Veröffentlichungen

7 hilfreiche Passwort-Manager gegen das Passwort-Chaos

Passend zum letzten Beitrag zu sicheren Passwörtern  hat die Zeitschrift T3N 7 Passwort-Manager in einem Artikel vorgestellt: http://t3n.de/news/passwort-manager-uebersicht-563413/

Den Link wollte ich dann doch nochmal nachreichen 😉

Sichere Passwörter einfach erklärt

Die lieben Passwörter – sind sie zu simpel, lassen sie sich einfach merken, sind aber im Zweifelsfall keine große Hürde für einen Hacker. Sind sie zu kompliziert, beißt sich zwar der Hacker die Zähne daran aus – aber die Sache mit den merken, die wird schon deutlich schwieriger.

Wie man Passwörter besser machen kann erklärt Alexander Lehmann in seinem Video:

Übrigens: wer ständig mit vielen Passwörtern rumhantiert kann sich das leben auch etwas einfacher machen – Passwort-Manager gibt es zu diverse (wobei das natürlich auch eine Sache des Vertrauens in den Softwarehersteller ist). Empfehlenswert sind aus meiner Sicht z.B. Keepass oder 1Password . Letzteres verwende ich hier schon seit Jahren, dafür (bei Keepass weiß ich es nicht genau, würde es aber auch annehmen, dass es das gibt) gibt es auch mobile Lösungen mit Syncronisierung, so dass man sowohl auf dem Tablet wie auch dem Smartphone seine Passwort-Sammlung dabei haben kann.

Owncoud: Apps lassen sich nicht installieren bzw. eingebautes Update will nicht

Wenn sich in euer Owncloud-Installation keine Apps installieren lassen (mit der Fehlermeldung, dass keine info.xml gefunden werden konnte) bzw. Updates des Owncloud internen Updaters ohne erklärbare Gründe (wie z.B. falsche Datei- bzw. Benutzerrechte) nicht funktioniert könnte es an fehlenden SSL-Root-Zertifikaten liegen. Der Owncloud-Server verwendet anscheinend eine eher exotische SSL-Konfiguration, so dass dieses Problem anscheinend öfters auftritt.

In den Owncloud-Bug-Reports taucht dieses Phänomen öfters auf, empfohlen wird die SSL-Überprüfung von CURL in einer bestimmten PHP-Datei zu deaktivieren. Gut, es funktioniert, aber eigentlich kann das nicht so richtig die Lösung sein, denn die SSL-Übertragung will man ja nicht ohne Grund.

Ein Eintrag hier (relativ weit unten, es lassen sich leider keine Beiträge direkt verlinken) brachte mich auf die richtige Spur (hier auf einem Debian 8.1):

  • Von  https://certs.godaddy.com/repository gdig2.crt und gdroot-g2.crt runterladen
  • beide Dateien nach /usr/share/ca-certificates/ kopieren
  • dpkg-reconfigure ca-certificates ausführen
    • im erste Schritt vorsichtshalber „ask“ wählen
    • im zweiten Schritt die beiden Zertifikate zum installieren auswählen
  • mit  /etc/init.d/apache2 restart den Apachen neu starten

Das war es – die Installation von Apps funktioniert wieder reibungslos. Bevor ihr also lange nach irgendwelchen fehlerhaften Dateirechten oder Eigentümer-Problemen sucht – evtl. ist das das Problem.

Facebook Plugin wird nicht angezeigt – obwohl der richtige Snippet aus Facebook kopiert wurde

… falls das passiert könnte es sein, dass ihr eine App-ID braucht: http://developwithguru.com/solve-invalid-app-id-must-be-a-number-or-numeric-string-representing-the-application-id/

Dazu erstellt ihr hier: https://developers.facebook.com/apps eine App für eine Webseite. Keine Angst, ihr müsst jetzt nicht losgehen und erstmal eine App programmieren. Füllt die Felder aus, so wie sie euch sinnvoll erscheinen – wir brauchen da nichts besonderes, dem Grunde nach ist nur die App-ID interessant.

Anschließend erstellt ihr das gewünschte Facebook-Plugin – z.B. hier das Page-Plugin: https://developers.facebook.com/docs/plugins/page-plugin – so wie ihr es gestalten wollt. Sobald ihr fertig seit klickt ihr auf „Get Code“. In dem Fenster, welches sich dann öffnet steht ganz oben „Initalize the Javascript SDK using:“ und rechts daneben eine Auswahlliste mit euren Apps – im Normalfall steht da nur eine, die eben von Euch erstellte, die wählt ihr aus. Anschließend wird der Quellcode ergänzt, erst dann ist er vollständig.

