Security

Auf TechEd Europe 2012 hielt Aaron Margosis von Microsoft eine Session mit diesem reißerischen Titel. Dabei geht es vor allem darum, alte Web-Applikationen (Legacy Apps) sicher zu machen und sicher zu betreiben. Die Session-Beschreibung ist auf der TechEd Website hier zu finden. Die Session mit den Tags Security & Identityadressiert IT-Verantwortliche LOB-Apps sicher zu machen. Hier wurden nicht die üblichen Top-Web-Sicherheitslöcher wie Cross Site Scripting und SQL Injection & Co betrachtet, sondern Sicherheits-Themen, die weniger bekannt sind. ...

Wie gestern in “Workaround gegen Denial of Service Attacke in ASP.NET #hashDoS #28C3” gewarnt, besteht bei Webservern (Windows Servern mit IIS) eine Verwundbarkeit gegen “hash collision attacks” #hashDoS. Angreifer können mit speziell präparierten HTTP-Requests eine Hash-Tabelle mit einer großen Zahl von Werten befüllen, deren Keys in demselben Hash-Code aufgelöst werden – damit sinkt die Performance der HashTable auf eine simple Linked List. Das kann bei repetitiven Requests zu einer Überlastung des Webservers führen, sinngemäß so: ...

Achtung Web-Developer und Web-Hoster! Seit kurzem ist eine DoS-Attacke gegen Webserver bekannt, die zur Überlastung von Websites führen kann. Die Verwundbarkeit läuft unter #hashDoS und #28C3, sie führt “hash collision attacks” gegen Websites durch. Wie funktioniert #hashDoS? Technisch gesehen werden durch einen HTTP Request “teure” Hash Table Berechnungen ausgeführt, die – selbst auf sehr leistungsfähigen CPU´s – abertausende Form-Werte berechnen und so zu einer Überlastung = Stillstand des Webservers führen können. ...

…und meine Daten müssen bei mir bleiben. Eines der vielen Argumente, die ich im Rahmen von Office 365 Anfragen und Cloud Diskussionen immer wieder höre. Alles was rund um Rechenzentren, wo liegen meine Daten und Sicherheit passiert, ist in diesem Sommer ein häufig diskutiertes Thema, nicht zuletzt wegen der Hackerangriffe, vor denen auch Österreich nicht verschont geblieben ist. Gerade ist mir über einen Newsletter ein Bericht aufgefallen, der damit titelt: “Heimische Betriebe gehen zu unvorsichtig mit Daten um.” Vor allem Klein- und Mittelbetriebe investieren manchmal erst nach einem Angriff in Ihre IT-Security. ...

Wie das Windows Server Division WebLog gestern bekannt gab, ist das das Service Pack 1 für die aktuellsten Microsoft Betriebssysteme Windows Server 2008 R2 und Windows 7 fertig (Release). Gerüchte über das Erscheinungsdatum gab es ja schon reichlich, nun ist es fix: Für TechNet und MSDN-Abonnenten sowie Volume Licensing-Kunden wird SP1 ab dem 16. Februar verfügbar sein, die breite (öffentliche) Masse wird SP1 ab dem 22. Februar via Windows Update und Microsoft Download Center downloaden können. ...

Mit dem Dezember Patchday kommen (wenn ich mich nicht verzählt habe) 17 Updates, zwei davon sind mit “Kritisch” eingestuft: Eines behebt gleich mehrere Schwachstellen im Internet Explorer 6, 7 und 8 (MS10-090), das zweite eine Schwachstelle im OpenType Font (OTF) Driver (MS10-091) – das betrifft den Windows Explorer – und auch alle aktuellen Windows Versionen. Dann gibt es noch 14 “wichtige” Updates und ein “mäßig wichtiges” Update im Dezember. Einen Überblick der Dezember-Patches finden Sie hier: ...

Das IE9-Team tut (Einiges) Alles, um den neuen Internet Explorer 9 zum Top-Browser zu machen (siehe auch TechNet: Microsoft Internet Explorer). Vor kurzem hat das Produkt-Team in seinem Blog eine weitere neue Funktion angekündigt: “Tracking Protection”. Mit “Tracking Protection Lists” (mit der sinnigen Abkürzung TPL) kann ein Benutzer unerwünschtes Tracking ausschalten – und somit auch kontrollieren, welche Informationen an fremde Systeme gesendet oder nicht gesendet werden dürfen. Das Thema Privatsphäre muss ernst genommen werden. Somit hat sich auch das IE Team zum Ziel gemacht, effektive Mechanismen einzusetzen um dem Benutzer die Steuerung seines Datenstroms zu ermöglichen ("…more effective technologies for consumer control"). TPL ist eine davon. ...

Gerade ist folgende E-Mail in meiner Mailbox gelandet: Bill Gates verteilt gerade sein Vermögen – bitte leitet diese E-Mail an soviel Leute wie möglich weiter. Kein Scherz – natürlich nicht…. Offensichtlich hat Bill Gates zu viel Geld. Dies verschenkt er jetzt – natürlich über E-Mail, an ihm unbekannte Personen. Klarerweise sind in der E-Mail auch die Glücksfälle der Bekannten von Bekannten genannt, die tausende Dollar per Scheck erhalten haben. Nebenbei erfahre ich von einer geplanten Fusion von Intel und AOL. Aha. ...

Soviel Patch Day war glaub ich noch nie: Microsoft hat 16 Windows-Updates veröffentlicht, mit denen 51 Sicherheitslecks geschlossen werden; 4 davon mit höchster Priorität. Siehe auch Microsoft schließt 51 Sicherheitslecks Happy installing (hoffentlich mit WSUS od. Windows Intune) und restarting!

Die IPv4 Ära geht zu Ende. Die 4,3 Milliarden möglichen offiziellen Adressen von IPv4 werden nicht mehr lange ausreichen, so berichtet auch das renommierte c´t Magazin “IPv4-Adressen werden ab 2011 knapp”. Auch wenn viele reservierte IPv4 Bereiche derzeit nicht genutzt werden, so ist es nur eine Frage der Zeit, bis Internet-Provider keine IPv4-Adressen mehr hergeben werden oder können. In Nordamerika wird das allerdings noch länger kein Problem sein, da dieser Region bei der Vergabe fast 70% aller IPv4 Adressen zugewiesen wurden. Überall anders wird bzw. ist es bald eng. Unabhängig davon sind die Adressbereiche von IPv4 mittlerweile stark fragmentiert. ...