Inhalte überspringen »
Alle Topthemen
Montag, 12. Juli 2010
Cassandra spendiert Twitter neue Echtzeit-Services
Über den Sinn und Unsinn von Twitter zu streiten, dürfte sich mittlerweile erübrigen - der Messaging Service ist die Referenz, wenn es um das bereitstellen von 140-Zeichen-Kurznachrichten im Web geht, noch vor Google Buzz und anderen. Spätestens jedoch, wenn man auf das Geschäftsmodell von Twitter zu sprechen kommt, können sich nur …
Donnerstag, 11. Februar 2010
About Security #242: Schwachstellen-Suche: DoS verhindern
Bei der Abwehr von DoS-Angriffen muss man in drei Schritten vorgehen:
Erstens muss man Maßnahmen ergreifen, um einen Angriff zu verhindern
oder abzuschwächen, zweitens muss man feststellen können, wenn
ein Angriff erfolgt, und drittens muss man Maßnahmen vorbereiten, die
im Falle eines Angriffs ergriffen werden können, um ihn zu beenden
oder abzuschwächen.
Angriffe vorab verhindern oder abschwächen
DoS-Angriffe …
Donnerstag, 5. November 2009
MySQL: Das Problem ist nicht Oracle, sondern die GPL
Sacha Labourey, ehemals führender Kopf bei JBoss, hat in seinem Blog das GPL-Dual-Licensing-Geschäftsmodell scharf kritisiert. Hintergrund ist die Übernahme Suns durch Oracle und damit einhergehend die unsichere Zukunft von MySQL.
Labourey argumentiert wie folgt: Das Gute an FOSS-Geschäftsmodellen (Free and Open Source Software) sei, dass egal was mit den Firmen hinter der …
Freitag, 25. September 2009
"We are not going to spin it off." Larry Ellison bekennt sich zu MySQL
Im Rahmen eines Interviews auf dem Business- und Technologieforum The Churchill Club nahm Larry Ellison, CEO bei Oracle, Stellung zu verschiedenen Fragen; unter anderem natürlich auch zur aktuellen Situation der geplanten Übernahme von Sun durch das Unternehmen, der damit einhergehenden Akquise von MySQL und des laufenden Prüfungsverfahrens der Europäischen Union zu …
Dienstag, 22. September 2009
intelliBOOK: Alle Magazine digital verfügbar
Die Zirkulation von Zeitungen und Magazinen ist in den letzten Jahren dramatisch gesunken. Gleichzeitig lesen immer mehr Menschen Nachrichten online und mit ihnen wächst das Verlangen nach konvergenten Medienprodukten. Software & Support Media hat einen Weg gefunden, dem veränderten Leserverhalten gerecht zu werden. Auf der .NET-Konferenz BASTA! hat Verlagsleiter Masoud Kamali …
Mittwoch, 5. August 2009
Vorsicht mit Sun's MySQL OEM Agreement
... so der Tenor im aktuellen Beitrag von Michael Widenius zum dualen Lizensierungsmodell bei Open-Source-Software. Selbiges erlaube im Wesentlichen die Wahl zwischen zum Beispiel der GPL und einer kommerziellen Lizenz, wie sie unter bestimmten Umsänden ebenfalls erforderlich sei.
um auf den Punkt zu kommen - Monty stellt fest, dass das aktuelle MySQL …
Donnerstag, 14. Mai 2009
About Security #204: Schwachstellen-Suche: Shared Environments (2)
Für Schwachstelle in und Angriffe auf bzw. durch Anwendungen, die die
gleiche Infrastruktur nutzen, gibt es eine Reihe von Möglichkeiten. Im
Gegensatz zu einzeln gehosteten Anwendungen stellen nicht nur externe
Angreifer, sondern auch böswillige Mitbenutzer eine potentielle Gefahr
dar.
