mthie spaces

Hunderte Webseiten gehackt - warum nur?

17.03.2014 20:44

Es wurden also diverse Typo3-Webseiten gehackt. Soso. Ich mach jetzt einfach mal keinen Typo3-Flame-Post, sondern stell einfach mal die Frage: Warum?

Scheinbar wurde die eigentliche Schwachstelle aktuell noch gar nicht gefunden und das ist eigentlich das Fatale daran. Ich predige immer wieder, dass es keine wirklich geile Idee ist, jede Anfrage durch Scripte zu schießen. Man findet dabei immer eine Lücke, die einen simplen Zugang zum Server ermöglichen.

Hier nochmal ein paar Fragen für die typischen Website-Betreiber:

  • braucht man bei jeder Anfrage an den Server ein Script, was die Seite generiert und raushaut oder kann man die Seite einfach bei jeder Änderung generieren, als statische Datei ablegen und ausliefern lassen?
  • muss das Administrations-/Redaktions-Tool immer von jedem erreichbar sein oder kann man dieses anderweitig schützen?
  • braucht man jedes Script im Document-Root oder kann man diese vielleicht in einen Bereich legen, wo eben nicht jeder dran kommt?
  • wollt ihr euren Server wirklich immer selbst betreuen oder kann man dies auch jemandem überlassen, der Ahnung davon hat, auch wenn es teurer als ein 30-Euro-Root-Server ist?

Grad im Agenturbereich ist es mir schon häufiger aufgefallen, dass es immer noch nicht normal ist, seinen Serverbetrieb aus der Hand zu geben, obwohl dort oft nur Hobby-Admins sitzen, die schon mal gehört haben, wie man einen Apache installiert. Wenn man sich dann die Updates auf dem Server anschaut, sieht es meist düster aus. Wenn es dann darum geht, den Scripten entsprechende Rechte zu geben, endet es meist im
chmod -R 777 *.

Es gibt einfach so viel mehr Dinge, die so eine dynamische Website an Pflichten mit sich bringt, als nur ein Update-Button-Drücker einmal im Monat, wenn man zufällig sieht, dass es für Wordpress ein Update gibt.

</watchever>

18.12.2013 02:13

Vor einigen Monaten hiess es bei uns: "Lass uns mal Lovefilm kündigen und watchever ausprobieren, hab da bisher nur Gutes gehört". Gesagt getan, dank der jeweils monatlichen Kündigungsfristen.

Es war auch so schön einfach, die PS3 anzuwerfen, den Film auszusuchen und loszulegen. Denkste!

In den letzten Wochen liefen bei uns alle Doctor Who Staffeln, die watchever auch komplett anbietet (Lovefilm hat von der letzten Staffel nicht alle Folgen und Maxdome hat nur die 1., 2. und 5. Staffel). Nachdem wir dann ab der dritten Folge von der PS3 auf den Rechner geschwenkt haben, weil die Konsolen-Version der Software ständig abstürzte, wenn es mal eine kleine Störung im Bild gab, ging es grob. Zwar waren immer mal wieder ein paar Sekunden verloren gegangen, aber ich hab das dann immer leichtfertig auf "ist halt ein Stream" geschoben.

Will heissen: Glücklich war ich nicht, aber wir haben uns respektiert. Das Filmangebot war auch so lala, aber wenn man nach dem dritten Film, den man gesehen hat (nicht ohne Störungen) wirklich suchen muss, um was ansatzweise Spannendes zu finden, ist für mich das Angebot einfach nicht passend.

Ich habe es allerdings heute geschafft, meine bessere Hälfte zu überzeugen, mal "Friendship!" zu gucken. Nicht jedermanns Sache, aber der Schweighöfer ist halt irgendwie cool. Leider haben wir 4/5tel des Films nur gehört und uns zusammengereimt, da die Störungen im Film so unendlich schrecklich waren. Entweder sahen wir ein schwarzes Bild oder ausschließlich Artefakte. Mit der Playstation ging es gar nicht, mit dem Rechner war es eine Katastrophe.

Nunja, was so ein Freggel ist wie ich: Man vermutet ja erstmal die Probleme im eigenen Haus. Also startete ich den Router neu, probierte es mal mit dem Microsoft-Browser (die Streaming-Anbieter haben immer noch nicht kapiert, dass Silverlight eine ganz beschissene Idee ist) und sogar einen anderen Rechner. Letzteres zeigte mir, dass es nicht an uns liegen konnte, da die Aussetzer exakt an den gleichen Stellen passierten.