Im WebSoziCMS könnt ihr beide Quellcodes (in der Reihenfolge wie angegeben) einfach in das gewünschte Eingabefeld kopieren – vorher nicht vergessen, den Editor in den Quellextmodus zu schalten (über den entsprechenden Button in der Symbolleiste des Editors)

Bei anderen CMSen dürfte es ähnlich funktionieren, ggf. muss ein Template oder ähnliches editiert werden

Öffentlichkeitsarbeit im SocialWeb – Blog, Facebook, Twitter und Google+

ws-mausIch war gerade am überlegen, ob ich nicht selbst mal so eine Zusammenstellung schreibe – da veröffentlicht René Prymiak in seinem Blog auf spd-templates.de eine Zusammenfassung, wie ich sie selber auch nicht besser schreiben könnte: Blog, Facebook, Twitter  und Google+ – Grundsätzliches, Chancen und Herausforderungen. Ein kompetenter Schnellüberblick.

In einem weiteren Artikel beschäftigt er sich dann mit Facebook im speziellen, als wohl das soziale Netzwerk, womit (derzeit) die meisten am ehesten etwas anfangen können. Ich will nicht den ganzen Artikel wiederholen, den könnt ihr schließlich auch im Original lesen, aber ein Zitat liegt mir am Herzen – denn das ist ein häufiges Problem, welches auch hier immer mal wieder auftaucht:

Soziale Netzwerke sind grundsätzlich ganz anders als andere Medien ( Tageszeitung, Lokalradio o.ä. ) als Kommunikationsmedium mit großer Reichweite zu verstehen. Wer also glaubt, man könne einfach eine Pressemitteilung in Facebook rein kopieren und damit wäre es getan, irrt gewaltig. Stellt euch mal vor, euch ruft jemand auf dem Telefon an, spielt nur eine Tonbandaufnahme ab und ihr sollt nichts dazu sagen. Das klingt nicht sehr nett, oder?

Dem ist nichts hinzuzufügen. Wenn man es richtig machen will muss man auf die Spezialitäten und Gewohnheiten des jeweiligen Mediums Rücksicht nehmen (Für Facebook lest den Beitrag). Das ist nicht wirklich schwer, erfordert allerdings ein bisschen Zeit und die Bereitschaft, sich mit der Materie auseinanderzusetzen. Leider wird viel zu oft – sei es aus Zeit- oder Bequemlichkeitsgründen – der Automodus angestellt. Klar funktioniert das auch irgendwie – aber mit Sicherheit ist der Erfolg wesentlich größer wenn man etwas Zeit investiert und es richtig macht.

Support-Ende für Joomla 2.5

Nutzer des CMSes Joomla (auf dem Soziserver nach dem WebSoziCMS und WordPress wohl das meistgenutzte System) sollten aufpassen und Ihre Systeme ggf. updaten: das Joomla-Projekt hat zum 31.1.2015 den Support für Joomla 2.5 eingestellt. Das bedeutet unter anderem, dass es keine Sicherheitsupdates für diese Version mehr geben wird. Für Nutzer dieser Version ist daher ein baldiges Upgrade auf die aktuelle Version 3 dringend anzuraten.

Näheres z.B. hier

 

 

Aktuelle Ereignisse – die Server rennen :)

mysqlqueries11052014Das politische Geschäft bringt es mit sich, dass es auch kurzfristige Ereignisse geben kann, die viele Leute interessieren. Wir hier merken dann spätestens beim Blick in das Monitoring der Server, dass irgendwo etwas passiert sein muss. Heute wussten wir es allerdings (nicht zuletzt aufgrund persönlicher Bindung nach Rheinland-Pfalz 😉 ) vorher – gegen 12 Uhr gab die Rheinland-Pfälzische Ministerpräsidentin Malu Dreyer offiziell eine Kabinettsumbildung bekannt. Sehr gut auch im Monitoring des u.a. für die WebSoziCMS-Homepages in Rheinland-Pfalz zuständigen Datenbankservers zu sehen (inklusive des kleineren Peaks gestern als die Gerüchte aufkamen). Merkbare Probleme hat es übrigens keine verursacht 🙂

Sicherheitslücke in vielen WordPress-Themes

Da wir auf dem Sozsierver auch viele WordPress-Nutzer haben ein wichtiger Sicherheitshinweis: Durch eine kritische Sicherheitslücke im WordPress Plugin „Slider Revolution“ ist es möglich, beliebige Dateien (also z.B. auch die Konfigurationsdateien) vom Webspace runterzuladen. Die Lücke ist insofern besonders brisant, als dass dieses Plugin in einer Vielzahl von WordPress-Themes eingebaut ist und Nutzer dieser Themes sich dessen nicht unbedingt bewusst sind.

Näheres bei Heise Security: http://www.heise.de/security/meldung/Sicherheitsluecke-in-vielen-WordPress-Themes-2390055.html und bei Sucuri: http://blog.sucuri.net/2014/09/slider-revolution-plugin-critical-vulnerability-being-exploited.html

Eine Liste eventuell betroffener Themes findet sich hier: http://marketblog.envato.com/general/affected-themes/

Der Domaininhaber bei SPD-Domains

Die Richtlinien der Denic (das ist die Stelle, wo .de-Domains zentral verwaltet und vergeben werden) sehen vor, dass entweder der Inhaber oder der Admin-C (das ist der administrative Kontakt, auch wenn das oft zum Inhaber identisch ist muss das nicht der Fall sein – aus Vereinfachungsgründen behandeln wir das hier aber einheitlich) neben einer Adresse in Deutschland keine juristische Person alleine sein darf, sondern immer von einer natürlichen Person vertreten werden muss. Eine juristische Person ist z.B. der SPD Ortsverein Musterstadt, eine natürliche Person Max Müller.

