Qbi's Weblog

Da die Rezension etwas länger wurde, gibt es in der Artikelübersicht eine Zusammenfassung und in der erweiterten Ansicht alle Details.

Ich wurde kürzlich auf das Buch „Web-Sicherheit – Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen“ von Sebastian Kübeck aufmerksam. Das Thema Web-Sicherheit spielt im Rahmen meiner Vorlesung zu IT-Sicherheit eine Rolle und daher war ich sehr daran interessiert, das Buch kennen zu lernen.

Der Aufbau des Buches gefiel mir sehr gut. Der Leser kann sich zuerst theoretisches Wissen erarbeiten, steigt dann in praktische Aspekte ein und lernt schließlich, wie er die Probleme umgeht.

Beim Lesen fiel mir dann auf, dass einige Teile meinen Erwartungen nicht gerecht werden. So wäre es bei einem Buch über Webanwendungen wünschenswert, dass es zumindest stichpunktartig auf die Techniken des Internet und des Web eingeht. Dieser Teil fehlt hier fast vollständig. Auch werden relevante Aspekte wie beispielsweise SSL zu kurz behandelt. Demgegenüber halte ich die Erwähnung des BTX-Hacks und anderer im Rahmen des Buches vernachlässigenswert.

Im ersten und zweiten Teil des Buches findet sich ein ausführliches Literaturverzeichnis. Das sollte dem Leser helfen, tiefer in die Thematik einzusteigen. Es wäre besser, dass die Zitierschlüssel geändert werden und mehr auf Fachliteratur statt auf Zeitschriftenartikel verwiesen wird.

Ich kann mich schlecht mit Java als Sprache für das Buch anfreunden. Aus verschiedenen Aspekten halte ich diese für weniger gut geeignet und Sprachen wie PHP, Python oder Ruby wären für mich eine bessere Wahl gewesen.

Im Buch selbst ist nach meiner Meinung zu viel Quellcode zu finden. Mindestens ein Fünftel besteht aus abgedrucktem Quellcode. Dabei ist zu viel Irrelevantes mit gedruckt. Für die Beispiele im Buch reichen oft wenige Zeilen. Code über viele Seiten finde ich zu unübersichtlich. Insbesondere auf Grund der Tatsache, dass sich der Autor auch die Arbeit gemacht hat und eine Demoanwendung mitliefert. Hier wäre es empfehlenswert, einfach die zur Erklärung des Beispiels relevanten Zeilen zu drucken und dann auf die betreffende Datei in der Demoanwendung zu verweisen.

Insgesamt bietet das Buch Licht und Schatten. Es hat viele gute Ansätze, die aber noch ausgearbeitet werden sollten. Wenn der Autor dies in einer nächsten Auflage schafft, so ist das Buch dann zu empfehlen. Derzeit bin ich unsicher, ob das Buch dem Publikum wirklich den erhofften Mehrwert bringt.

Continue reading "Rezension des Buches „Web-Sicherheit“ von Sebastian Kübeck"

Ein Add-On für den Firefox, welches 4 von 5 Sternen hat und von mehr als sieben Millionen Nutzer installiert wurde, sollte doch halbwegs vertrauenswürdig sein. Zumindest legt Linus’ Law diese Erkenntnis nahe. Das Add-On Ant Video Downloader straft diese Annahme nun Lügen.

Der Ant Video Downloader soll Videos von Youtube, Facebook und vielen anderen Seiten auf einfache Weise herunterladen. Daneben hat die Software noch einen anderen Zweck. Sie sammelt Daten über jede Seite, die der Benutzer besucht. Dazu wird eine eindeutige Nummer, die so genannte Ant-UID, angelegt. Wenn eine Webseite aufgerufen wird, sendet Ant eine zweite Anfrage mit eben dieser Nummer, der URL der aufgerufenen Seite sowie der Browserkennung an die Adresse rpc.ant.com.  Somit kommt dort jeder Seitenaufruf (also auch interne URLs im privaten Netzwerk) an, den ihr jemals gemacht habt. Damit aber noch nicht genug. Bei der Deinstallation der Software wird die Informationen mit der eindeutigen Nummer, der Ant-UID, behalten. Wenn ihr die Software später neu installiert, wird genau dieselbe Nummer wieder verwendet. Das ist also eine massive Verletzung der Privatsphäre der Nutzer.

Wie ein Witz klingt da die Privacy Policy von Ant.com:

As a responsible member of the community of website owners, Ant.com solutions (Here in after Ant.com) takes the privacy and security of its users with the highest regard.

Insgesamt finde ich in der Policy keinen Hinweis auf diese Spionagemaßnahme. Glücklicherweise haben die Betreiber der Add-On-Seite die Notbremse gezogen. Zunächst wurde der Download der Software komplett deaktiviert und jetzt ist diese als experimentell gekennzeichnet. Damit sollten nur erfahrenere Nutzer diese installieren können.

