Wieso drehen bei Dropbox alle so am Rad?

Vor kurzem rauschte eine Meldung durch den Online-Blätterwald: Sicherheitslücke beim Online-Speicher Dropbox lauteten beispielsweise die reißerischen Titel.

Ich komme da nicht ganz mit. Unter einer Sicherheitslücke verstehe ich klassischerweise einen Umstand, der es Leuten ermöglicht, ohne Authentifizierung Dinge zu tun, für die sie sich normalerweise anmelden müssten. Genau das ist hier aber nicht der Fall – vielmehr geht es um etwas viel Einfacheres: Es geht um die Erschleichung eines Zugriffs durch den Klau von Authentifizierungsdaten. Das ist, um’s mal vorsichtig …

SSL-Client-Zertifikate mit Chrome

SSL-Zertifikate gibt’s von einer Menge Anbietern. Wir nehmen unter anderem auch die Dienste von StartCom in Anspruch, bei denen wir am ehesten den Eindruck haben, dass die auch selbst was von Sicherheit verstehen – ein Eindruck, den fatalerweise viele SSL-Zertifizierungsstellen nicht machen.

Zu diesem Eindruck trägt auch bei, dass StartCom konsequent auf SSL-Client-Zertifikate zur Authentifizierung setzt, und nicht auf das klassische Paar aus Benutzername/Passwort. Technisch gesehen läuft das so, dass man einen kleinen Assistenten durchläuft, der eine Browserfunktion anwirft, die …

Was ist eigentlich SQL-Injection?

Wenn es um Sicherheitsprobleme geht, werfen die entsprechenden Security-Advisories gerne mit Begriffen wie „cross-site scripting“, „cross-site request forgery“ oder „sql injection“ um sich. Aus aktuellem Anlass können wir mal ein praktisches Beispiel einer real existierenden Software nehmen (deren Name lieber ungenannt bleibt), mit der man mandantenfähig Rechnungen erstellen kann, die sich ein Kunde auf seinem Webspace installiert hat. Sie lief anfangs nicht, und die Basis seiner Anfrage war dann eher erstmal der Wunsch nach „Könnt ihr das zum Laufen bringen“-Support. …

Passwörter: Nicht mit SSH-Keys

Jetzt arbeiten wir schon seit vielen Jahren kaum noch mit traditionellen Passwörtern, sondern sind auf SSH-Keys umgestiegen. Im Rahmen eines Wartungsvertrags für einen dedizierten Server haben wir die vereinbarten Arbeiten durchgeführt, bis der Kunde verwundert fragte, wer uns denn das neue root-Passwort mitgeteilt habe. Nun ja: Niemand eben. Aus diesem Grund mal eine kleine Zusammenstellung von praktischen Links insbesondere für Windows-Nutzer (unter Linux und MacOS X ist die Nutzung von SSH ja ohnehin eher verbreitet):

Auf der Website von PuTTY

Darum sollte man Maschinen nach einer root-Kompromittierung plätten

Zugegeben: Wir arbeiten zwar in einem gehobenen Hosting-Segment, allerdings nicht im Enterprise- oder Hochsicherheitsbereich. Und schließlich geht es hier um Maschinen, die zwar unserer Kontrolle unterstehen, die aber nicht uns gehören, so dass letztlich der Kundenwunsch den Ausschlag gibt, was zu tun ist. Im konkreten Fall ging es um eine Maschine, deren root-Zugang kompromittiert wurde. Das ist extrem selten, immerhin pflegen wir die unserer Betreuung unterstehenden Maschinen gut, so dass Sicherheitslücken in als root laufenden Diensten so gut wie nie …