Category Archives: Security

It is just HTTPS now

The Blog is HTTPS onlyThe recent events of security problems with WordPress motivated us to speed up the effort to move our blog into the HTTPS only mode. This does not fix WordPress security problems, but makes it easier to spot possible problems later and might protect us against the negative outcome from time to time.

So we set the Strict-Transport-Security header to tell the browser that HTTP is off-limits for this site once and for all. We also turned all links to our blog from our website and internally in the blog including resources into HTTPS links.

Also we set .htaccess redirect rules to force all users to use HTTPS and only hit the domain that has the proper certificate.

The only thing open is to get our hoster convinced to properly support TLS 1.2.

Read that: Web Application Security Guidelines

This is a nice summary of web application security related technologies, processes, and development patterns: Design Guidelines for Secure Web Applications. A little .NET heavy, but most stuff is generally applicable.

If you read and like the above information, you should not miss the OWASP web security guidelines. This is a must read for every tester and developer. OWASP Guide Project:

Web application security is an essential component of any successful project, whether open source PHP applications, web services such as straight through processing, or proprietary business web sites. Hosters (rightly) shun insecure code, and users shun insecure services that lead to fraud. The aim of this Development Guide is to allow businesses, developers, designers and solution architects to produce secure web applications. If done from the earliest stages, secure applications cost about the same to develop as insecure applications, but are far more cost effective in the long run.

Unlike other forms of security (such as firewalls and secure lockdowns), web applications have the ability to make a skilled attacker rich, or make the life of a victim a complete misery. At this highest level of the OSI software map, traditional firewalls and other controls simply do not help. The application itself must be self-defending. The Development Guide can help you get there. The Development Guide has been written to cover all forms of web application security issues, from old hoary chestnuts such as SQL Injection, through modern concerns such as AJAX, phishing, credit card handling, session fixation, cross-site request forgeries, compliance, and privacy issues…

Falsche Facebook-Passwort Emails

Facebook LogoEigentlich sollte man nicht genötigt sein, jede kleine Gefahr zu melden. Bei mehr als 2 Millionen Facebook-Nutzern in Deutschland kann es aber nicht Schaden, wenn man darauf hinweisst, dass die folgende Email selbstverständlich eine Fälschung ist und wohl einen Wurm oder Trojaner unterschieben will.

Dear user of facebook,

Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.

Thanks,
Your Facebook.

Also Finger weg. Neue Passwörter von Diensten werden nie als Anhang verschickt. Maximal kommt eine Aufforderung, dass das Passwort geändert wurde und man bitte es neu anfordern soll. Selbst wenn der Absender profile@facebook.com heisst und damit scheinbar ok ist… Emailabsender lassen sich sehr einfach fälschen.

Der Anhang ist übrigens ein ZIP-File mit einer ausführbaren Datei drin… was für ein Zufall!

Google wendet sich vom IE6 ab

Google hat sich entschieden, Problemen bei der Entwicklung von Webapplikationen aus dem Weg zu gehen und kündigt die Unterstützung des Internet Explorer 6 auf. Auch der Support vom Firefox 2 läuft aus, aber den nutzen ja die wenigsten Leute, weil das Update auf Version 3 einfach ist. Zudem war der FF2 nicht schlecht bei der Einhaltung von Webstandards und dürfte locker dem IE7 das Wasser reichen können.

Das ist ein gutes Signal, denn wenn der Marktführer es vormacht, dann werden viele Leute und Firmen nachziehen.

Many other companies have already stopped supporting older browsers like Internet Explorer 6.0 as well as browsers that are not supported by their own manufacturers. We’re also going to begin phasing out our support, starting with Google Docs and Google Sites. As a result you may find that from March 1 key functionality within these products — as well as new Docs and Sites features — won’t work properly in older browsers.

Mehr dazu im Google Enterprise Blog.

Einige aktuelle Zahlen zur Nutzung verschiedener Webbrowser finden sich bei Bivingsreport.

