HTTPS erklärt, Joomla-Update-Anleitung und Sitemap-Generator

Dienstag, 18 November 2014 01:42

Heute gibt es mal wieder ein kurzes Status-Update über die Änderungen an meiner Hauptwebsite.

Anfang November habe ich dort einen Artikel über SSL, TLS und HTTPS veröffentlicht. In dem Artikel werde diese Technologien und deren grobe Funktionsweise erklärt und Handlungsempfehlungen zur Anwendung abgesicherter Verbindungen gegeben.

Letzte Woche habe ich nochmal etwas an der Joomla-Update-Anleitung gearbeitet und vor allem die Anleitung für das manuelle Update verbessert und um zwei wichtige Schritte ergänzt. Neu wird nun auch beschrieben, wie man die Datenbank auf den aktuellen Stand bringt und nicht mehr benötigte Dateien ausfindig macht und löscht.

Gestern habe ich auf meiner Website noch einen Sitemap-Generator veröffentlicht. Der Generator ist momentan in der Lage, eine einfache XML-Sitemap einer Website zu erstellen. Also nichts wirklich spektakuläres. Der Funktionsumfang wird aber bald noch deutlich erweitert, sodass beispielsweise auch Bilder und Videos auf der Sitemap aufgenommen werden.

Nachtrag zur Drupal-Sicherheitslücke vom 15. Oktober 2014

Mittwoch, 29 Oktober 2014 10:23

Das Drupal Security Team hat heute einen Nachtrag zur am 15. Oktober 2014 veröffentlichten SQL-Injection-Sicherheitslücke veröffentlicht. Darin weist das Sicherheitsteam darauf hin, dass die Sicherheitslücke bereits wenige Stunden nach der Veröffentlichung aktiv und automatisiert ausgenutzt wurde. Alle Drupal-Installationen, die am 15. Oktober bis 23 Uhr (UTC) noch nicht aktualisiert wurden, sollten als kompromittiert betrachten werden.

Da die restlose Entfernung aller möglicherweise installierten Hintertüren sehr schwierig ist, wird zur Wiederherstellung eines sauberen Zustands empfohlen, auf ein Backup, welches vor der Veröffentlichung der Lücke erstellt wurde, zurückzugreifen.

Weitere Informationen zur allgemeinen Vorgehensweise nach einem Hack gibt es im Artikel Your Drupal site got hacked. Now what?

HTTPS ist ab sofort ein Rankingsignal

Donnerstag, 7 August 2014 10:56

Google hat gestern offiziell bekannt geben, dass ab sofort HTTP über TLS ein Rankingsignal ist. Über HTTPS erreichbare Websites werden daher in den Suchergebnissen bevorzugt. Bereits vor einiger Zeit gab es diesbezüglich Aussagen von Google-Entwicklern, aber nun ist es offiziell.

Aktuell bringt eine verschlüsselter Verbindungsaufbau zwischen Besucher und Server nur einen leichten Rankingvorteil. Laut Google sind weniger als ein Prozent der globalen Suchanfragen betroffen. Es ist aber durchaus möglich, dass der Faktor in Zukunft stärker gewichtet wird.

Joomla Authentication Logger veröffentlicht

Donnerstag, 26 Juni 2014 03:02

Vor kurzem habe ich auf GitHub einen Authentication Logger als Plugin für Joomla veröffentlicht. Der Logger ist in der Lage, die folgenden Events zu erfassen: Benutzerlogin, fehlgeschlagener Benutzerlogin, Benutzerlogout und fehlgeschlagener Benutzerlogout. Für die Zukunft ist noch geplant, den Wechsel von Passwörtern zu loggen und zu erfassen, wenn ein Benutzer seinen Benutzernamen anfordert oder das Passwort zurücksetzen lässt.

Android-Angriffsszenario und -Rooting

Freitag, 6 Juni 2014 01:39

Im Rahmen eines Projektes habe ich im zweiten Halbjahr 2013 ein Angriffsszenerio auf Android-Smartphones ausgearbeitet. In dem Szenario geht es darum, dass ein Angreifer für einen kurzen Augenblick (unter einer Minute) physikalischen Zugriff auf ein Smartphone erhält und das Betriebssystem in dieser kurzen Zeit willkürlich manipulieren kann. Denkbar wäre, dass solch ein Angriff im Rahmen von Wirtschaftsspionage stattfindet. Der Angreifer könnte sich beispielsweise an einer Messe, einem Seminar oder an einer Fortbildung für kurze Zeit Zugang zum Gerät des Opfers verschaffen und das Betriebssystem so manipulieren, dass das Gerät als Wanze agiert.

Joomla-Versionen in der Schweiz

Dienstag, 1 April 2014 11:18

Ich habe mir einmal die Mühe gemacht und die Meta-Elemente von rund 250'000 Schweizer Websites ausgewertet. In den nächsten Wochen werde ich nach und nach die aus den Meta-Elementen gewonnenen Daten veröffentlichen. Heute möchte ich mich der Frage widmen, welche Joomla-Versionen aktuell in der Schweiz im Einsatz sind.

Website-Backup-Service aktualisiert

Montag, 17 März 2014 05:48

Heute ging eine aktualisierte Version des Website-Backup-Service online.

Die sichtbarste Änderung ist die Aktualisierung der Login- und Registrierungsansicht. Für die Nutzung der 30-tägigen kostenlosen Probezeit müssen zukünftig deutlich weniger Angaben gemacht werden. Die vollständige Anschrift muss erst nach Ablauf der Probezeit beim Wechsel zu einem kostenpflichtigen Account angegeben werden. Zuvor reicht der Vorname, Nachname und die E-Mail-Adresse aus.