Das Beispiel zeigt mal wieder, das man sich offensichtlich auf keine Software verlassen kann und insbesondere das die Warnungen bezüglich der Add-Ons sehr ernst zu nehmen sind.

via InterWeb Task Force und The Register

Bei der LUG Jena gibt es morgen, am 24. Februar 2011, einen Vortrag über die Programmiersprache Go. Ich wollte mich nun etwas durch die Webseite des Projektes klicken. Doch Google mag mich nicht.

Die IP-Adresse gehört dem Tor-Server evoboxes. Dieser wird von TorServers.net betrieben und steht in den Niederlanden. Nun frage ich mich, warum gerade die Niederlande ein „forbidden country“ sind.

Die Einführung des neuen Personalausweises (nPA) hat einige Wellen geschlagen. Zum einen versuchte der CCC Schwachstellen nachzuweisen, zum anderen griff Jan Schejbal die AusweisApp an. Die LUG Jena hat nun Christian Kahlo als Referenten gewonnen. Er wird uns am 18.November 2010 Details zu Technik, Fakten und Hintergründen des nPA erzählen. Wir treffen uns um 19:00 Uhr am Ernst-Abbe-Platz im Hörsaal 5 (offizielle Adresse: Carl-Zeiss-Strasse 3).

Christian hat auch schon selbst vorgeführt, wie man den nPA knacken kann.

Ein Buch serviert in mehreren Gängen. Die Spannung steigt mit jedem Gang und entlädt sich ab dem Digestif mit voller Wucht. So lässt sich das Buch Angerichtet von Herman Koch mit kurzen Worten beschreiben.

Paul Lohmann, der Erzähler, trifft sich mit seinem Bruder Serge und Ehefrauen zum Abendessen in einem noblen Restaurant. Die gesamte Geschichte ist aus der Sicht von Paul erzählt. Obwohl er die Situation im Restaurant immer mit Witz und pointiert kommentiert, entsteht schon auf den ersten Seiten eine gewisse Spannung. Es ist klar, dass sich das eigentliche Gespräch um die Kinder der Brüder drehen soll. Jedoch wird dies zunächst gut umschifft. Dies ändert sich ab dem Hauptgericht. Mit voller Wucht bekommt der Leser präsentiert, was die Jungs getan haben und auch die Persönlichkeit von Paul ändert sich. Der Leser muss seine Sichtweise auf die handelnden Personen fast auf jeder Seite neu justieren. Schließlich kommt es zum großen Showdown.

Das Buch ist meiner Meinung nach uneingeschränkt empfehlenswert. Der Autor verstand es, mich in seinen Bann zu ziehen und setzt gekonnt verschiedene Stilmittel ein. Dabei ist bis fast zum Ende nicht klar, was passieren wird und auch die Betrachtungsweise auf einzelne Personen ändert sich. Ich habe mir sehr oft die Frage gestellt, wie ich als Elternteil und Ehemann reagiert hätte und wo die Grenzen der elterlichen Liebe sind.

Ich habe ganz bewusst versucht, den Inhalt so wenig wie möglich zu beschreiben. Denn ich glaube, durch ein mehr an Beschreibung verliert das Buch an Effekt. Andererseits habe ich es ein zweites Mal gelesen und auch da war es für mich immer noch ein Pageturner.

Gerade bin ich wieder baff. Google DNS macht mich heute sprachlos.

Vor etwa einem Monat schrieb ich hier über die Aktion von Ingate, bei der es einen VServer zu gewinnen gab. Nach einiger Wartezeit kamen die Zugangsdaten an und derzeit richte ich den Rechner ein. Zur Einrichtung gehört mittlerweile für mich ein Test der Geschwindigkeit des (voreingestellten) DNS. Mittels einem Python-Programm namens namebench lässt sich das hervorragend machen. Im Blog findet sich dazu ein Beitrag. Nun spuckte namebench soeben das Ergebnis aus. Der Nameserver von Google ist fast viermal so schnell wie der beim Provider. Das ist so ziemlich die krasseste Abweichung, die ich bisher fand. Trotzdem bestätigt das, was ich bisher ermittelte. In allen meinen Versuchen seit Juni war immer der Nameserver von Google der schnellste. Außerdem zensiert der nicht. Insofern könnte man ihn jedem Nutzer empfehlen. Letztlich bleibt der hinlänglich diskutierte Datenschutzaspekt. Wer den nutzt, überlässt einmal mehr Daten einer Firma. Das will wohlüberlegt sein.

