte immer einen (Fach-)Anwalt auf.

Quelle des Gesetzestextes: http://www.gesetze-im-internet.de/stgb/__202a.html

Das WLAN Netzwerk einfach schützen

Prüfen Sie, ob Ihr WLAN Netzwerk durch folgende Punkte gesichert ist:

• Ihr Router ist durch ein neues, nur Ihnen bekanntes Passwort geschützt.
• Das Standardpasswort des Routers ist nutzlos (bitte testen !)
• Falls möglich, den Benutzernamen für den Login ändern
• Die Datenübertragung muss verschlüsselt sein:
  • WEP
    Einfache Verschlüsselung. Zum Schutz vor §202a StGB aber bereits ausreichend als “Hürde” anzusehen. Die WEP Methode kann heute in wenigen Sekunden umgangen werden.
  • WPA
    Gehobene Verschlüsselung der übertragenen Daten. Das Einhacken ist wesentlich aufwändiger – aber immernoch in überschaubarer Zeit möglich.
  • WPA2
    Gehört aktuell zum höchsten Schutzlevel. Garantierten Schutz bietet auch dieser Level nicht – aber ein hohes Maß an krimineller Energie und Willen an Ihre Daten zu gelangen ist schon notwendig. Ebenso wie deutlich mehr Zeit als beim WEP Verfahren.
  • Keine Verschlüsselung gleicht einer offenen Haustür mit großer Einladung am Gartenzaun
• Die SID (= Öffentlicher Name Ihres WLAN Netzwerkes) sollte öffentlich nicht sichtbar sein:
  Allow Broadcast of Name (SSID) = Off / Deaktiviert

Zusätzliche Maßnahmen:

• Zugriff haben nur ausgewählte MAC Adressen.
  Die MAC Adresse ist Ihrer Netzwerkkarte fest zugeordnet (es gibt zwar Tools, die eine MAC Adresse ändern können, jedoch gehört dazu bereits Spezialwissen und ein gewisses Maß an krimineller Energie. Wir möchten daher diese Möglichkeit für den privaten Gebrauch außer Acht lassen).
  Sie können die MAC Adresse Ihres Computers auslesen. Eine Anleitung finden Siein unserem Artikel “Die MAC Adresse anzeigen“.
• Der wirksamste Schutz gegen Zugriff über das WLAN ist eine Deaktivierung.
  Wenn Sie nicht per LAN (kabelgebundener Verbindung) ins Netzwerk kommen oder die weiterhin flexibel im Hausumfeld bleiben möchten, denken Sie über die Anschaffung eines DLAN nach. Ein DLAN wird über Ihr Stromnetzwerk im Haus genutzt. Dabei speisen Sie über einen Adapter das LAN direkt am Router in Ihre Stromverteilung im Haus ein. Das Verfahren ist risikolos und beeinflusst auch nicht Ihren Stromverbrauch. Mit anderen Adaptern können Sie das Signal wieder an einer anderen Steckdose Ihres Hauses auslesen. Dabei können sich mehrere Computer mit mehreren Adaptern gleichtzeitig (auch untereinander) verbinden. Auch die Verschlüsselung dieser Übertraung ist leicht möglich. Sind die Adapter eingerichtet, benötigen die Computer keine zusätzliche Software.
  Das Signal ist ausreichend schnell für das Surfen und Arbeiten im Internet. Auch kann das Signal meist den Stromzähler nicht durchdringen und ist daher außerhalb Ihres Hauses nicht zu empfangen.

© Copyright 2oo6, 2oo8 by Malte Retzlaff