Website-Backup-Service gestartet

Donnerstag, 27 Februar 2014 12:26

Während meiner Tätigkeit als Ansprechpartner bei Website-Problemen in den vergangenen Jahren, ist mir häufig aufgefallen, dass bei Bedarf oftmals kein aktuelles Backup einer Website verfügbar ist. Beispielsweise nach einer Manipulation einer Website durch Hacker oder bei einem Bedienfehler. Die Wiederherstellung einer funktionierenden Version der Website ist dann oftmals sehr aufwändig und teuer.

Aufgrund dieser Erfahrung habe ich einen Website-Backup-Service entwickelt. Der Service erstellt auf Wunsch täglich, wöchentlich oder monatlich automatisch ein Backup einer Website. Mit der Nutzung des Services ist daher immer sichergestellt, dass im Bedarfsfall eine aktuelle Sicherung einer Website verfügbar ist. Mit einer eingebauten Vergleichsfunktion ist es zudem möglich, den Zeitpunkt einer Manipulation oder die Ursache eines Fehlers schnell herauszufinden.

Der Service steht seit gestern unter https://www.websitebackup.ch zur Verfügung. Aktuell befindet sich der Service noch in einer Testphase, die wichtigsten Funktionen sind jedoch einsatzbereit.

Lohnt sich der Umstieg von Joomla 1.5 auf 2.5 oder soll ich lieber auf Joomla 3.5 warten?

Dienstag, 3 Dezember 2013 01:23

Die Frage, ob es sinnvoll ist auf Joomla 3.5 zu warten, ist schwer zu beantworten.

Auf der einen Seite wird Joomla 1.5 schon seit über einem Jahr (September 2012) offiziell nicht mehr unterstützt und dürfte einige öffentlich bekannte Sicherheitslücken aufweisen. Eine der öffentlichen Sicherheitslücken ist sehr schwerwiegend und ermöglicht es einem Angreifer, eine Joomla Website komplett zu übernehmen. Daher sollte die Lücke bei jeder Joomla 1.5 Website möglichst schnell durch die Installation eines Patches behoben werden. Der Patch ist auf JoomlaCode ganz unten unter Files erhältlich und kann über den Joomla-Installer installiert werden – sofern aktuell Joomla 1.5.26 eingesetzt wird. Zuvor sollte auf jeden Fall eine Sicherung der Website angelegt werden.

Auf der anderen Seite geht es auch nicht mehr lang bis Joomla 3.5 (voraussichtlich im März 2014) erscheint. Der Umstieg von Joomla 1.5 auf 3.5 dürfte nur unwesentlich aufwändiger sein, als der Umstieg von Joomla 1.5 auf 2.5. Falls jetzt schon auf Joomla 2.5 umgestiegen wird, soll es laut Aussage des Joomla Entwicklerteams allerdings auch relativ einfach möglich sein, später von Joomla 2.5 auf 3.5 zu aktualisieren. Joomla 2.5 könnte man in diesem Fall bis Ende 2014 nutzen, da Joomla 2.5 bis zu diesem Zeitpunkt mit Sicherheitsupdates versorgt wird.

Ist ein Upgrade von Joomla 2.5.x auf 3.2 sinnvoll?

Mittwoch, 20 November 2013 11:39

Vor kurzem erreichte mich die Frage, ob es aktuell bezüglich der Sicherheit nötig ist, von Joomla 2.5.16 auf die aktuellste Joomla-Serie (3.2.x) upzudaten.

Die Antwort auf die Frage ist relativ schnell gegeben: Bezüglich der Sicherheit ist es nicht notwendig. Die Joomla 2.5 Serie wird noch bis Ende 2014 offiziell mit Sicherheitsupdates unterstützt und kann bis zu diesem Zeitpunkt ohne Bedenken weiterverwendet werden. Für die Sicherheit ist bezüglich der Updates nur wichtig, dass man regelmäßig die Updates innerhalb von Joomla 2.5 (z.B. sobald verfügbar auf 2.5.17) einspielt und die eingesetzten Erweiterungen aktuell hält. Es lohnt sich gegebenenfalls auch regelmäßig zu prüfen, ob die eingesetzten Erweiterungen vom Entwickler noch mit Updates versorgt werden.

Ein Umstieg auf Joomla 3.2 lohnt sich momentan nur, wenn man eine der neuen Funktionen von Joomla 3.2 nutzen möchte.

Sicherheitslücke im Joomla 1.5.26 Core

Donnerstag, 18 Juli 2013 01:13

Am vergangenen Montag habe ich hier im Blog über eine kryptografische Schwachstelle in allen aktuellen Joomla Versionen berichtet. Der veröffentlichte Exploit kann nur mit den aktuellen Joomla Versionen 2.5.x und 3.1.x verwendet werden, allerdings lässt sich nach dem selben Prinzip auf einfache Weise ein Exploit für Joomla 1.5.26 entwickeln.

Auf Grund dieser Tatsache kann Joomla 1.5.26 aktuell nicht mehr als sicher angesehen werden und ein Update auf eine aktuelle Joomla Version (sobald die Sicherheitslücke in diesen geschlossen wurde) sollte in Erwägung gezogen werden.

Kryptografische Schwachstelle in Joomla

Montag, 15 Juli 2013 01:05

Im April 2013 habe ich eine kryptografische Schwachstelle in Joomla entdeckt, welche es unter anderem ermöglicht, das im Remember Me-Cookie gespeicherte Passwort im Klartext auszulesen. Das Cookie kann von einem Angreifer beispielsweise durch eine XSS-Attacke erbeutet werden.

Betroffen von der Schwachstelle sind alle seit Joomla 1.5 veröffentlichten Joomla Versionen. Der beschriebene Exploit wurde für Joomla 2.5 entwickelt, ist mit leichten Modifikationen aber auch für Joomla 1.5 funktionsfähig.

Die Schwachstelle wurde dem Joomla Security Strike Team (JSST) detailiert am 12.05.2013 gemeldet. Als auch nach zweimaliger Nachfrage keine Reaktion kam, wurde die Lücke am 15.06.2013 auf einer Mailing List veröffentlicht. Mittlerweile hat sich jemand aus dem Joomla Entwicklerteam der Schwachstelle angenommen, allerdings ist bis zum heutigen Tag (15.07.2013) noch kein Update verfügbar.

PHP: FTPs Memory Leak

Donnerstag, 11 Juli 2013 11:04

Bei der Implementierung eines FTPs Clients in PHP habe ich gestern ein problematisches Memory Leak in PHP entdeckt. Das Speicherleck tritt nur bei FTP-Verbindungen über SSL auf. Standard FTP-Verbindungen sind nicht betroffen.

Da bei jedem Aufruf von ftp_get() und ftp_fget() Speicher verloren geht und ich via FTP eine komplette Website sichern wollte, wurde der komplette verfügbare Speicher noch vor Beendigung des Skripts aufgefressen. Neben den get-Funktionen ist auch ftp_login() betroffen.

Version 1.0.0-alpha.4 der Galerie für Joomla veröffentlicht

Samstag, 18 Mai 2013 08:50

Die Galerie Erweiterung für Joomla ist ab heute in Version 1.0.0-alpha.4 verfügbar. Die wichtigste Neuerung dieser Version ist der Support von Namenskovertierungsplugins. Diese erlauben es, on-the-fly den dargestellten Ordnernamen nach belieben zu modifizieren. Ein Anwendungsbeispiel dieser Funktion ist es, ein Datum zur Sortierung im Ordnernamen zu verwenden und das Datum bei der Darstellung der Galerie auszublenden.