Copying sources and texts (also in parts) for publishing without our permission is NOT ALLOWED. We are fed up with finding our work on other sites (like stackoverflow).
Das Kopieren von Quellcode und Texten (auch in Auszügen) ist nicht erlaubt. Wir haben es gründlich satt, unsere Arbeit auf anderen Webseiten zu finden.

Copying for non-public usage is allowed.           Das private Kopieren und Benutzen ist natürlich erlaubt und erwünscht.

Kategorie "Datenschutz"

28. Nov
Teaser

Sicherheit: Verlorenes Passwort im Codiad Editor

Wenn Sie den Codiad WebEditor benutzen und Ihr Passwort vergessen haben, dann kann Ihnen diese Lösung helfen:

Öffnen Sie im codiad Verzeichnis die Datei “data/users.php”:

nano data/users.php
<?php
/*|[{"username":"john","password":"6bf7d9cab423e10349e3bd0389d11697e7080ba9","project":"\/home\/john\/public_html\/projects"}]|*/
?>

Setzen Sie vorübergehend das Passwort für John auf “login” indem Sie den Inhalt von “password” auf “93ceb7962cf40688f3c465ba57ff7286893fd19e” ändern:

<?php
/*|[{"username":"john","password":"93ceb7962cf40688f3c465ba57ff7286893fd19e","project":"\/home\/john\/public_html\/projects"}]|*/
?>

Beenden Sie nano durch “Strg + X” und speichern Sie die Änderungen ab.

Sie können sich nun in Codiad wieder anmelden. In diesem Beispiel mit Benutzer “john” und dem Passwort “login”.

Fertig.

Vergessen Sie bitte nicht, Ihr Passwort in Codiad wieder zu ändern. Gehen Sie dafür in das Menü auf der rechten Bildschirmseite, klicken Sie “Password” an und geben Sie ein neues, geheimes Passwort ein.

Wenn Sie gerne direkt ein eigenes und verschlüsseltes Passwort in die “users.php” eintragen möchten, dann können Sie den Passwort Hash mithilfe der folgenden PHP Datei selber erzeugen. Es ist recht einfach: Ihr Passwort wird zuerst per MD5 codiert und dann über dieses Ergebnis ein SHA1 laufen gelassen:

nano getCodiadPassword.php
<?php

echo sha1(md5("PASSWORD")) . "\n";
php getCodiadPassword.php
508b38590a90d32990aadd7350d160b795c3ab41

Das wäre der Hash für den Text “PASSWORD”.

22. Nov
Teaser

megaRAID: Alarm auf “silent” stellen

Wenn Sie ein “megaRAID” System benutzen und eine Festplatte einen Fehler hat … dann werden Sie erleben, was echter Alarm bedeutet. Eine Feuerwehrsirene direkt neben Ihnen ist ein Witz gegen den Alarm einiger RAID-Gehäuse.

Das kann und mag für einige Fälle (und fast taube Techniker) so gewünscht sein; häufig reicht auch ein aufmerksamer Administrator, richtig konfigurierte Warnmeldungen per E-Mail und ordentliche Vorbereitung.

Den Alarm können Sie mit folgendem Befehl ausschalten:

megacli -AdpSetProp AlarmSilence -aALL
Adapter 0: Set alarm to Silenced success.

Exit Code: 0x00

Für den Alarmzustand gibt es folgenden Optionen:

Leiser Alarm (Silence active alarm)

MegaCli -AdpSetProp AlarmSilence -aALL

Deaktivierter Alarm (Disable alarm)

MegaCli -AdpSetProp AlarmDsbl -aALL

Aktiver Alarm (Enable alarm)

MegaCli -AdpSetProp AlarmEnbl -aALL
22. Aug
Teaser

Komplette Webseite mit “wget” sichern

Der folgende Befehl erlaubt es, eine Webseite unter Linux komplett als Kopie lokal zu speichern:

wget -r http://www.domain-name.de

Dabei erstellt “wget” automatisch eine Verzeichnisstruktur im aktuellen Ordner und legt alle angerufenen Dateien dort ab.

05. Aug
Teaser

WordPress: Die readme.html Datei blocken

WordPress hat schon lange die unbeachtete Sicherheitslücke mit der eigenen “readme.html” Datei.

Das wird bei den Veröffentlichungen (Updates) wohl auch keiner vom WordPress Team mehr lernen: Solche Details geben Angreifern wertvolle Informationen über das eingesetzte System, die eingesetzte Version (denn auch die readme Datei ändert sich von Zeit zu Zeit) und somit mehr Möglichkeiten des Angriffes. Der Inhalt solcher Dateien ist für den Webseitenbetreiber ggf. interessant; jeden anderen gehen solche Details nichts an.

