pixelReality.log » Sicherheit

myGallery Update

Sebastian Schwittay — Thu, 27 Sep 2007 18:26:16 +0000

Da ich in den vergangenen Tagen mehrfach auf mein Gallery-Plugin angesprochen wurde, habe ich mal wieder auf der Seite zum Plugin nachgesehen und festgestellt, dass es seit einem halben Jahr ein kritisches Sicherheitsupdate gibt, das ich natürlich noch nicht installiert hatte…

Das habe ich dann direkt mal nachgeholt, da ich bei Google auch direkt ein paar Blogpostings gefunden habe, die von Hacker-Attacken aufgrund der Sicherheitslücke in früheren myGallery-Versionen berichteten.

Neben der verbesserten Sicherheit kommt die neue Version mit gefühlten 1000 neuen Einstellungsmöglichkeiten daher, die ich allerdings links liegen gelassen habe, da ich erst einmal nur den Zustand der Gallery vor dem Update herstellen wollte. Das hat auch sehr gut geklappt.

Falls noch jemand auf eine alte myGallery-Version setzt: Updaten!

---
pixelReality.log

myGallery Update

WordPress 2.2.3

Sebastian Schwittay — Sat, 08 Sep 2007 14:30:24 +0000

Mal wieder eine neue WordPress-Version von der ich eher zufällig über andere Blogs erfahren habe. Warum gibt es keinen WP-internen Mechanismus, der mir ein kleines PopUp im Backend beschert, sobald eine neue Version verfügbar ist. Einfach nur so zur Info halt. Keine Upgrade-Verpflichtung oder sowas. Gibt es dafür vielleicht schon ein Plugin?

Die neue WP-Version bringt übrigens keine neuen Features sondern Bugfixes für bekannte Sicherheitslücken. Immerhin.

(via BasicThinking)

---
pixelReality.log

WordPress 2.2.3

Ordner synchronisieren mit SyncToy

Sebastian Schwittay — Tue, 08 May 2007 21:19:22 +0000

Wer kennt das Problem nicht. Man arbeitet während eines Tages an verschiedenen PCs. Mal Notebook, mal am Rechner zu Hause und mal in der Uni/auf der Arbeit. Wer da wichtige Daten auf allen Rechner immer synchron halten will, hat gut zu tun. Bei manuellem Abgleich der Daten verliert man zudem schnell den Überblick.

Abhilfe schafft ein kleines Tool von Microsoft, dass sich SyncToy nennt. Mit diesem Tool lassen sich Beziehungen zwischen zwei Ordnern anlegen, die dann auf Klick synchronisiert werden. Vor der eigentlich Synchronisierung kann dabei ein Preview der Änderungen erstellt werden, so dass sichergestellt ist, dass nicht versehentlich wichtige Daten gelöscht werden.

Für die Synchronisierung lassen sich verschiedene Aktionen wählen. Zur Auswahl stehen:

Synchronize – Dabei werden neue und geänderte Dateien in beide Richtungen kopiert und auch Umbenennungen sowie Löschungen nachvollzogen.

Echo – Änderungen auf der linken Seite werden auf der rechten Seite nachvollzogen. Ebenso das Umbenennen oder Löschen von Dateien.

Subscribe – Geänderte Dateien auf der rechten Seite werden auf die linke Seite kopiert.

Contribute – Führt alle Änderungen usw. von der linken Seite auch auf der rechten Seite aus. Löschungen werden nicht durchgeführt.

Combine – Neue und geänderte Daten werden in beide Richtungen kopiert. Umbenennungen und Löschungen werden ignoriert.

Mit diesen unterschiedlichen Aktionen lassen sich die unterschiedlichsten Anwendungsfälle abdecken. Daher nutze ich das Tool gerne und oft, zumal es auch sehr einfach zu bedienen ist. Probleme hatte ich bisher glücklicherweise auch noch nicht.

Wer sich das Tool mal ansehen möchte: Hier kann es kostenlos heruntergeladen werden.

