Fragen zu Sicherheitslücken

Fragen zu Sicherheitslücken. Typo3, WordPress, Blog, Sicherheitslücken, Clickjackig, Phishing 27.06.2015 – ( KOD )
 
 
Ein Kommentar zu „Gravierende Sicherheitslücken bei Typo3“ wurde komplett entfernt.

Die gestellten Fragen möchte ich hier beantworten.
Damit sich der Fragesteller auch wiedererkennt.
„Es ist ja nur ein CMS System“ (Content Management System)

Richtig. Es ist nur ein CMS-System.
Was kann man damit fürchterliches anrichten?
Vorweg. Ein schlampiger WEB-Auftritt in Bezug auf Sicherheit kann Rückschlüsse auf andere Bereiche geben. Für Anwendungen die von außen zu erreichen sind.
 
Was man anrichten kann?
Bin ich an die richtigen Zugangsdaten des CMS-Systems (beispielsweise Typo3 oder auch WordPress. Bei Seiten ohne Grundsicherung für Hacker kein großes Problem) gelangt, mache ich folgendes:
Ich ändere die Passwörter. Bis einem der Administratoren auffällt, hier stimmt was nicht, vergeht je nach Interesse an seinem System eine gewisse Zeit. Ich könnte auch noch zur Verwirrung beitragen. Nach einem jetzt falschen Login (ich habe ja die Zugangsdaten geändert) könnte ich eine Info schicken. „Zur Zeit wegen Wartungsarbeiten bei (Provider) ……“ Damit könnten sich dann die Administratoren zufrieden geben und meine Falle (die ich nach 17.00h starte) hat einen längere Zeit zum Überleben.
 
Die Falle
Ich platziere eine ganz tolle Information.
„Damit Sie mit uns schneller in Verbindung treten können haben wir……..eine besonderen Service eingerichtet. Klicken Sie auf den folgenden Link und installieren Sie die Service-App von …..“
 
Folgen
Da dieser Hinweis auf der ORIGINALSEITE ihres Vertrauens steht, klicken Sie den Link an und installieren damit eine Schadsoftware.
 
Lassen wir es bei diesem kleinen Beispiel. Man könnte sich die Finger wund schreiben.
Geheimnisse sind das hier keine.
 
Ich hoffe Ihre Fragen sind damit beantwortet. Bei weiteren Fragen bitte eine Mail (ich kann Ihre Aufregung ja verstehen) oder in einem etwas anderen Ton über die Kommentarfunktion.
 


Bundestag sperrt über 100.000 Websites

Bundestag sperrt über 100.000 Websites. Clickjacking27.06.2015 – ( KOD )
 
 
Bundestag sperrt über100.000 Websites

[..]Generell sei nach dem Cyber-Angriff die Filterung von Websites „eine der ersten Maßnahmen und als vorläufige Abwehrmaßnahme sehr effektiv“ gewesen, erklärte der CDU-Politiker weiter. Auch künftig werde es im Parlament strengere Regeln für mehr IT-Sicherheit geben müssen. Aus Sicht der Unionsfraktion werde dazu auch weiterhin die Filterung gefährlicher Server im Internet gehören. Dabei solle sich das Parlament auf Informationen der Sicherheitsbehörden wie des Bundesamts für Sicherheit in der Informationstechnik (BSI) und des Bundesamts für Verfassungsschutz (BfV) stützen.[..] Lesen Sie weiter bei Handelsblatt.com

 
Obwohl sich in letzter Zeit die Nachrichten zu „Cyber-Angriff“ Angriffen häufen, schlafen viele weiter den „Schlaf der Gerechten“. Man setzt veraltete Softwareversionen ein (evtl. dadurch auch keine Sicherheitsupdates mehr) und schützt den Webauftritt nicht einmal mit einfachsten Mitteln.

Mich wundert, in Bezug auf einen erfolgreichen Hack, nichts mehr.

 
Siehe auch
  Gravierende Sicherheitslücken bei Typo3
  Bundesamt für Sicherheit warnt von Clickjacking
  Tool mit zur Überprüfung einer sicheren Typo3 Version
  Webseiten mit der Grundsicherung geschützt?
 
