18. Juli 2006 von Michael | Anwendungen, Gadget
In Firmen besteht oftmals das Problem, dass Arbeitsrechner bei Nichtanwesenheit (Pausen, Meetings, etc.) oftmals unbeaufsicht sind, und damit jemand Mißbrauch betreiben könnte: Daten aneignen, E-Mails im Namen des Benutzers schreiben, etc.
Wie ich auf dem Meipor Blog gelesen habe, gibt es mit der Windows-Freeware StickSecurity die Möglichkeit, den Arbeitsrechner per USB-Stick wie mit einem Schlüssel zu steuern: zieht man den USB-Stick ab, so hat keiner mehr Zugriff.
Meines Erachtens ist das jedoch nicht praktikabel. Wozu hat der Benutzer denn einen Betriebssystem- bzw. Netzwerk-Account? Unter Windows kann man mit der Tastenkombination <Windows> + <L> direkt den Rechner sperren, dadurch muss der Benutzer sein Kennwort eingeben, um sich am Rechner bzw. Netzwerk erneut anzumelden.
Für die Mittagspause, das Abteilungsmeeting oder etwa die Zigarettenpause sollte dies wirklich ausreichend sein.
13. Juli 2006 von Michael | Anwendungen
Wenn „Automatische Updates“ in Windows XP Professional oder MCE aktiviert sind und kritische Sicherheitsupdates automatisch vom Betriebssystem heruntergeladen wurden, kommt von Windows eine Abfrage, ob man jetzt installieren will. Dabei sind nur 2 Optionen verfügbar:
Problem:
Klickt man die Abfrage durch Auswahl von „Später neu starten“ weg, kommt sie in 10 Minuten wieder. Und wieder, und wieder, und wieder… Solange bis man „Jetzt neu starten“ auswählt.
Lösung:
- Start / Ausführen (oder <Win>-<R>),
gpedit.msc eingeben und mit <Enter> bestätigen
- In der linken Navigation zu folgendem Verzeichnis navigieren: Richtlinien für Lokaler Computer > Computerconfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Update
- „Erneut zu einem Neustart für geplante Installationen auffordern“ doppelklicken
- Die Standard-Einstellung von Windows XP ist „Nicht konfiguriert“, hier kann man nun z.B. folgendes einstellen, damit die Meldung anstatt alle 10 Minuten nur noch alle 5 Stunden erscheint:
- Mit OK bestätigen
15. Mai 2006 von Michael | Anwendungen
Wie auf Heise zu lesen ist, enthalten aktuelle Firefox-Versionen folgenden Fehler:
Wird in Image-Source-Tags auf mailto-URIs verwiesen, so startet Firefox automatisch die mit der Mail verknüpften Anwendung.
Beispiel
<img src="mailto:test@test.de" />
Wird eine Webseite mit diesem HTML-Code geladen, so öffnet Firefox die entsprechende Email-Anwendung. Enthält eine Webseite diese Zeile 1000mal, so wird automatisch 1000mal im Email-Client eine neue Mail geöffnet. Dies kann die Systemstabilität u.U. stark negativ beeinflussen.
Abhilfe
In der Firefox-Adresszeile about:config eingeben und network.protocol-handler.warn-external.mailto auf true setzen. Dadurch erscheint eine Warnmeldung für jede Email, bevor der Email-Client geöffnet wird, diese erscheint allerdings dann im obigen Beispiel 1000mal hintereinander.
Das Verhalten lässt sich ganz abschalten indem man network.protocol-handler.external.mailto auf false setzt.
10. März 2006 von Michael | Wordpress
Heute wurde die Version 2.0.2 vom Blog-System WordPress veröffentlicht, allerdings waren die Gründe für dieses Security Release nicht die ‚angeblichen‘ Sicherheitslücken, wie man in der Ankündigung vom WP-Entwickler Matt Mullenweg nachlesen kann.
Neben dem Schließen von Sicherheitslücken wurden auch viele weitere Bugs gefixt, z.B. auch das Problem beim Veröffentlichen von Beiträgen.
Download:
Weitere Informationen:
2. März 2006 von Michael | Wordpress
Gemäß einem Advisory vom Neo Security Team wurden in WordPress Sicherheitslücken entdeckt, die z.T. als kritisch eingestuft wurden:
- Über Kommentare lässt sich aufgrund einer unzreichenden Filterung JavaScript-Code einbetten. Besucher könnten sich damit möglicherweise einen administrativen Zugang zum Blog verschaffen. Allerdings ist dieses Sicherheitsrisiko überbewertet, da die Lücke nur dann entsteht, wenn der JavaScript-Code von einem Administrator gepostet wird.
- Beim direkten Aufrufen einer Reihe von Dateien erscheint aufgrund einer PHP-Fehlermeldung der vollständige Pfad der WordPress-Installation. Angreifer könnten dies u.U. ausnutzen, um das Blogsystem bzw. den Server anzugreifen.
- Beim Aufrufen des Verzeichnis wp-includes/ wird der Verzeichnisinhalt angezeigt. Dies wurde jedoch als unkritisch eingestuft.
Die Fehler wurden in WordPress 2.0.1 nachgewiesen, lt. Advisory sind aber auch alle älteren Versionen davon betroffen.
Weiterlesen…
22. Januar 2006 von Michael | Anwendungen
Ein Bug in Mozilla Firefox 1.5 kann dazu führen, dass sich bei bestimmten Javascript-Funktionen eine Seite vielfach im Hintergrund neu lädt:
It’s come to our attention that a bug in Firefox 1.5 is causing some issues on SMF forums. The bug causes Firefox to time its javascript functions incorrectly, which in turn results in a page reloading in the background many, many times. It’s possible that some hosts may incorrectly flag this as a Denial of Service (DoS) attack due to the ferocity of the calls.
Quelle: Bug in Firefox 1.5 Causing Server Issues with SMF 1.1