---
pixelReality.log

Ordner synchronisieren mit SyncToy

WordPress 2.1.3 und 2.0.10

Sebastian Schwittay — Tue, 03 Apr 2007 19:02:37 +0000

Falls sie schon jemand vermisst hat, hier mal wieder Updates für WordPress: Link

---
pixelReality.log

WordPress 2.1.3 und 2.0.10

smava wieder online

Sebastian Schwittay — Tue, 27 Mar 2007 06:47:13 +0000

Gestern abend habe ich ja über smava berichtet, bzw. über deren Server-Ausfall. Wenig später lief der Server dann glücklicherweise wieder (wurde sogar per Telefon von Alexander Artopé darüber informiert, klasse Service!) und ich konnte mir die Seite in aller Ruhe ansehen. Hier also meine Meinung:

Layout

Das Layout gefällt mir sehr gut. Angenehmen Farben und eine übersichtliche Menüführung helfen dabei, sich auf der Seite zurecht zu finden. Gleichzeitig werden die wichtigsten Facts bereits auf der Startseite dargestellt.

Konzept

Weitaus wichtiger als ein ansprechendes Layout ist für ein junges Unternehmen das Konzept. Bei smava handelt es sich wie bereits erwähnt um eine Social Lending Plattform, also eine Seite, auf der Privatpersonen anderen Privatpersonen Geld zur Verfügung stellen können. Gegen entsprechenden Zinszahlungen natürlich.

Als Kreditnehmer kann man bei smava einfach ein neues Kreditprojekt einstellen. D.h. man legt die benötigte Kreditsumme (die durch die wirtschaftliche Leistungsfähigkeit begrenzt ist), den gewünschten Zinssatz sowie die Laufzeit des Kredites fest und beschreibt, wozu das Geld benötigt wird. Danach ist noch eine Identifizierung über das Post-Ident-Verfahren notwendig. Dabei wird auch eine Schufa-Auskunft über die Bonität des Kreditnehmers eingeholt, welche dann auch für Kreditgeber einsehbar ist, die sich für das Projekt interessieren. Kreditgeber und Kreditnehmer bleiben jedoch grundsätzlich anonym.

Falls nun innerhalb von 14 Tagen genug Kreditgeber zusammenfinden, die das Projekt finanzieren möchten, erhält der Kreditnehmer das Geld abzüglich 1% Gebühren, die an smava fließen und den Dienst letztendlich finanzieren.

Details

Details der Kreditvergabe und Sicherheitsmechanismen bitte auf smava nachlesen. Nur so viel: Es gibt Anlegerpools für jede Bonitätsklasse, die Kreditausfälle gemeinsam tragen. Nach 2 Mahnungen und ausbleibender Ratenzahlung werden Kredite an ein Inkasso-Unternehmen verkauft und der volle Erlös fließt in den Anlegerpool.

Fazit

smava ist nicht das erste Angebot dieser Art weltweit, wohl aber in Deutschland. Wie in meinem ersten Beitrag zu dem Thema bereits erwähnt halte ich die Idee im Prinzip für gut. Mit smava gibt es die Möglichkeit, an den Banken vorbei Kredite zu organisieren. Dabei können Kreditnehmer als auch Kreditgeber von den wegfallenden Provisionen für die Bank profitieren, gegen die die 1%, die smava verlangt richtig günstig sind.

Sorgen macht mir zurzeit noch die Risikodiversifikation für Kreditgeber. Gerade zu Beginn eines solchen Unternehmens ist die Zahl der Teilnehmer sehr begrenzt. Damit ist auch der Pool der Anleger eher klein und das Risiko wird nicht allzu stark verteilt. Es braucht also ein paar Mutige, die sich hohe Renditen erhoffen, um den Anfang zu machen. Ich bin erst einmal nicht dabei.

---
pixelReality.log

smava wieder online

Kampf dem Spam

Sebastian Schwittay — Mon, 26 Mar 2007 09:16:19 +0000

Im Kampf gegen Spam auf dem Blog habe ich am Wochenende mal wieder 2 neue Geschütze aufgefahren. Zum einen habe ich das Simple Trackback Validation Plugin von Michael Wöhrer installiert, dass Trackbacks auf eine gültige URL zu dem trackgebackten Artikel überprüft. Fehlt diese URL wird der Trackback erst einmal in die Moderationsschleife geschickt. Damit ist hoffentlich Schluss mit dem sinnlosen Trackback-Spam.

