tas2580
Blog über Webentwicklung

Kategorie: Sicherheit

Datenbankdaten in Backups der Config-Dateien

tas2580  

Wer eine Webseite mit Datenbankanbindung betreibt kennt ja sicher die "config.php" in der die Zugangsdaten zur Datenbank stehen. Normalerweise ist das auch kein Problem da PHP-Dateien vom Webserver ausgeführt werden und so ihr Inhalt nicht sichtbar ist. Es gibt aber einige Editoren die beim bearbeiten von Dateien Backups anlegen, so wird wenn man die config.php bearbeitet automatisch eine config.bak vom Editor angelegt. Wenn man beim hoch laden der Webseite nicht aufpasst oder seine Webseite direkt auf dem Server bearbeitet kann es passieren das die config.bak auf dem Server landet und so von jedem die Datenbankdaten gesehen werden können da eine .bak Datei vom Webserver nicht ausgeführt sondern in Klartext ausgeliefert wird.

HTTPS für die eigene Webseite

tas2580  

Normalerweise geht die komplette Kommunikation mit Webseiten in Klartext übers Netz und kann so von jedem der mit in der Leitung hängt abgehört werden. Solange man nur Content liest ist das nicht weiter schlimm, sobald aber Login-Daten oder Bankdaten übertragen werden sollte man darauf achten das der Datentransfer verschlüsselt stattfindet. Banken und auch die meisten Onlineshops bieten mittlerweile HTTPS an, viele Blogs oder Foren tun das aber nicht, so können die Logindaten recht einfach mitgelesen werden. Außerdem wird mit HTTPS sichergestellt das der Server auch wirklich der ist für den er sich ausgibt. Damit man seine Webseite unter HTTPS anbieten kann benötigt man ein SSL-Zertifikat von einer anerkannten Zertifizierungsstelle. Man kann sich zwar auch selber ein SSL-Zertifikat erzeugen das dann aber im Browser zu einer Warnmeldung führt und Besucher eher abschreckt. Mit einem eigenen Zertifikat ist zwar die Datenübertragung verschlüsselt, es wird aber nicht sichergestellt das der Server auch wirklich der ist der er vorgibt zu sein. Das Problem ist das die Zertifizierungsstellen meistens recht hohe Gebühren für ihre Zertifikate verlangen, so übersteigen die Kosten für das Zertifikat schnell die Kosten für Webspace und Domain. In letzter Zeit hat sich da aber einiges geändert und mittlerweile ist es auch möglich ein Zertifikat das von fast allen Browsern akzeptiert wird kostenlos zu bekommen,

PGP Verschlüsselung mit PHP

tas2580  

Nach Snowden macht sich jetzt doch der ein oder andere Gedanken über E-Mail Verschlüsselung, ich verwende dazu schon länger PGP, nicht weil ich schon immer wusste das die NSA uns alle abhört sondern eher weil es da ist und ich gerne Sachen ausprobiere. Damit war ich lange Zeit alleine, da es den meisten in meinem Bekanntenkreis zu kompliziert ist PGP zu installieren, oder sie einfach zu faul sind sich damit zu beschäftigen. Seit Snowden hat sich das zwar ein bisschen gebessert und ich habe heute eine Hand voll Leute in meiner Kontaktliste die PGP verschlüsseln. Wenn ich aber so in meinen Posteingang schaue muss ich feststellen das die meisten Mails die ich bekomme nicht von meinen Bekannten kommen sondern automatisch generierte Mails von irgend welchen Webseiten bei denen ich mich mal angemeldet habe sind. Hier wäre es doch schön wenn diese Mails verschlüsselt wären, nicht weil da super Geheime Dinge drin stehen die bloß keiner lesen darf, sondern einfach um den Anteil verschlüsselter Mails zu erhöhen und damit der NSA das Leben schwer zu machen. Bei Mails die mir neue Passwörter zusenden wäre es dann sogar wirklich sinnvoll wenn die nicht in Klartext über das Netz gingen.

Chatten mit OTR Verschlüsselung

tas2580  

Jetzt wo wir wissen das die NSA sämtliche Kommunikation im Internet abhört sollte man sich Gedanken über Verschlüsselung machen. Für E-Mails bietet sich da sicher PGP an, für Instant Messaging halte ich OTR (Off-the-Record Messaging) für die bessere Wahl da es deutlich leichter einzurichten ist. Außerdem gibt es eine größere Auswahl an Instant Messaging Clients die OTR unterstützen.

Ob man über Google Talk, Facebook oder sonst einen Jabber Server chattet ist dabei egal, da der Jabber Dienst nur die Daten überträgt, verschlüsselt wird vor dem absenden und entschlüsselt wird erst wieder beim Empfang. Natürlich funktioniert das nicht über die Webseiten der Anbieter da die keine Ende zu Ende Verschlüsselung anbieten. Wenn man sich aber einen Instant Messaging Client installiert kann man dort alle seine Accounts einrichten und darüber dann verschlüsselt chatten.

Externe Ressourcen auf HTTPS Seiten ohne Warnung einbinden

tas2580  

Wenn man eine Webseite über HTTPS aufruft sollten auch alle eingebundenen Ressourcen über HTTPS eingebunden werden da der Browser sonst eine Warnung in der URL Leiste anzeigt oder die Ressource blockiert und gar nicht anzeigt. Leider ist es nicht immer möglich alle externen Ressourcen die man einbinden möchte auch über HTTPS zu bekommen. Mit einem kleinen Trick kann man aber trotzdem erreichen das es zu keiner Warnung kommt.

1 Klick Social Media Buttons mit Datenschutz

tas2580  

Social Media Buttons findet man heute auf beinahe jeder Webseite, oft werden dazu einfach die von den Plattformen angebotenen Codes eingebunden. Das ist zwar eine sehr einfache Lösung, dient aber nicht gerade dem Datenschutz da bei jedem Aufruf Daten über den Besucher an die sozialen Netzwerke gesendet werden. Wenn man eine Seite die diese Buttons eingebunden hat aufruft während man im Sozialen Netzwerk angemeldet ist kann das Soziale Netzwerk zuordnen welche Seiten man im Internet anschaut. Auch wenn man nicht angemeldet ist werden Daten wie die IP-Adresse oder der verwendete Browser an das Soziale Netzwerk übertragen. Um das zu verhindern kann man als Benutzer diese Buttons mit einem Adblocker blocken, oder das Browser-Addon Disconnect (für Chrome, für Firefox) installieren.

2 Bier und ich kann deine E-Mails lesen!

tas2580  

Da heue wieder mal jemand aus meinem Bekanntenkreis völlig überrascht war wie leicht man in seinen E-Mail Account rein kommt schreibe ich hier mal auf wie das geht. So kann ich in Zukunft drauf verlinken falls mal wieder jemand ohne nachzudenken meint er wäre im Internet sicher unterwegs. Wenn man dann mal im E-Mail Account drin ist kann man sich natürlich für alle anderen Dienste wie z.B. Facebook neue Passwörter zuschicken lassen und kommt da auch gleich rein.

WLAN Passwort eines WPA2 verschlüsselten Netzwerk knacken

tas2580  

Wie schwer ist es das W-LAN Passwort vom Nachbarn zu knacken? Davon abgesehen, dass es illegal ist fremde W-LANs anzugreifen kann man das ja mal mit dem eigenen W-LAN versuchen oder den Nachbarn um Erlaubnis fragen. Für meinen Test habe ich ein Thinkpad T400 mit Debian Wheezy benutzt das ein WPA2 verschlüsseltes WLAN dessen Passwort aus Buchstaben und Zahlen besteht und eine länge von acht Zeichen hat knacken soll.

HTTPS mit Let's Encrypt

tas2580  

Vor einiger Zeit habe ich beschrieben wie mal sich mit StartSSL ein kostenloses Zertifikat für seine Webseite ausstellen kann. Mittlerweile hat aber Google Chrome so seine Probleme mit den Zertifikaten so dass https nicht mehr grün angezeigt wird. Ein weiteres Problem mit den Zertifikaten von StartSSL ist das sie nur für eine Domain gelten. Ende 2015 ist Let's Encrypt an den Start gegangen und verteilt kostenlose SSL Zertifikate die man auch für mehrere Domains nutzen kann.

Zertifikat mit A+ Bewertung bei ssllabs.com

tas2580  

Zertifikat ist nicht gleich Zertifikat, hier gibt es je nach Zertifikat Unterschiede was die Sicherheit angeht. Bei Webseiten die ein schwaches SSL/TLS Zertifikat verwenden kann mit der nötigen Technik der Traffic immer noch recht leicht mitgelesen werden. Deshalb sollte man bei der Installation eines Zertifikats darauf achten das man auch ein starkes Zertifikat verwendet. Der Nachteil an zu starker Verschlüsselung ist allerdings das alte Browser oder Geräte die Seite nicht mehr aufrufen können, hier muss man also zwischen Sicherheit und Kompatibilität Abwegen.