 


Eppertshausen.
Breitbandausbau

Eppertshausen. Breitbandausbau27.06.2015 – ( KOD )
 
 
Vielbeachteter Breitband-Ausbau
Eppertshausen – Zum Baubeginn für das schnelle Breitbandinternet in der Gemeinde versammelten sich gestern Morgen über 50 Bürger an der Jahnstraße. [..] Lesen Sie den Artikel bei OP-Online.de
 
Ob wir für Rödermark eine solche Schlagzeile in der OP noch bis 2020 bekommen werden?
 
Hier können Sie die Offenbach Post abonnieren.
 
 


Gravierende Sicherheitslücken bei Typo3

Gravierende Sicherheitslücken bei Typo326.06.2015 – ( KOD )
 
 
Gravierende Sicherheitslücken bei Typo3 bei Versionen < 4.7.0

Die Entwickler des CMS Typo3 warnen vor einer gravierenden Sicherheitslücke. Darüber kann sich jeder authentifizieren, wenn ihm nur der Name eines bereits registrierten Benutzers bekannt ist – denn ein Passwort wird nicht abgefragt. Das Typo3-Team hat bereits Updates und einen Patch bereitgestellt.
 
Von der Schwachstelle betroffen ist das Frontend des CMS. Das Backend ist sicher. Die Schwachstelle tritt in vielen älteren Versionen des CMS auf, darunter 4.3.0 bis 4.3.14, 4.4.0 bis 4.4.15, 4.5.0 bis 4.5.39 sowie 4.6.0 bis 4.6.18. Der Konfigurationsfehler befindet sich in der Systemerweiterung Rsaauth. Nur wenn diese Erweiterung für das Frontend-Login konfiguriert ist, tritt das Problem auf. Alle Versionen ab 4.7.0 sind sicher. Quelle: golem.de

 
Hier ein Tool mit dem man die Typo3 Version überprüfen kann und ob ein Update dringend erforderlich ist.
 
 
Siehe auch
  Bundesamt für Sicherheit warnt von Clickjacking
 
 


Bundesamt für Sicherheit warnt von Clickjacking

Bundesamt für Sicherheit warnt von Clickjacking26.06.2015 – ( KOD )
 
 
BSI nennt das Folgende GRUNDSCHUTZ

Wird die Webanwendung Ziel eines Clickjacking-Angriffs, so werden Inhalte der Webanwendung in einem nicht sichtbaren Frame eingebunden. Besucht ein Benutzer eine Webseite, in der dieser Frame eingebunden ist, so werden Klicks auf sichtbare Inhalte unwissentlich vom unsichtbaren Frame abgefangen. Ist der Benutzer an der Webanwendung angemeldet, so können auf diese Weise zugriffsgeschützte Aktionen in der Webanwendung unbefugt ausgeführt werden. Um dies zu vermeiden, muss die Webanwendung sicherstellen, dass die Inhalte der eigenen Webanwendung nicht in Frames verwendet werden.[..] Lesen Sie weiter beim BSI. Bundesamt für Sicherheit in der Informationstechnik

Wenn jemand auf seinen Servern Kundendaten speichert und diese Kleinigkeit nicht beachtet geht er fahrlässig mit dem ihm anvertrauten Daten um. Denen gehört ganz kräftig in den Arsch getreten.

Man sollte sich überlegen, wenn z.B. die eignen Bankdaten auf einem solch ungeschützten Rechner abgelegt sind, ob man nicht das Löschen der Daten verlangt.

Wohlgemerkt. Es geht um eine Kleinigkeit. Umsetzbar in Sekunden und der Rechner ist ein wenig sicherer.
 
Bei einem großen Service Anbieter habe ich, wegen unsicheren LOGIN, über den Datenschutzbeauftragten die Löschung der Daten, die nicht zur Rechnungserstellung benötigt werden, löschen lassen. Mein Beispiel für den unsicheren Login hat überzeugt. Nicht für die Rechnungstellung erforderlich sind u.a. die Bankdaten. OK. Ich renne jetzt jeden Monat mit einer Überweisung zur Bank. Da muss man konsequent sein.
 