Neue Twitter-Phishing-Attacke im Anrollen

Twitter Phishing - Kopierte HomepageVor wenigen Minuten rollten einige Twitter Direct Messages mit einem Link bei uns ein.

Wenn man dem Link folgt, kommt man scheinbar bei Twitter raus und muss sich einloggen. Allerdings scheint es komisch, dass die Domain nicht Twitter.com lautet. Auch sieht man einen Grafikfehler und der Link hinter “Join” führt auf keine Seite, sondern endet mit einer Fehlermeldung.

FINGER WEG! Auf keinen Fall einloggen, denn dann ist der Twitter-Account wohl gleich gekapert. Hier versucht wieder jemand, Spam zu verbreiten oder sich in den Besitz von Accounts zu bringen, um gezielt später mit Hilfe von Social Engineering an private Information zu gelangen.

Hier noch der Text:

“Hah. this you? http://video.twitter.expressplacement.com”
“I found you on here http://video.twitter.expressplacement.com”

Update: Selbstverständlich ändert sich die Ziel-URL sehr schnell, sobald sich rumgesprochen hat, dass dahinter etwas Illegales steckt. Heute traf auch gleich die neue URL und der neue Text ein. Dahinter verbirgt sich natürlich auch wieder der Versuch, an Zugangsdaten von Twitter-Accounts zu gelangen.

“you are funny. ur high school pic.. http://albums.twiter.sarrispromo.com”

Lesepflicht – OWASP zu XSS

Heute gibt es einen Link über Cross-Site-Scripting (XSS), was es ist, was man dagegen tun kann oder kurz: Wie beugt man XSS vor?

Der Artikel stammt vom OWASP, der Authoriät im Sachen Internetsicherheit bzw. Informationen zur Sicherheit.

This article provides a simple positive model for preventing XSS using output escaping/encoding properly. While there are a huge number of XSS attack vectors, following a few simple rules can completely defend against this serious attack.

These rules apply to all the different varieties of XSS. Both reflected and stored XSS can be addressed by performing the appropriate escaping on the server-side. The use of an escaping/encoding library like the one in ESAPI is strongly recommended as there are many special cases. DOM Based XSS can be addressed by applying these rules on the client on untrusted data.

For a great cheatsheet on the attack vectors related to XSS, please refer to the excellent XSS Cheat Sheet by RSnake. More background on browser security and the various browsers can be found in the Browser Security Handbook.

Quelle: OWASP unter CC-BY-SA-3.0

Passwörter prüfen leichtgemacht

Wer schon immer mal wissen wollte, ob seine Passwörter ansatzweise sicher sind, der sollte das The Password Meter ausprobieren. Das Ding ist wirklich pingelig. Was andere Prüfwerkzeuge als stark und superstark bewertet haben, das fällt bei The Password Meter unter: 0% – Vergiss es Dude!

Die Anwendung steht unter GPL und kann runtergeladen werden. Das gute Stück ist 100%-Javascript und die Eingaben werden nicht übertragen. Man sollte aber trotzdem nicht seine echten Passwörter eingeben, sondern ähnliche Muster. Also statt Helga78 tut es ein Katja87 :)

Das Ganze ist kein Informatiker-Geek-Spiel sondern wirklich ernst. Viele 0815-Internetnutzer haben solche weichen Passwörter, dass es ein Wunder ist, dass sie noch nicht ausgeplündert wurden.

Captchas brechen durch pure Masse

Ich habe einen interessanten Artikel über das bezahlte Knacken von Catchas gelesen: Inside India’s CAPTCHA solving economy

Bisher wusste ich nicht mal, dass es sowas schon kommerziell gibt. Schon unheimlich, wie sich billige Arbeitskräfte nutzen lassen. Statt mit Rechenpower und Algorithmen löst man Probleme einfach durch pure Masse. Leider wird dadurch das ganze Sinn von Captchas gebrochen und man kann sich quasi nur noch durch ganz doofe Rätsel vor Spam schützen.