Lösung:
Sperren Sie selbst in der .htaccess Datei den Zugriff auf diese Datei:

RewriteCond %{THE_REQUEST} /readme\.html[?/\s] [NC]
RewriteRule ^ - [R=404,L]

Danach wird dem Benutzer für diese Datei ein 404 Fehler (“Datei nicht gefunden”) angezeigt.

13. Jul
Teaser

Sicherheit: SSL für Authentifizierung erzwingen (Apache erlaubt non-SSL redirect)

Wenn Sie auf Ihrem Webserver Verzeichnisse per “.htaccess” schützen und SSL für eine verschlüsselte und sichere Übertragung der Benutzerdaten benutzen möchten, dann kennen Sie wahrscheinlich das Problem:

Der Benutzer ruft die Webseite ohne SSL (“http://” und nicht “https://”) auf und die Passwortabfrage erscheint noch vor der Weiterleitung auf die SSL geschützte Seite. Das heißt, dass die Benutzerdaten (Benutzername und Passwort zur Identifizierung) unverschlüsselt an den Server übertragen werden und erst nach der Akzeptanz dieser Zugangsdaten eine Weiterleitung auf die SSL geschützte Webseite erfolgt. Nicht wirklich sicher und nicht wirklich der gewünschte Ablauf, denn gerade solche Daten sollten bei der Übertragung geschützt werden.

Lösung: Ergänzen Sie Ihre “.htaccess” Datei nach dem folgenden Muster und der Apache-Server wird erkennen, dass der Benutzer ohne SSL zugreift. Zuerst erfolgt dann eine Weiterleitung auf den SSL Kanal und erst danach, auf Basis der SSL Verschlüsselung, erfolgt die Abfrage der Benutzerdaten (in diesem Beispiel gegen die “.htpasswd”).

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

<If "%{HTTPS} == 'on'">
AuthUserFile "/path/to/.htpasswd"
AuthType Basic
AuthName "Enter your password with SSL protection"
require valid-user
</If>
27. Jun
Teaser

Sicherheit: access.log analysen (Browser, IP Adressen, …)

Um aus der “accedd_log” (oder “access.log”) die Anzahl der unterschiedlichen Browser zu filtern, nutzen Sie folgenden Befehl:

awk -F\" '{print $6}' /var/log/access_log | sort | uniq -c | sort -fnr

Die 50 häufigsten IP Adressen von Zugriffen zu erhalten:

awk '{print $1}' /var/log/access_log | sort | uniq -c | sort -rn | head -50

Bei beiden Beispielen muss natürlich der Pfad zum gewünschten Log angepasst werden.

02. Mrz
Teaser

Gefährlicher Müll: Pseudo Rechnungen mit personlichen Daten

Betreff : Rechnung für Max Muster NR. 025653380
Absender: Sachbearbeiter OnlinePayment GmbH 

Sehr geehrte(r) Max Muster,

leider mussten wir feststellen, dass die Zahlungserinnerung Nummer 025651280 bis 
heute ohne Reaktion Ihrerseits blieb. Nun bieten wir Ihnen damit letztmalig die 
Chance, den nicht gedeckten Betrag unseren Mandanten OnlinePayment GmbH zu 
begleichen.

Aufgrund des bestehenden Zahlungsausstands sind Sie verpflichtet dabei, die durch 
unsere Tätigkeit entstandene Kosten von 81,08 Euro zu tragen. Bei Fragen oder 
Unklarheiten erwarten wir eine Kontaktaufnahme innerhalb von 48 Stunden. Um 
weitete Kosten auszuschließen, bitten wir Sie den ausstehenden Betrag auf unser 
Bankkonto zu überweisen. Berücksichtigt wurden alle Buchungen bis zum 05.04.2017.

Verbindliche Personalien:

Name
Anschrift
PLZ Ort

Telefon: Nummer

Überweisen Sie den nun fälligen Betrag unter Angaben der Artikelnummer so 
rechtzeitig, dass dieser spätestens zum 11.04.2017 auf unserem Bankkonto verbucht 
wird. Können wird bis zum genannten Datum keine Überweisung bestätigen, sind wir 
gezwungen Ihre Forderung an ein Inkasso zu übergeben. Alle damit verbundenen 
zusätzliche Kosten werden Sie tragen müssen.

Die detaillierte Kostenaufstellung NR025653380, der Sie alle Einzelpositionen 
entnehmen können, befindet sich im Anhang.