Vom selben Autor stammt das Plugin Math Comment Spam Protection Plugin, das von jedem Kommentator eine kleine Matheaufgabe erwartet, um seine “Intelligenz” zu überprüfen. Dyskalkulie-Betroffene ohne Taschenrechner und Spam-Bots müssen so draußen bleiben. Traurig aber wahr. Hab keine Lust mehr auf Spammer. Die sollen sich woanders austoben. Wobei es natürlich besser wäre, wenn jeder sinnvolle Maßnahmen gegen Spam ergreift, so dass sich Spammen einfach nicht mehr lohnt. Aber dadrauf kann man wohl lange warten…

---
pixelReality.log

Kampf dem Spam

OpenID

Sebastian Schwittay — Thu, 08 Mar 2007 07:48:15 +0000

Das Thema OpenID wurde gestern ja mal wieder so richtig schon gehyped durch die Meldung, dass WordPress.com-Accounts nun zur Identifizierung dienen können.

Darauf hin habe ich mir mal den Screencast zu OpenID angesehen, mich ein wenig über die Materie informiert und mir einen eigenen Account bei MyOpenID besorgt. Schön und gut. Was kann ich jetzt mit meiner OpenID anfangen? Nicht wirklich viel, denn kein Dienst, den ich nutze, unterstützt Authentifizierung via OpenID.

Das soll jetzt nicht heißen, dass OpenID vom Prinzip her schlecht ist. Schlecht ist nur, dass es nicht die großen Zugpferde unter den Diensten gibt, die das Ganze mal richtig pushen, in dem sie offensiv damit werben, dass sie OpenID unterstützen. Für den normalen User gibt es so keinen Grund, sich OpenID anzugucken.

Und sowieso ist die bisherige Aufmachung der OpenID-Seite und allem drum rum eher dürftig. Jeder normale Nutzer ist doch erstmal verwirrt, wenn er hört, dass er einen aus vielen Servern auswählen kann, wo er seine OpenID anlegt. Warum nicht alles auf der zentralen OpenID-Seite vereinigen? Und zwar ein bisschen schicker, als das aktuell der Fall ist. Idealerweise mehrsprachig und mehr auf den normalen User ausgerichtet.

Fazit: Es braucht ein paar große Dienste wie MySpace, Wikipedia oder ähnliches und eine ordentliche zentrale Anlaufstelle für OpenID, dann wird das zum Selbstläufer, wenn nicht irgendwelche technischen Tücken auftreten…

(via BasicThinking)

---
pixelReality.log

OpenID

Backup-Strategie für’s Blog

Sebastian Schwittay — Tue, 06 Mar 2007 13:57:45 +0000

Diese Woche wurde ausgerufen zur Backup-Woche. Daher hier mal wieder ein kleiner Beitrag von mir zum Thema Backup des Blogs.

Die wertvollsten Daten eines Blogs liegen normalerweise in der Datenbank. Dort befinden sich Artikel, Kommentare, Tags uvm. Daher sollte besonders die Datenbank regelmäßig gesichert werden. Bei mir geschieht dies täglich. Dabei greife ich auf den Cronjob-Service von Cronjob.de zurück und lasse über diesen Service täglich zu früher Stunde ein Backup-Script aufrufen, dass sämtliche Tabellen aus der Datenbank in ein SQL-File schreibt und als Archiv auf dem Server speichert. Wichtig dabei ist, dass man sowohl den Ordner, in dem man die Backups speichert, als auch den Ordner, in dem die Backup-Scripte liegen, mit einem Passwort schützt (htaccess).

Zusätzlich bekomme ich alle paar Tage ein aktuelles Backup per E-Mail, so dass ich selbst im Fall der Fälle, wenn der Server einen kompletten Datenverlust erleiden sollte, was eigentlich nicht vorkommen darf, über ein halbwegs frisches Backup verfüge.

Beide Skripte, das zum täglichen Backup sowie das zum Backup per Mail basieren auf dem WordPress-Plugin WordPress Database Backup von Scott Merrill. Diese habe ich allerdings so modifiziert, dass sie nicht mehr als Plugins taugen, sondern lediglich stumpfe Backup-Maschinen sind. Falls Interesse an diesen Skripten besteht, bitte per Kommentar melden.

Nachdem nun die Datenbank gesichert ist, können wir uns um die weiteren Daten kümmern, die das Blog zum Blog machen. Die Daten auf dem Webserver. Dort sammeln sich neben der WordPress-Installation auch sämtliche Bilder aus Blogeinträgen sowie mit viel Aufwand bearbeitete Themes etc.