 
Siehe auch
  Gravierende Sicherheitslücken bei Typo3
 
 


Stadtverodnetenversammlung
aus Sicht der SPD-Rödermark

Stadtverodnetenversammlung aus Sicht der SPD-Rödermark25.06.2015 – ( KOD )
 
 
Stadtverodnetenversammlung aus Sicht der SPD-Rödermark
Ich hatte mit der Veröffentlichung meines Artikels zur Stadtverordnetenversammlung auf einen Artikel in der Offenbach Post gewartet von dem ich Inspiration für meinen Artikel erwartet hatte. Na, da steht auch nichts aufregendes. Was da steht (Schulkindbetreuung) ist seit langer Zeit bekannt und wurde schon lange VOR der Stavo vom Magistrat als „beschlossen“ publiziert.

Hätte ein Aufreger werden können.
Der Magistrat wollte auf die Frage der SPD zur „Schlingerfahrt“ der zur jetzigen Entscheidung Schulkindbetreuung führte, nicht eingehen. Da deshalb keine verwertbaren Fakten zu erwarten waren, konnte ich auch nichts schreiben. Ich konnte auch kein Elternteil ausmachen, die bei einer vorausgegangenen Ausschusssitzungen zur Schulkindbetreuung anwesend waren. Für wen waren jetzt die Reden gedacht? Diejenigen, die es interessieren sollte, hatten schon alle Infos.
Ich glaube, ich bin auch bei der Antwort vom Magistrat (H. Rotter) eingenickt.

An den Service der SPD-Rödermark hatte ich nicht mehr gedacht. Seit ewiger Zeit berichtet die SPD-Rödermark zeitnah und ausführlich über die Stadtverordnetenversammlung und Ausschüsse. Ich hätte bei der Stavo wachsamer sein sollen. Dann hätte ich auch alles mitbekommen was die SPD in ihrem Artikel schreibt. Ich bin dankbar, dass man dort hellwach war und die Bürger mit Informationen aus der Stavo versorgt.

Hinweis von mir. Auf den Webseiten der Koalition (CDU und AL/Die Grünen), die mit den meisten Stadtverordneten und Bürgermeister sowie ersten Stadtrat stellen, werden Sie einen solchen Service nicht vorfinden. Wird sich aber in absehbarer Zeit ändern. Es stehen ja bald Wahlen an.

Kurzweilig war aus meiner Sicht die Sitzung nur in Bezug auf die Dauer.

Jetzt zu dem Bericht der SPD-Rödermark.

Eines vorweg. Es war eine kurzweilige Sitzung, die am gestrigen Abend stattfand und nach etwas mehr als 90 Minuten endete. Viele Tagesordnungspunkte wurden vertagt. Debattiert und beschlossen wurden der Antrag zur Schulkindbetreuung und der SPD-Antrag zur Förderung des sozialen Wohnungsbau.[..]

[..]Es wäre der SPD auch nicht entgangen, dass Stadtrat Rotter schon im Januar in offiziellen Gesprächen, den Bau einer Mensa u.a. gegenüber dem Landrat angekündigt hatte und die CDU-AL-Koalition dazu einen Haushaltsantrag im März eingebracht habe, also quasi Magistratsinitiativen als Parteiinitiativen deklarierte. Dies sei weder souverän noch fair und die Neutralität des Magistrates, immerhin Bestandteil des Amtseides, bei solchen Verhaltensweisen nicht mehr gegeben. Wenn in Zukunft auf solche Spielchen verzichtet werde, wäre es durchaus denkbar, parteiübergreifend die Betreuung an der SadL voranzubringen“, so Schultheis. Er lobte auch die Initiativen, die die Schule nun selbst entwickelt.[..]

Lesen Sie den ganzen Artikel bei der SPD-Rödermark
 
Nutzen Sie die Seite mitbabbeln.de.
Der direkte Draht in die Fraktion.
 
 


Offenbach Post kreiert neue Legende

Offenbach Post kreiert neue Legende25.06.2015 – ( KOD )
 
 
Offenbach Post kreiert neue Legende
Die „Staanern Kutsch“ soll ein Sühnekreuz sein. So jedenfalls die Offenbach Post vom 25.06.2015.
 