Hintertür durch die Vordertür
In Shared-Hosting-Umgebungen gibt es ein grundsätzliches Problem, das
bei einzeln gehosteten Anwendungen nicht auftritt: Die …
Donnerstag, 7. Mai 2009
About Security #203: Schwachstellen-Suche: Shared Environments
In Umgebungen, in denen verschiedene Anwendungen die gleiche Infrastruktur
nutzen, können Schwachstellen in bzw. Angriffe auf eine der
Anwendungen entweder zur Kompromittierung der Infrastruktur und/oder aller
anderen Anwendungen führen. Typische Fälle solcher Umgebungen
sind das Shared Hosting und Application Service Provider.
Unabhängig davon, ob eine Website auf einem eigenen Server bei einem
Colocation-Provider, im Rahmen von Shared …
Donnerstag, 19. März 2009
About Security #196: Schwachstellen-Suche: Pufferüberläufe finden
Thema dieser Folge ist die Suche nach Pufferüberlauf-Schwachstellen
in Webanwendungen. Pufferüberläufe (Bufferoverflows) kommen nur
in kompilierten Programmen vor, während Webanwendungen meist in
interpretierten Skriptsprachen geschrieben werden. Aber auch dabei
können kompilierte Programme zum Einsatz kommen, z.B. wenn eine
vorhandene Anwendung um eine Weboberfläche erweitert wurde oder die
Webanwendung auf externe Komponenten zugreift. Auch die webbasierten
Administrationsoberflächen von Geräten …
Donnerstag, 26. Februar 2009
About Security #194: Schwachstellen-Suche: LDAP-Injection
Das Lightweight Directory Access Protocol LDAP dient der Abfrage von
Verzeichnisdiensten. Auch in LDAP-Abfragen kann analog zum Vorgehen bei
einer SQL- oder XPath-Injection zusätzlicher Code eingefügt
werden, mit dem die Abfrage manipuliert und auf eigentlich nicht
zugängliche Daten zugegriffen werden kann.
LDAP - Eine kurze Einführung
LDAP dient dem Zugriff auf hierarchisch organisierte Verzeichnisse, die
prinzipiell beliebige Daten …
Donnerstag, 19. Februar 2009
About Security #193: Schwachstellen-Suche: SMTP-Command-Injection
In About Security
#192
wurde die SMTP-Header-Injection beschrieben, d.h. das Einfügen
weiterer Header in eine über SMTP übertragene E-Mail. In dieser
Folge wird ein weiterführender Angriff auf SMTP beschrieben: Die SMTP
Command Injection, das Einfügen zusätzlicher SMTP-Befehle.
Im Beispiel in About Security
#192
wurde die SMTP-Kommunikation durch den PHP-Befehl mail()
abgewickelt. Statt dessen kann die Webanwendung auch die …
Mittwoch, 11. Februar 2009
Microsoft Patchday: 8 Schwachstellen, darunter 3 kritische, korrigiert
Am Februar-Patchday hat Microsoft wie
angekündigt
zwei als kritisch und zwei als wichtig eingestufte Security-Bulletins
veröffentlicht,
die insgesamt 8 Schwachstellen schließen: Zwei kritische im Internet
Explorer, eine kritische und eine wichtige im Exchange Server, eine
wichtige im SQL Server und drei wichtige in Office Visio. Bis auf die
Schwachstelle im SQL Server waren alle Schwachstellen zuvor nicht
öffentlich …
Donnerstag, 5. Februar 2009
Michael Widenius verlässt Sun
Michael "Monty" Widenius verlässt Sun. Knapp ein Jahr nach der Übernahme durch Sun Microsystems zieht damit auch der zweite MySQL-Gründer die Konsequenzen aus den in der Vergangenheit immer wieder aufgetretenen Meinungsverschiedenheiten, die insbesondere im Zusammenhang mit der Entwicklung der Version 5.1 der MySQL-Datenbank aufgetreten waren. Erst im Dezember des vergangenen Jahres …
Donnerstag, 22. Januar 2009
About Security #189: Schwachstellen-Suche: XPath-Injection
In dieser Folge geht es weiter um die in About Security
#188
beschriebenen XPath-Injection-Schwachstellen: Sie erfahren, was Blind
XPath-Injection ist und wie Sie die Schwachstellen finden und verhindern
können.
