PHP Blogger

Startseite Schreib mir ne Mail! RSS Abo Webnews

Archiv für Sicherheit

Port-Fetischismus oder dirty Games mit Ports

Haach, wie herrlich kann bloggen sein! Grad läuft’s mal wieder: Ein Kommentar zum letzten Artikel bringt mich auf eine Idee zum Nächsten. Ihr habt’s bestimmt schon bemerkt - ich versuche mich immer mal wieder in schönen unsachlichen Ausdrucksweisen, die trotzdem die Sache auf den Punkt bringen. Oder auch nicht. Naja. Aber weiter im Text:

Was könnte man nur mit Port-Fetischismus meinen? Ich liebe Code-Usability. Ein super Thema, über das ich ja schon öfter referiert habe. Es ist so schön wie zeitlos… Was dabei bis lang unter den Tisch gefallen ist, sind lesbare URLs (Vielleicht mal in einem anderen Artikel) und Portangaben. Also schöne Portangaben.

Nur so zur Erinnerung: http://www.phpblogger.net:80/ ist eine Möglichkeit, einen Port zu erzwingen. Klar, das Du das schon wusstest. Welcher Port macht denn im Browser noch Sinn? Naja 443 für SSL zum Beispiel. Aber statt das zu erzwingen, wird einfach das Protokoll auf HTTPS geändert, was implizit auf Port 443 verweist.

Um das klar zustellen: Schöne Portangaben, sind nicht vorhandene Portangaben. Aber wie ein aufmerksamer Leser im Artikel zu HTTPS und SSL richtig angemerkt hat, kann man über verschiedene Ports unter ein und derselben IP mehrere SSL-Zertifikate betreiben. Und jetzt geht es mit den dreckigen Spielchen weiter, die man mit Portangaben in der URL machen kann:

Den kompletten Artikel lesen »


Wissenswertes über SSL und HTTPS

*gäääääääääähn* Was für ein langweiliges Thema. Ich schlafe ja selbst beim Schreiben des Titels ein ;) Aber genau das Richtige für einen Freitag mittag, verregnet, düster und langweilig.

Immer wieder passiert es, das ich mit Kollegen diskutieren muss, wie nun SSL funktioniert und was man darüber wissen sollte, wenn man es konfiguriert. Selbst eingefleischte Entwicker und Adminprofis tun sich manchmal bei eigentlich trivialen Dingen schwer.

Herzlich Willkommen also zur Nachhilfestunde zum Thema SSL und HTTPS. (Du musst ja keinem davon erzählen, das Du diesen Artikel gelesen hast ;). Und man weiss ja nie, vielleicht erfährt man ja doch was Neues.

Den kompletten Artikel lesen »


Automatische Update-Benachrichtung für Rootserver

Zur Zeit beschäftigt mich ja das Rootserver-Setup. Da nutze ich natürlich die Gelegenheit und poste ein paar Server-Essentials. Mit PHP hat das ganze natürlich nur am Rande zu tun, aber ein sauber aufgesetzter Webserver, auf dem aktuelle Sicherheitspackages installiert sind, ist die halbe Miete für eine ordentlich laufende PHP-Applikation.

Für so ziemlich alle Betriebssysteme (gerade die mit Enduser-GUI) gibt es zahlreiche Tools, die den Benutzer oder Admin erinnern, das neue Update-Pakete bereitstehen. Denn das ist tatsächlich die größte Schwachstelle, wenn es um Patches geht: Der Admin, der daran denken muss, sie auch einzuspielen.

Das A und O beim Package einspielen ist die Geschwindigkeit. Lange Wartezeiten sind ein K.O. Kriterium, denn Sicherheitslücken werden oft in kürzester Zeit von Script-Kiddies oder anderen Bösewichten und Halunken  (Cool das wollte ich schon immer mal schreiben ;) ausgenutzt. Schnell reagieren ist also alles. Nichts ist ärgerlicher als ein infiltrierter Server auf Grund einer Sicherheitslücke, die schon längst gepatcht sein könnte.

Den kompletten Artikel lesen »


SSH Server absichern: Port-Salat

Böse Buben und Hacker gibts leider überall. Da darf man schon mal ein bisschen paranoid sein. Als Angehöriger der deutschen Sprache erst recht - schliesslich sind wir als Schwarzmaler und Pessimisten bekannt. Naja. Noch schlimmer sollen in dieser traditionellen Hinsicht die Schweizer sein, aber so wirklich verifizieren kann ich das nicht. Hat man halt mal irgendwo gehört.

Wo Iren, Spanier und Franzosen Sonnenkinder und Optimisten sind, dürfen sich Deutsche, Österreicher und Schweizer in Missmut üben - aber ich will diesen Kampf der Nationalitäten nicht weiter entfachen. Schließlich gehts hier ja nur um eine Einleitung zum Thema. Irgendwie muss ich ja zur Sache kommen. Jetzt leider etwas verkrampfter als sonst.

So. Kurze Rede, gar kein Sinn: Ich musste diese Woche mal wieder einen Rootserver aufsetzen und nichts ist schöner, als from the scratch quasi auf der grünen Wiese oder mit einem nackten Arsch anzufangen. Puh. Irgendwie schreib ich heute nur Blödsinn. Naja, mal weiter im Text.