Mit verbindlichen Grüßen

Sachbearbeiter Tobias Wein

Im Anhang findet sich eine Zip-Datei, welche meist den Namen des Empängers trägt.

Diese Zip-Datei sollten Sie unter keinen Umständen speichern oder öffnen.

Um den Inhalt einmal preis und damit eine Begründung für meine Warnung zu geben, habe ich die Datei in einer geschützten Umgebung analysiert.

In der Zip-Datei versteckt sich wieder eine Zip-Datei, in welcher eine ausführbare Datei (.com Endung) enthalten ist. Würde diese Datei auf dem PC ausgeführt werden, kann sie alles mögliche installieren, auslesen oder durchführen. Das dadurch gestartete Programm hat auf alle Daten Zugriff, auf welche Sie auch Zugriff haben. Wenn sie “nur” gelesen und/oder verschickt werden ist das schon schlimm genug. Wenn jedoch unbemerkt Daten verändert werden, dann haben Sie innerhalb von Sekunden(bruchteilen) veränderte Daten bzw. Dateien.

05. Mrz 2016
Teaser

Achtung bei Templates von “Apollo” (apollotheme.com)

ApolloThemes.com ist ein Anbieter von Templates für Webseiten, OnlineShops und augenscheinlich vieles mehr.

Bei der Installation eines PrestaShop Templates (genau: “1611-free-ap-funiture”) haben wir auf einem Testserver jedoch folgende (aus unserer Sicht beunruhigende und recht versteckt eingebaute) “Features” entdeckt:

Das Template kommuniziert u.a. mit folgenden Servern, ohne dass diese Kommunikation oder Aktivität der Benutzer (bzw. hier der Shopbetreiber) klar und deutlich darauf hingewiesen wird:

http://apollotheme.com
http://apollotheme.com/upfiledownload/slidershow/jquery.themepunch.enablelog.js
http://apollotheme.com/upfiledownload/slidershow/jquery.themepunch.revolution.js
http://apollotheme.com/upfiledownload/slidershow/jquery.themepunch.tools.min.js

https://www.youtube.com
https://www.youtube.com/embed/iZoR21juRzs

https://s.ytimg.com
https://s.ytimg.com/yts/jsbin/www-embed-player-vflSg2DNi/www-embed-player.js
(und einigen URLs auf dieser Domain für CSS und JS mehr)

https://www.google.com
https://www.google.com/js/bg/MdyApZkAHG2-UELdOwjNjjFZXSz-CGj4o1JtDR7aGgs.js

https://static.doubleclick.net
https://static.doubleclick.net/instream/ad_status.js

Gerade die Links zu “doubleclick.net” und “google.com” (inkl. “youtube.com”) sind nach unserer Ansicht bedenklich. Sie könnten dem ahnungslosen Betreiber des OnlineShops als Tracking- bzw. Analysetools ausgelegt werden und dadurch dann durch die Konkurrenz oder Verbraucherschutzeinrichtungen abgemahnt werden. Die Kosten können beträchtlich sein. Der deutsche Datenschutz ist in diesem Punkt (und das ist gut so !) sehr streng; das zeigt auch die aktuelle Entwicklung in Bezug auf die Anzeige von Datenschutzhinweisen und Datenschutzrichtlinien.

Bitte beachten und bedenken Sie diese Hinweise vor der Nutzung eines solchen Templates. Holen Sie vor dem Einsatz auf Ihrem System fachkundigen Rat und ggf. eine juristische Einschätzung ein. Das wird Sie im Ernstfall weniger Kosten als der Aufwand, Ärger und die Kosten durch Abmahnungen, kurzfristige Templateanpassungen und ggf. Einnahmeausfall durch Offline-Zeiten.

07. Jun 2013
Teaser

Datenschutz: Verstößt hotels.com gegen den deutschen Datenschutz ?

Wir wurden heute auf das Verhalten der telefonischen Hotline von “hotels.com” aufmerksam gemacht.

Bei einem eigenen Testanruf erhielten auch wir den Hinweis, dass unser Gespräch aufgezeichnet wird. Kein Wort eines Hinweises, dass man widersprechen kann oder um Einverständnis gebeten wird. Also baten wir den Hotline-Mitarbeiter direkt zu Beginn des Gespräches, unser Telefonat nicht aufzuzeichnen. Ihm war keine Möglichkeit bekannt, die Aufzeichnung zu stoppen. Nach seiner Aussage wird “sowieso jedes Gespräch bei hotels.com mitgeschnitten”. Immerhin bot er sofort an, sich bei einem Vorgesetzten zu erkundigen und stellte uns in die Warteschleife.