Also, der Rest eines Sühnekreuzes ist das bestimmt nicht. Es ist vermutlich, so habe ich Frau Dittrich verstanden, ein Fundament (Rest) für ein „Kreuz“. Das nur nebenbei.

Staanern Kutsch

Staanern Kutsch

Folgende Passage ist viel schlimmer und frei erfunden

[..]hätten sich die Ober-Röder vor langer, langer Zeit an der Straße nach Frankfurt zusammengerottet und eine Kutsche voll reicher Urberacher überfallen[..] Quelle: Offenbach Post

Davon steht nix in der zitierten Geschichte von Herrn Reisert zur „Staanern Kutsch“.
 
Wie hätte sich das auch damals in der Presse gemacht. „Arme Ober-Röder rauben reiche Urberacher aus.“ Eine solche Schlagzeile hätte keiner geglaubt. Wo hätte man die Urberacher her nehmen sollen? Man hätte sich damals über eine solche Schlagzeile totgelacht.
 
Und noch etwas. Urberacher haben Ober-Röder wegen wesentlich banaleres angegiffen. Wegen einer Apotheke.
 
 
Hier Links die zur Klärung beitragen können.
» Rödermark. Sühnekreuze
» Die einzig wahre Geschichte zur Staanern Kutsch. :-)
» Apotheke in Urberach. Man erzählt sich so.
» Präsentation der Staanern Kutsch
» Weitere, wahre Geschichten aus Ober-Roden.
 
 


Dramaturgie einer Rede.

Rödermark. Stadtverordnetenversammlung Stavo 23.06.201525.06.2015 – ( KOD )
 
 
Dramaturgie einer Rede.

Sie müssen auf eine kritische Frage antworten.

Vorbereitung
Vorbereitung kaum möglich. Auf spontan gestellte Fragen ist eine aussagekräftige Antwort nur dann möglich, wenn man über genügend Fachwissen verfügt und voll im Thema ist. Fehlt ein Parameter nimmt man den folgenden Standard.

Der Einstieg.
Sie beginnen indem Sie nichts sagen. Dann saugen Sie Ihre Lungen voll mit frischer Luft. Aber immer daran denken, die Luft muss, wenn Sie an den Zähnen vorbeikommt, einen zischenden Laut verursachen.

Dann ein mitleidsvolles bis arrogantes „Ach, wissen Sie ……“

Aussage der Rede
Auf die gestellten Fragen antworten Sie natürlich nicht. Wenigen wird auffallen, dass Ihre Rede fast nur heiße Luft ist. Zufällig anwesende Gästen wird, auch wenn man das Gesagte nicht verstanden hat, ihre Rede evtl. gefallen.

Der Fragesteller und Gast hört zu. Die Vasallen des Redners kümmern sich bei der Rede mehr um das Smartphone, Tablet, ihrem Nachbarn oder verpassten Mittagsschlaf. Was gesagt wird ist, außer für den Fragesteller und Gast (der wartet ja [meist vergeblich] auf eine Antwort), selten von Interesse.

Schluss
Jetzt noch einen Seitenhieb in Richtung Fragesteller und der Behauptung jetzt sei doch ALLES GESAGT.
Ihre Anhänger werden lautstark applaudieren obwohl kaum einer zugehört hat. Und der Fragesteller? Der wird in den seltensten Fällen nachfragen.

Sie haben gewonnen.
 
 


Rödermark. Stadtverordnetenversammlung
Stavo 23.06.2015

Rödermark. Stadtverordnetenversammlung Stavo 23.06.201525.06.2015 – ( KOD )
 
 
Lange habe ich überlegt, was es zur Stadtverordnetenversammlung (Stavo) zu schreiben gibt.
 
Wenn man so lange überlegen muss, kann eigentlich wenig aufregendes passiert sein.
 
Aber hier jetzt doch ein kurzer Abriss zum Wichtigsten.
Schwimmbad bleibt während der Ferienzeit geöffnet.
……….
 
 
Tagesordnung Stavo
Vieles verschoben, aufgehoben ………
Was, warum weshalb wird man bestimmt der kommenden Niederschrift (nicht) entnehmen können.