Diese sichere ich nicht regelmäßig, sondern nur, wenn mal wieder ein WordPress-Update angesagt ist oder ich nichts Besseres zu tun habe. Sicher nicht vorbildlich aber im Gegensatz zur Datenbank sammeln sich auf dem Webserver wesentlich größere Datenmengen an, was das backupen erschwert. Falls jemand dafür jedoch eine elegante Lösung parat hat bin ich durchaus nicht abgeneigt, mich noch mal mit dem Thema zu befassen.

Dieser Artikel ist übrigens nicht viel mehr als eine Neuauflage dieses alten verstaubten Etwas.

---
pixelReality.log

Backup-Strategie für’s Blog

WICHTIG: WordPress auf 2.1.2 Updaten!

Sebastian Schwittay — Sat, 03 Mar 2007 10:28:15 +0000

Gerade selbst erst von gehört und bin immer noch geschockt. Die Download-Server von WordPress.org wurden offensichtlich in den letzten Tagen gehackt. Dabei wurde in die Version 2.1.1 von WordPress Code eingeschleust, der das Ausführen von fremdem PHP-Code ermöglicht.

Also unbedingt euer WordPress auf Version 2.1.2 Updaten, zumindest, falls ihr die 2.1.1 Version in den letzten Tagen von WordPress.org heruntergeladen habt. Die deutschsprachige Version von WordPress.de ist wohl nicht betroffen, aber generell ist man mit einem Update wohl auf der sicheren Seite…

(via S-O-S SEO Blog)

---
pixelReality.log

WICHTIG: WordPress auf 2.1.2 Updaten!

StudiVZ-Nutzer: Passwörter ändern!

Sebastian Schwittay — Wed, 28 Feb 2007 22:58:22 +0000

Für alle StudiVZ-Nutzer ist es wohl Pflicht, die Passwörter bei allen Diensten zu ändern, bei denen das gleiche Passwort wie für das StudiVZ genutzt wurde. Wie gestern bekannt wurde, ist es einem Hacker gelungen, Nutzerdaten inkl. Passwörtern aus der StudiVZ-Datenbank auszulesen. Bisher war davon die Rede, dass die Passwörter verschlüsselt sind. Schön und gut.

Glaubt man dem Artikel bei Don, dann lässt sich die Verschlüsselung knacken. Dieses Gerücht soll zumindest StudiVZ-intern kursieren.

Ich weiß ja nicht, wie es euch geht, aber mir wird das StudiVZ so langsam unheimlich. Und ganz ehrlich, ich habe nicht für jeden Dienst ein anderes Passwort. Das wäre auch nicht vereinbar mit meinem begrenzten internen Passwortspeicher. Zum Glück habe ich die wirklich wichtigen Passwörter von Diensten wie dem StudiVZ bislang ferngehalten. Sonst müsste ich mir nun wohl möglich ernsthafte Sorgen machen…

Passend dazu hier ein Passwortgenerator für neue Passwörter

---
pixelReality.log

StudiVZ-Nutzer: Passwörter ändern!

StudiVZ gehackt

Sebastian Schwittay — Tue, 27 Feb 2007 20:28:58 +0000

Heute war es mal wieder soweit. Ein unbekannter Hacker hat eine Sicherheitslücke im System von StudiVZ genutzt, um auf die Mitgliederdaten zuzugreifen. Er hat offenbar Mailadressen, Zugangsdaten und Freundschaftsverbindungen ausgelesen. In welchem Umfang, das geht aus der veröffentlichten Pressemitteilung nicht hervor.

Herrlich, wenn mal wieder ungewiss ist, was mit den eigenen Daten geschehen ist. Immerhin beruhigend, dass die Passwörter in der StudiVZ-Datenbank verschlüsselt gespeichert werden. Hoffentlich auch mit einem sicheren Verschlüsselungsverfahren.

Als Reaktion auf den Hack wurden die Passwörter aller Mitglieder zurückgesetzt. Auch die Sicherheitslücke wurde entdeckt und eliminiert. Aktuell ist das StudiVZ offline, da die Server dem Ansturm der User auf die Zusende-Funktion für ein neues Passwort wohl nicht gewachsen waren. Bis Mitternacht soll eine Lösung gefunden werden.