Blind XPath-Injection
Sind keine Informationen über die XML-Datei bekannt, kann vergleichbar
dem Vorgehen bei der Blind SQL-Injection (siehe About Security
#175)
eine Blind XPath-Injection durchgeführt werden. XPath erlaubt Schritte
relativ …
Donnerstag, 15. Januar 2009
About Security #188: Schwachstellen-Suche: Scriptcode Injection (2)
Das Einschleusen von Schadcode in Skriptsprachen wurde in About Security
#187
beschrieben, in dieser Folge geht es zuerst um die Suche nach
entsprechenden Schwachstellen.
Schwachstellen finden
Da sich die Funktionen zur dynamischen Ausführung von Code in den
verschiedenen Skriptsprachen weitgehend gleichen, reichen für die
Schwachstellensuche einige wenige Testmuster aus. Trotzdem ist es in
manchen Fällen notwendig, die verwendete Syntax …
Donnerstag, 25. Dezember 2008
About Security: Nützliche Cheat Sheets, interessante Blogs
Bereits im Weihnachts-Special
2006
gab es an dieser Stelle eine Vielzahl von Literaturtips aus dem Bereich
"Sicherheit" und verwandten Themengebieten. Während der Schwerpunkt damals
auf eBooks und Artikeln lag, gibt es dieses Jahr Hinweise auf nützliche
Cheat Sheets und interessante Blogs. Die Auswahl ist dabei relativ
willkürlich zusammengestellt und erhebt natürlich keinerlei Anspruch
auf Vollständigkeit. Ich hoffe, es …
Montag, 1. Dezember 2008
Das Management hat's vermasselt - MySQL-Gründer warnt vor dem Release 5.1
Kaum nach dem Erscheinen des aktuellen Release 5.1 der relationalen Datenbank MySQL sieht sich MySQL-Mitgründer Michael "Monty" Widenius auch schon gezwungen, eine erste Warnung herauszugeben:
The reason I am asking you to be very cautious about MySQL 5.1 is that there are still many known and unknown fatal bugs in the new …
Donnerstag, 30. Oktober 2008
PDC 2008: Alles, was wichtig ist
Lang erwartet und viel diskutiert, ist sie nun endlich gestartet: die Professional Developers Conference von Microsoft. Der Redmonder Softwarekonzern hat die .NET-Gemeinde in Los Angeles versammelt, um ihr die neuesten Ankündigungen zu überbringen und von den eigenen Visionen zu berichten. Unzählige Sessions, Vorträge und somit auch Themen stehen auf der Agenda, …
Dienstag, 28. Oktober 2008
EKON 12 startet mit zwei Keynotes
David Intersimone, Chief Evangelist für CodeGear-Produkte bei Embarcadero, hat am heutigen Dienstag die zwölfte Entwickler-Konferenz "EKON" mit zwei Keynotes eröffnet. Dabei zeigte der Kalifornier einen Einblick in die aktuellen Produkte und Strategien des Hauses Embarcadero Technologies: Am Morgen in einer Eröffnungsrede, am Nachmittag in einer technologisch ausgerichteten Keynote.
Zur Eröffnung: Neuheiten
In seiner …
Freitag, 24. Oktober 2008
Microsoft patcht kritische Lücke im RPC-Service
Das gestern von Microsoft außer der Reihe veröffentlichte Security Bulletin
MS08-067
betrifft eine
Schwachstelle im Server Service.
Eine Pufferüberlauf-Schwachstelle im RPC-Service erlaubt aus der Ferne die
Ausführung beliebigen Codes durch präparierte RPC-Requests.
Betroffen sind Windows 2000 SP4, XP SP2/SP3, Server 2003, für die das
Bulletin als kritisch eingestuft wird, sowie Vista, Vista SP1 und Server
2008, für die …