Nach ca. einer halben Minute wurde das Gespräch wieder aufgenommen und uns mitgeteilt, dass niemand im Haus eine Aufnahme stoppen könnte und/oder wüsste, wo diese Aufzeichnung gespeichert wird.

Das das unerlaubte Mitschneiden von Telefongesprächen nach §201 Abs. 1 Strafgesetzbuch (StGB) bei nichtöffentlich gesprochenem Wort eines anderen auf einem Tonträger mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe geahndet wird ist bekannt. Eine Erlaubnis zum Aufzeichnen von Telefongesprächen durch Call-Center besteht nur dann, wenn die entsprechenden Gesprächspartner (hier der Kunden und der Mitarbeiter) eingewilligt haben oder eine gesetzliche Erlaubnis vorliegt. Wenn wir diese Aufnahme zwar angesagt bekommen (und damit über die Aufnahme informiert sind), jedoch keine Möglichkeit des Widerspruches haben, bleibt die Frage offen, ob dieses Vorgehen erlaubt ist.

Wir haben nun den für uns zuständigen Datenschutzbeauftragen angefragt, ob dieses Verhalten zulässig ist. Die Antwort und den weiteren Verlauf dieses Falles werden wir hier ebenfalls bekannt geben.

Nicht unerwähnt sollte bleiben, dass der Hotline-Mitarbeiter konsequent höflich (wenn auch verunsichert) war und zu keiner Zeit ausfallend wurde. Selbst das ist heute ja leider keine Selbstverständlichkeit mehr.

17. Okt 2012
Teaser

PHP: Sicherheitswarnung vor der Freeware / Open Source Ware “eCoder”

Wenn Sie die Software “eCoder” (Freeware, open source) benutzen, dann beachten Sie bitte folgendes Sicherheitsloch / Datenschutzproblem:

Das Programm hat (ohne Hinweis und Warnung) die Analyse-Plattform “Google Analytics” in sein Programm eingebaut. Dieses sendet auch von Ihrer Installation (ggf. Ihrem WebServer) Daten an die Auswertung von Google – unter einer festen Tracker-ID, auch Tracker-Signatur genannt: “UA-2254810-39”.

Dadurch kann leicht festgestellt werden, auf welchem Computer (Hostname, IP-Adresse) Sie den “ecoder” Editor gerade benutzen und unter welchem Pfad er dort zu finden ist. Da das Programm im Standard garnicht geschützt ist (weder durch Abfrage von Benutzername oder Passwort bzw. einem .htaccess Verzeichnisschutz), können Benutzer mit diesen Daten von Google-Analytics also unbemerkt Ihren Editor benutzen. Dadurch ist der Inhalt Ihrer Dateien ungeschützt und ohne Kontrolle lesbar (abhängig von den Dateirechten sogar schreib-/veränderbar !).

Lösung zur Sicherheit

Schützen Sie das “eCoder”-Verzeichnis unbedingt vor unerwünschten Zugriffen !

Eine einfache und schnelle Lösung ist das Einrichten einer .htaccess Passwortabfrage für das “ecoder” Verzeichnis:

  1. Erstellen Sie im “ecoder” Verzeichnis die Datei “.htpasswd”
    nano .htpasswd
  2. Geben Sie folgenden Text ein:
    admin:DGOOFAhXnp6tE

    Damit haben Sie einen Benutzer “admin” mit dem Passwort “admin” in der Benutzerliste erstellt

  3. Erstellen Sie im “ecoder” Verzeichnis die Datei “.htaccess”
    nano .htaccess
  4. Geben Sie folgenden Text ein:
    AuthUserFile "/home/folder/public_html/eCoder/.htpasswd"
    AuthType Basic
    AuthName "Please identify"
    require valid-user
    

    Passen Sie den Pfad zu Ihrer im ersten Schritt erstellen .htpasswd Datei an (Zeile 1)

  5. Fertig.

Dieser Schutz ist nicht perfekt und absolut sicher – er hält aber vorerst unerwünschte Besucher von Ihrem “ecoder” Editor fern.

Lösung für ein stillen eCoder

Dafür entfernen (deaktivieren) Sie einfach den entsprechenden Bereich mit dem Google-Analytics Code aus dem Programm:

  1. Öffnen Sie die Datei footer.php innerhalb des “ecoder” Verzeichnisses:
    nano code/base/footer.php
  2. Schreiben Sie vor Zeile 16 die PHP-Kommentarzeichen (“//”) um die Zeile nicht mehr verarbeiten zu lassen:
    
    ';
    
    // debug ##
    #echo '';
    
    // google analytics ##
    // include "code/logs/analytics.php";
    
    ?>
  3. Fertig