Ich bin gespannt…

(via BasicThinking)

---
pixelReality.log

StudiVZ gehackt

Informationen von Ebay abfragen

Sebastian Schwittay — Fri, 21 Apr 2006 10:36:42 +0000

Gestern Abend, ich kann mir immer noch nicht erklären, wie es passieren konnte, bin ich mitten in der Sendung “Planetopia Online” gelandet. Dort wurde über Identitätsklau bei Ebay berichtet. Keine neue Sache soweit. Es geht halt darum, dass Menschen mit genügend krimineller Energie sich mit geklauten Identitäten bei Ebay anmelden und im Namen anderer dann Unfug anrichten.
Für die Anmeldung reichen offenbar Daten aus, die von vielen, im Web aktiven Menschen, offen verfügbar sind.

Jeder, da Angst davor hat, Opfer eines solchen Identitätsdiebstahles zu werden, kann laut Planetopia Online eine Anfrage an Ebay schicken und darin fordern, ihn über die Account zu informieren, die mit seinen Daten erstellt wurden. Dazu hat Planetopia Online ein Formblatt zum Download bereitgestellt. Dieses muss einfach ausgefüllt und um eine Personalausweiskopie ergänzt an Ebay Deutschland geschickt werden.

Ich weiß nicht, ob mir das die 55 Cent Porto wert wäre, zumal man diese Anfrage konsequenter Weise ja regelmäßig wiederholen müsste…

---
pixelReality.log

Informationen von Ebay abfragen

Apache2 + PHP + MySQL unter Linux installieren

Sebastian Schwittay — Fri, 31 Mar 2006 09:32:47 +0000

Wer mit PHP und Co. arbeitet braucht einen Ort, an dem er seine Entwicklungen testen kann. Dies auf einem im Internet zugängliche Server zu tun ist meistens wenig ratsam. Angenehmer funktioniert dies mit einem lokalen Webserver, den man nach eigenem Gutdünken konfigurieren kann und auf den sonst niemand Zugriff hat. Folgende zwei Wege bieten sich zur Installation eines Webservers als Entwicklungsumgebung mit PHP und MySQL unter Linux an:

Installation über APT
Es gibt einen einfachen Trick, alle benötigten Paktete für einen Webserver mit PHP und MySQL schnell und unkompliziert zu installieren. Einfach über APT das MySQL-Webfrontend phpMyAdmin auswählen. Dieses Paket benötigt einen Apache2 mit PHP und MySQL und somit werden die Abhängigkeiten durch APT automatisch aufgelöst. Man kann also auf einen Schlag Apache2, PHP, MySQL und phpMyAdmin installieren, ohne einzelne Pakete manuell auswählen zu müssen…
Die Konfiguration des Servers muss nun natürlich noch von Hand gemacht werden. Allerdings gestaltet sich diese zumindest unter SUSE mit Hilfe des httpd-Konfigurationstools, dass im YAST zu finden ist, relativ einfach, solange man keine Spezialkonfiguration benötigt.

Installation mit XAMPP
Alternativ dazu kann man bei den ApacheFriends ein Archiv herunterladen, in dem der Webserver komplett mit PHP, MySQL und einigen anderen Erweiterungen herunterladen. Danach muss das Archiv nur noch entpackt werden und schon kann der Webserver gestartet werden. Allerdings weisen die Entwickler von XAMPP daraufhin, dass dieser Webserver dann nicht für den produktiv Einsatz geeignet ist, da das Paket nicht bei jedem Sicherheitsupdate von Apache2 und Co. aktualisiert wird. Zu Testzwecken ist die XAMPP-Lösung dagegen durchaus geeignet und bietet sich vorallem für diejenigen an, die keine oder wenig Erfahrung mit der Konfiguration eines Webservers haben.

---
pixelReality.log

Apache2 + PHP + MySQL unter Linux installieren

pixelReality.log » Sicherheit

myGallery Update

Ähnliche Artikel:

WordPress 2.2.3

Ähnliche Artikel:

Ordner synchronisieren mit SyncToy

Ähnliche Artikel:

WordPress 2.1.3 und 2.0.10

Ähnliche Artikel:

smava wieder online

Ähnliche Artikel:

Kampf dem Spam

Ähnliche Artikel:

OpenID

Ähnliche Artikel:

Backup-Strategie für’s Blog

Ähnliche Artikel:

WICHTIG: WordPress auf 2.1.2 Updaten!

Ähnliche Artikel:

StudiVZ-Nutzer: Passwörter ändern!

Ähnliche Artikel:

StudiVZ gehackt

Ähnliche Artikel:

Informationen von Ebay abfragen

Ähnliche Artikel:

Apache2 + PHP + MySQL unter Linux installieren

Ähnliche Artikel: