lost+found: Was von der Woche übrig blieb
Heute mit: Neuen PHP-Versionen, unsicherem Online-Banking, einer Script-Kiddie-Falle, einem Open Source ENIGMA-Nachbau und einem Hash-Identifizierungs-Tool
Selbst Banken bekommen das mit der Webseiten-Sicherheit offenbar nicht auf die Reihe. Hier fordert die Deutsche Apotheker und Ärztebank auf einer unverschlüsselten Seite zur Registrierung für den MasterCard SecureCode auf. Der eingebettete IFrame ist dann zwar eine https-URL – sogar mit EV-Zertifikat. Aber offenbar hat der Entwickler der Seite noch nie von sslstrip gehört. "Mehr Sicherheit beim Online-Shopping" – oder auch nicht.
Mit skiddie_trapper kann man automatische Schwachstellen-Scanner erwischen, die die eigene Webseite nach Lücken absuchen. Die jQuery-Bibliothek fügt zufällige, versteckte Inputfelder in HTML-Formulare ein. Werden diese ausgefüllt, hat man wahrscheinlich einen Scan ertappt.
Bei Kickstarter läuft gerade ein Projekt zur Finanzierung einer Open-Source-Replika der historischen Verschlüsselungsmaschine ENIGMA. Die moderne Variante hat ein eigens entworfenes LCD-Display, die Funktionsweise ist ansonsten aber dem historischen Original nachempfunden. Wirklich wichtige Informationen sollte man damit aber nicht unbedingt verschlüsseln.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Wie wichtig domänenübergreifende Sicherheit ist, zeigt ein Hack, mit dem es Sicherheitsforscher Jordan Milne gelang, in Yahoos E-Mail-System einzudringen. Der Angriff auf die Hauptdomäne führte über eine Sicherheitslücke in der Webseite einer Hongkonger Kleintierschau aus dem Jahr 2011. Diese obskure Subdomäne war offensichtlich durch das Netz der Sicherheitsprüfungen gefallen.
Das Python-Skript hashID kann über 130 verschiedene Hashes erkennen. Das Tool kann mit einem einzelnen oder einer ganzen Datei von Hashes gefüttert werden. Eine PHP-Version erlaubt den Einsatz als Webservice.
Die neuen PHP-Versionen 5.4.26 und 5.5.10 beseitigen unter anderem auch eine Reihe von Sicherheitslücken, darunter CVE-2014-1943, CVE-2014-2270 und CVE-2013-7327. Die Entwickler raten zum Upgrade. (ju)