Es ist mir schleierhaft, wie solche Anbieter, die von Investoren und Eigentümern reichlich Geld in den Rachen geworfen bekommen, überleben können. Leider ist Netflix in Deutschland immer noch nicht vertreten, aber bei denen ist die Technik wenigstens ausgereift(er) und man kann es sogar mit einem Chromebook ansehen, da man einen Fallback auf Flash hat.

Was habt ihr so für Erfahrungen, vielleicht auch mit anderen Anbietern?

Ghost - das kannste schon so machen

15.10.2013 20:43

Hey, ein neues Blogsystem hat das Beta-Licht der Welt erblickt. Beta. Wirklich Beta. Anders kann man Ghost bisher auch nicht nennen.

Ich hab es mir mal etwas angeschaut, nicht ganz tief reingeschaut, aber grob einen Überblick verschafft.

Fangen wir doch mal damit an, dass es in JavaScript geschrieben ist, um auf Node.js zu laufen. Nun muss man dazusagen, dass Node nicht unbedingt meine erste Wahl wäre, um ein Blog zu betreiben, ist es für die meisten Leute, die heutzutage ein Blog haben, wohl eher unbenutzbar. Und wenn man versucht, es auf einer sinnvollen Cloudplattform wie Heroku zum Laufen zu bringen, wird einem direkt gesagt: "Tu's nicht!". Das widerum hat mich natürlich nicht davon abgehalten, es trotzdem zu tun.

Warum keine sinnvoll skalierende Cloud-Plattform unterstützt wird? Weil man lokal Dateien speichern möchte. Eines der größten Fehler, wie ich finde. Warum will eine Blogsoftware, die in diesem Jahrzehnt angefangen wurde zu schreiben, auf die eigene Festplatte schreiben? Warum baut man es nicht gleich so, dass man z.B. in ein S3-Bucket hochlädt? Das wäre nun wirklich kein Beinbruch.

Dann geht's weiter. In der Standard-Konfiguration will Ghost in eine sqlite-Datenbank persistieren. Nun hört man natürlich ganz oft, dass sqlite eine fantastisch skalierende Datenbank ist. Nicht. Aber man kann natürlich auch mysql verwenden. Nur muss man sich diese Konfiguration erstmal schön zurechtsammeln und -frickeln.

Die Mail-Konfiguration, die notwendig ist, um einen User anzulegen (komische Aussage auf deren Website) ist auch irgendwie merkwürdig und in der Default-Konfiguration auf mailgun eingestellt. Das liess sich zum Glück im Zusammenhang mit Heroku am einfachsten konfigurieren.

Als es dann lief, stolperte ich darüber, dass man irgendwie einen User anlegen müsse. Schade nur, dass man danach diesen Sign-Up gar nicht mehr deaktivieren kann. Wäre ja aus Sicherheitsgründen vielleicht gar keine so ungeile Idee.

Über das Frontend sag ich mal erstmal nix, dazu haben die anderen Hippster in diesem Internet schon genug geschrieben.

Was ich aber noch loswerden möchte ist, dass ZIP-File mit dem Source-Code ein schönes Blender-Paket ist. Installiert man alle notwendigen Node.js-Pakete, sind alleine diese schon 25 MB groß. Ich will ja nix sagen, aber wenn man Wordpress schon eine Konkurrenz machen will, sollte man deren 15 MB unkomprimiert schon unterbieten können.

Was ich aber schon einen guten Anfang finde, ist im Übrigen, dass man komplett auf HTML 5 gesetzt hat und dass alles über Templates generiert wird und nicht über PHP-Files mit reingewurschteltem HTML.

Show in News Feed - meine Facebook-Aufräumaktion

14.10.2013 20:16

Lange hab ich überlegt, wie ich mal meinen Facebook-Stream etwas aufräumen kann, ohne dafür alle Leute entfreunden zu müssen und hab verschiedene Sachen ausprobiert.