Es kann also nicht nur der SPD Ortsverein Musterstadt Inhaber der Domain sein, sondern es geht nur sowas wie SPD Ortsverein Musterstadt, Max Müller. So ist deutlich, dass Max Müller als Vertreter des Ortsvereines handelt (wer Max Müller ist ist z.B: eine ganz andere Frage, das kann der Internetbeauftragte oder der Vorsitzende oder jemand ganz anderes dafür bestimmte)

Zum Problem kann es werden, wenn nur Max Müller als Inhaber eingetragen ist. Das kann unabsichtlich passieren, wenn in der Bestellung vergessen wurde die SPD-Gliederung anzugeben, oftmals passiert es auch absichtlich (in durchaus guter Absicht, z.B. weil jemand die Rechnung übernehmen will). Macht das nicht! Wir müssen es so ausführen wie bestellt und können es nicht einfach so abändern, es kann aber zu Komplikationen führen, z.B .:

– wenn es Probleme mit der Rechnung gibt ist Max Müller der Ansprechpartner für uns, nicht der SPD Ortsverein
– Max Müller ist (ggf., da streiten sich die Experten) auch rechtlich für den Inhalt der Homepage verantwortlich
– andersrum: Max Müller ist nicht mehr greifbar (und will aus welchen Gründen auch immer den SPD Ortsverein etwas ärgern, rückt also keine Zugangsdaten raus bzw. stimmt einer Übertragung der Inhaberschaft an den Ortsverein nicht zu): wir dürfen dem SPD Ortsverein in dem Fall keinen Zugang zu seiner Homepage verschaffen, so misslich das auch ist (genau so wenig dürften wir einfach den Inhaber ändern).

Aktuell haben wir gerade wieder 2 von letzteren Fällen. Auch wenn klar ist, wie das juristisch ausgehen würde (denn das ist der einzige Weg in einem solchen Fäll) gesetzt den Fall „Max Müller“ würde nicht bessere Namensrechte als die SPD geltend machen können (das ist unwahrscheinlich, aber auch nicht völlig abwegig, einen solchen Fall haben wir hier auch schon erlebt) sind wir hier nicht der Richter, der das entscheiden darf (im Bereich des Strafrechtes wären wir ansonsten bei Selbstjustiz, um das vielleicht einmal einzuordnen).  So ist es auch für uns immer besonders mißlich, weil wir ja der SPD Gliederung durchaus helfen wollen, aber nicht können weil wir uns ansonsten juristisch angreifbar machen würden.

Insofern: bitte achtet darauf, immer das Muster „SPD Ortsverein Musterstadt, Max Müller“ für eure Domain-Registrierungen zu verwenden – das ist das unproblematischste für alle beteiligten, auch und gerade wenn Max Müller mal zu Hans Meier wird oder ähnliches.

Wenn ihr der SPD Gliederung die Homepage sponsern wollt ist es ja problemlos möglich einen separaten Rechnungsempfänger zu erfassen, so dass ihr die Rechnung bekommt, nicht aber der alleinige Inhaber der Domain seit.

Könnt ihr mal eben die Zugangsdaten rübermailen?

So oder ähnlich erreichen uns fast täglich E-Mails. Fast immer von Leuten die wir nicht kennen und die auch nicht als Admin der Homepage oder des Kundenmenüzuganges, um die/den es gehen soll hinterlegt sind (denn dann wäre es einfach und der betreffende könnte die jeweils vorhandenen „Passwort vergessen“-Funktion nutzen).

Ich frag mich ja immer wieder: wie kommen die Leute auf die Idee, dass sie in solchen Fällen von uns tatsächlich die Zugangsdaten erhalten würden… (mit Sicherheit nicht!)

Grundsätzlich können Zugangsdaten nur an Personen gehen, die (vorher) bei uns bekannt sind – dann auch über die „Passwort vergessen“-Funktion, denn so einfach können auch wir die Passwörter nicht sichtbar machen. Sollte das im Einzelfall (und das ist auch wirklich der absolute Einzelfall, allermeistens sind die Leute schlicht und ergreifend zu bequem, ihre möglicherweise umgezogenen Vorgänger zu befragen und glauben, das würde über uns schneller gehen) mal nicht möglich sein (bedauerlicherweise hatten wir es z.B. auch schon mit Todesfällen zu tun, da ist das natürlich schlecht) dann schauen wir, was wir tun können. Aber auch in solchen Fällen wird es niemals ohne irgendeinen Nachweis der Berechtigung nur aufgrund einer simplen Mail gehen…