Den kompletten Artikel lesen »


Sichere Software entwickeln

Joe Stagner postet seit Neustem ein bis zweimal die Woche in seinem “Secure Developer“-Blog, was man beim Entwickeln richtig machen sollte. Leider auf englisch, aber um diese Weltsprache kommt in unserem Business ohnehin niemand drumherum.

Die Themen sind zwar stark Microsoft lastig, richten sich trotzdem an Webentwickler. Vor Security Bugs ist niemand gefeit - egal ob Ruby, ASP oder PHP Entwickler. Also lasst uns seinen Worten lauschen ;)

Code is Combat!


+++ Updates +++ Updates +++

Juhu, im Februar und März hat sich wieder einiges getan: Updates, wohin man nur schaut!

  • Zend Framework 1.5: Viele neue Features wie Formularunterstützung, Layout- und View-Komponenten, LDAP Authentifizierung (z.B. mittels Open LDAP oder Microsoft Active Directory), Einbindung der Lucene Suchmaschine, verbesserter Ajax-Support, UTF-8 PDF Generator und integrierte GData Webservices.
  • TinyMCE 3.0.5: Seit dem Release von Version 3.0 am 1. März werden fast wöchentlich Bugfixupdates nachgelegt - sehr ordentlich!
  • phpMyAdmin 2.11.5: Ist schon eine Weile her, aber am 1. März gabs auch ein phpMyAdmin Update. Verschiedene Bugfixes und Sicherheitslücken wurden gestopft, ein Update wird dringend empfohlen.
  • PHPIDS 0.4.7: Die Dame “Roberta” möchte vom Infostand gedownloaded werden ;) Sie wartet dort bereits seit 20. Februar, also nix wie hin: Neben verschiedenen Optimierungen wurde die Unterstützung für UTF7 und BASE64 hinzugefügt und verbessert. Die API hat keine Veränderungen erfahren - ein Update ist also problemlos möglich.

Also Leute: Updaten, aber sofort ;)


PHP: Sicherheit groß schreiben

Via Frank. Wem Sicherheit in der Webentwicklung wichtig ist, der sollte sich mal folgende Quellen zu Gemüte führen:

  1. Wordpress-Sicherheit: Plugins sicher gestalten
  2. PHP IDS - PHP Intrusion Detection
  3. Das offizielle PHP Handbuch zum Thema Sicherheit
  4. PHP Security Guide (Deutsche Übersetzung)

Das Buch “PHP Sicherheit
von Christopher Kunz, Peter Prochaska und Stefan Esser

Steht schon eine ganze Weile bei mir im Bücherregal und ist wirklich eine lesenswerte Lektüre. Man erfährt nicht nur Tipps und Tricks zur Abwehr - die meist angewandten Angriffe werden auch noch genau beschrieben.

Wenn ich mal ein Security Update brauche, schaue ich immer dort als erstes nach. Absolut empfehlenswert!

Anzeigen bei Amazon.de


PHP IDS 0.4.6 veröffentlicht

Wie Mario es bereits bei der letzten Update-Meldung angekündigt hat, mussten wir nicht sehr lange auf das nächste Release von PHP IDS warten.

Die Jungs haben wieder ganze Arbeit geleistet und die Regeln überarbeitet. So wurde noch etwas mehr Performance aus PHP IDS herausgekitzelt: Trotz komplexerer Regeln konnte die Größe der Definitionsliste verringert werden.

Ein Update ist auf jeden Fall empfohlen…


Updates für PHP Applikationen

Ja ich weiß, bin spät dran - aber so ist das halt bei einem Umzug. Man wartet ewig auf Elektriker, Möbelhersteller und die Telekom. Nichts desto trotz nutze ich schnell den vorrübergehenden Internetzugang um schnel ein paar Update-News zu posten:

  1. Symfony ist in der Version 1.0.11 veröffentlicht. Mit diesem reinen Bugfix Release (man siehts an der Revisionsnummer) werden lediglich kleiner Fehler korrigiert - ein Update ist dringend empfohlen!
  2. phpMyAdmin wurde auf Version 2.11.4 gehieft. Ebenfalls eine Bugfix Version, also am besten updaten…
  3. Ebenfalls seit letzter Woche gibts phpIDS 0.4.5 zu downloaden. Hier wurden speziell die Vektorerkennung und die PHPIDS Centrifuge verbessert. Da sich die API nicht verändert hat, sollte ein Update also kein Problem sein. Lets go!
  4. phpDelicious von Ed Eliot wurde überarbeitet und hat nun die Version 2.0 - der PHP 4 Support wurde eingestellt, etliche Bugs gefixt und ein JSON Cache wurde eingeführt. phpDelicous ist ein Wrapper um auf http://del.icio.us Bookmarks zuzugreifen.

Ein Päckchen vom Update-Nikolaus

Der Update-Nikolaus war vor Weihnachten noch mal eben schnell bei PHP IDS und symfony zu Besuch *zwinker* 

Seid gestern gibts bei PHP IDS die neue Version 0.4.4 mit vielen kleinen Verbesserungen. Mario erwähnt ausserdem, das das Codelayout jetzt dem von PEAR angeglichen und und der CodeSniffer Format-Übeltäter aufdeckt ;)

Wer seine Applikation weiter absichern möchte, sollte auf jeden Fall das Package saugen!

Auch Symfony wurde aktualisiert und ist in der Version 1.0.10 zu haben. Ein Update ist auf jeden Fall empfohlen.


Ältere Artikel »