Das Resultat: Das "Show in News Feed" Häkchen. Nimmt man das Häkchen weg, ist der News-Feed um Beiträge dieses Freundes erleichtert. Da ich aber ab und zu an einem Sonntag-Nachmittag mal Langeweile habe, möchte ich vielleicht einfach mal in der Post-Suppe nachlesen und alle Freunde, denen ich das Häkchen entfernt habe, in eine spezielle Liste gepackt. Somit kann ich dann auch mal Zeug auf mich einprasseln lassen, wenn ich das möchte. Ansonsten ist alles in angenehmer "Lautstärke".

Schade im Übrigen, dass es für dieses Häkchen keine API-Methode gibt. Es war eine ziemliche Drecksarbeit, das alles manuell zu machen.

Wie schnell man Seiten ausliefern kann

13.10.2013 17:16

Hier mal ein Beispiel, wie man 1000 Seitenabrufe ohne Kosten ausliefern kann:

 

Und natürlich ein Beispiel, wie man viel Geld verschwenden kann und trotzdem nichts auf die Reihe bekommt (es gibt noch schlimmere Beispiele, aber dies kam mir grad vor die Flinte):

Yet another Cloud-Verschlüsselungsdiskussion

12.10.2013 14:15

Wow, die Huffington Post ist jetzt in Deutschland und prompt bin ich auf einen Artikel gestoßern, der meine Aufmerksamkeit erregt: "Wie lege ich meine Daten in der Cloud sicher ab?". Und wenn ich das lese, möchte ich schon wieder brechen.

Mal abgesehen davon, dass es mal wieder so eine typisch deutsche Aussage ist, ist das Thema Cloud-Storage-Verschlüsselung langsam echt mühselig. Als Entwickler muss ich immer wieder sagen, dass niemand an die Konsequenzen denkt. Denn alle wollen Sicherheit bei gleich bleibenden Features. Gehen wir doch mal die typischen Features durch, die so ein Cloud-Storage-Dienst (z.B. Google Drive, Evernote, Dropbox, Skydrive) so bietet und die dann bei der Verschlüsselung direkt flöten gehen.

Erstmal ein paar Vorraussetzungen, die eine wirklich sichere Verschlüsselung ausmachen:

  1. Verschlüsselung aller Daten VOR dem Transport zum Server  (AxCrypt, Truecrypt etc.) mit einem persönlichen Schlüssel, den der Cloudanbieter nicht hat. Ansonsten wäre es witzlos. Denn wenn der Anbieter den Schlüssel hat, kann er die Daten wieder auslesen und verarbeiten. Und den Key hätte auch die zur Zeit meistgehasste Organisation der Welt: die NSA. :)
  2. Verschlüsselung des Datenverkehrs (z.B. HTTPS), aber ich denke, dass Anbieter, die die Daten unverschlüsselt übertragen eh verprügelt gehören.
  3. Eine Verschlüsselung eines Ordners als Komplettcontainers oder aber Verschlüsselung der Dateinamen, um keine Rückschlüsse auf den Inhalt der Datei zu geben.

Eine Verschlüsselung serverseitig wie z.B. bei Amazons S3 angeboten wird, ist völliger Quatsch und ich seh da keinerlei Mehrwert drin.

Die Features, mit Angabe woher ich das Feature kopiert habe:

  • "Dropbox transfers just the parts of a file that change (not the whole thing)."
    Es wird also nur übertragen, was sich verändert hat. Ein sehr schönes Feature, da man von der 3 GB Photoshop-Datei nicht bei jedem Speichervorgang die gesamte Datei hochladen will.
    Dieses Feature kann mit der Verschlüsselung nicht mehr gehalten werden, da eine sinnvolle Verschlüsselung bei jedem Verschlüsselungsvorgang einen neuen Salt verwendet und sich damit die gesamte Datei ändert.
  • Google Drive: "View over 30 file types right in your browser—including HD video, Adobe Illustrator and Photoshop—even if you don’t have the program installed on your computer."
    Oh schön, die gängigsten Datenformate schon mal im Browser in einer Vorschauansicht betrachten zu können, ohne dass ich z.B. Photoshop installiert haben muss um eine PSD zu sehen, ist super. Dann brauch ich nicht die Dateien runterladen, die ich sowieso nicht brauche.
    Mit einer aktiven Verschlüsselung muss ich die Dateien erst vollständig herunterladen, entschlüsseln und brauche am Ende doch wieder eine Software, die mir eine Vorschau bietet oder die Datei öffnen kann.
  • Dropbox: "Invite friends, family or teammates to a folder. It'll be as if you saved the folder to their computers."
    Ein Familienordner, in den die ganze Familie ihre Fotos legen kann und alle die Fotos vom neuen Baby haben. Was für ein Alptraum war es doch früher, wenn auf Familienfeiern die Fotos in unsortierter und viel zu schneller Reihenfolge durch die Reihen gingen und jemand am anderen Ende des Tisches brüllte, dass er ein spezielles Foto noch nicht gesehen hätte. Jetzt kann man sich zu Hause schön aufs Sofa hocken und die Fotos sogar auf dem großen Fernseher betrachten, sobald sie von Mutti hochgeladen wurden.
    Mit einer Verschlüsselung habe ich Datenmüll in meinem Ordner liegen, der mir grad bei einem kostenlosen Dropbox-Account sogar noch Speicherplatz wegnimmt.
  • Dropbox: "Send a link to any file or folder in your Dropbox."
    Ich bekomme ständig irgendwelche Links zu Dropbox-Ordnern oder Dateien. In der Non-Nerd-Welt da draußen weiß kaum jemand, wie man Dateien von Ort A nach B bekommt. Da wird oft versucht, 600 MB per E-Mail zu versenden und wenn das (hoffentlich) fehlschlägt, sucht sich der User im Gegensatz zum Nerd (der die Datei schon längst auf dem eigenen Server hat und per FTP freigibt :D) entweder einen Filehoster, die nach der Megaupload-Sperre auch rar geworden sind oder legt es in die Dropbox oder Google Drive und schickt nur noch einen Link.
    Hier kann man tatsächlich die Verschlüsselung gut nutzen (außer für die fast alle Punkte oben gelten), nur wie kommt der Entschlüsselungskey dann zum Empfänger? Wir reden hier von normalsterblichen Leuten. Eine Private-Public-Key-Verschlüsselung und -Entschlüsselung wäre okay, ist aber schwierig vom Verständnis. Und dann gibt es da die Spezialfälle, die wahrscheinlich sonst noch den Key zur Entschlüsselung mit in den gleichen Ordner legen.
  • Google Drive: "Powerful search - Google Drive helps you get to your files faster by recognizing objects in your images and text in scanned documents."
    Das ist einer der wichtigsten Punkte in meinen Augen. Was bringt mir ein voller Ordner, in dem ich nicht suchen kann? Eine Dateinamensuche ist ja dank Punkt 3 in der Verschlüsselungsliste oben keine Option mehr. Auch die Features, dass Google Drive und Evernote eine OCR über Bilder laufen lassen und damit sogar die Inhalte durchsuchbar werden, werden komplett außer Kraft gesetzt.
  • Mobile-Funktionalität: Alle Cloud-Storage-Anbieter brüsten sich damit, achso mobil verfügbar zu sein. Aber stellt euch vor, dass eure Smartphones zur Synchronisation auch noch Ver- und Entschlüsselung machen müssen. Ich glaube, es macht sich niemand eine Vorstellung davon, wie technisch aufwändig das für so ein Gerät eigentlich ist und wie langsam diese Programme dann werden.

Und wir reden hier natürlich erstmal nur von reinen Storage-Cloud-Verschlüsselungen. Wenn wir jetzt noch weitergehen und Cloud-Mail-Anbieter vergleichen, wird dieser Beitrag zu lang zum Lesen.

Am Ende muss man sagen, dass die User gerne verschlüsseln können, wenn sie das möchten, sollten allerdings vorher ihren Aluhut absetzen und nochmal genau betrachten, was sie tun und warum sie dies tun. Die Anbieter haben kaum die Möglichkeiten einzugreifen, da serverseitige Verschlüsselung auch den Geheimdienst nicht davon abhält, die Daten zu lesen, da der Key bekannt ist. Es gibt keine Möglichkeiten, sich vor Geheimdiensten zu schützen und dabei die Features zu wahren, da wir auch nicht weltweit jede Regierung auswechseln können.

Und für mich persönlich kommt eine lokale Festplatte nicht mehr in Frage. Warum? Tippt mal oben rechts in der Suche (Liebe Aluhutträger: Vorsicht Google!) das Wort "ChromeOS" ein.

1