Untenstehend mal die Auswertung von namebench zum VServer von Ingate:

IP	Descr.	Hostname	Avg (ms)	Diff	Min	Max	TO	NX	Notes
8.8.4.4	Google Public DNS-2	google-public-dns-b.google.com74.125.42.87 74.125.42.82 74.125.42.81	57.88	259.0%	9.6	737.2	0	4
156.154.71.1Neustar Ultra Recursive	UltraDNS-2	rdns2.ultradns.netudns2tcam.ultradns.net udns3tcam.ultradns.net	86.60	139.9%	16.4	874.3	0	3	NXDOMAIN Hijacking
4.2.2.4If you have a legitimate reason for requesting this info, please contact hostmaster@Level3.net	Level 3/GTEI-4	vnsc-pri-dsl.genuity.netdns2.frf1	87.69	136.9%	7.1	1310.7	0	5
78.47.115.1989.4.3b2	Cesidio 6 DE	ns6.cesidio.netns6.cesidio.net	113.52	83.0%	4.0	1006.2	0	50	Replica of Cesidio B DE [78.47.115.197]
212.123.96.110	SYS-212.123.96.110	dns01.ip-exchange.de	150.74	37.8%	3.2	1625.3	0	4	A backup DNS server for this system.
208.67.220.220	OpenDNS	resolver2.opendns.com12.ams	166.42	24.8%	14.6	3500.0	1	1
194.8.57.129.6-ESV-R1	Nurnberger IX DE	ns.N-IX.netrNS2	167.84	23.8%	4.0	1589.1	0	4
212.114.153.1	Secondary-DNS DE	ns.secondary-dns.de	181.08	14.7%	1.2	1643.7	0	4
80.190.211.10	SYS-80.190.211.10	dns03.ip-exchange.de	207.77		0.6	1611.9	0	4	The current preferred DNS server.
216.146.35.35unbound 1.3.4	DynGuide	resolver1.dyndnsinternetguide.comig-02-fra.dyndns.com	228.13	-8.9%	23.5	3500.0	2	3	NXDOMAIN Hijacking
83.142.86.1	CS-Arena DE	ns1.core-backbone.com	242.89	-14.5%	3.5	3500.0	2	5	dns.query.BadResponse (2 requests)

Das Tor-Projekt ist vor allem bekannt für die gleichnamige Software. Daneben entwickeln die Macher eine Vielzahl weiterer Software, die ebenfalls die Anonymität und Privatsphäre seiner Nutzer stärkt. Bekannte Projekte sind Vidalia, die Erweiterung für den Mozilla Firefox Tor-Button oder die kürzlich vorgestellte Erweiterung HTTPS Everywhere. Jacob Appelbaum stellte kürzlich ein weiteres Projekt ttdnsd vor. Der Name steht für Tor TCP DNS Daemon und versucht alle DNS-Verbindungen über Tor zu leiten.

Derzeit muss die Software entweder aus den Quellen oder als Debian-Paket installiert werden. An RPMs wird noch gearbeitet. Eine Unterstützung für Windows ist noch nicht umgesetzt. Nach der Installation läuft die Software als Dienst im Hintergrund. In der Datei /etc/ttdnsd.conf befindet sich die Konfiguration. Standardmäßig enthält diese den Nameserver von Google mit der Adresse 8.8.8.8. Weitere Nameserver können eingetragen werden. Ich lasse immer mal wieder namebench laufen und wähle aus der Auswertung einige Server aus. Es empfiehlt sich, aus der Liste der zensurfreien Server einige zu wählen. Die Anzahl der Einträge in der Datei ist unbegrenzt. Die Software wählt bei jedem Lauf zufälligerweise einen Eintrag aus.

Nachdem die Software eingerichtet wurde, sollte auch das eigene System überredet werden, den ttdnsd für DNS-Anfragen zu nutzen. Im einfachsten Fall öffnet ihr die Datei /etc/resolv.conf und tragt dort die Zeile nameserver 127.0.0.1 ein. Wenn ihr dynamische IP-Adressen nutzt, hat das unter Umständen den Nachteil, dass der Eintrag bei jeder Aktualisierung überschrieben wird. Für Ubuntu würde ich daher empfehlen, in der Datei /etc/dhcp3/dhclient.conf den Eintrag prepend domain-name-servers 127.0.0.1; zu setzen. Dann wird der Nameserver bei jedem Update korrekt in die /etc/resolv.conf eingetragen. Wenn ihr nur einmalig testen wollt, könnt ihr natürlich dem jeweiligen Programm die Adresse übergeben: dig @127.0.0.1 torproject.org oder host torproject.org 127.0.0.1.

Die Beantwortung von Anfragen über Tor dauert natürlich etwas länger als über eine nicht anonymisierte Verbindung. Kai Raven hat in seinem Wiki eine Beschreibung zum DNS-Proxy pdnsd. Dieser hat einen Zwischenspeicher für DNS-Anfragen und antwortet schneller, wenn die Ergebnisse in seinem Speicher sind.

Der ttdnsd ist noch in Entwicklung, d.h. einige Stellen im Quellcode müssen überarbeitet werden und derzeit kann ein Angreifer den Anfragen an dem Server vorbei leiten. Diese Punkte sind bekannt und sollen in den folgenden Versionen behoben werden. Ich halte die Software schon benutzbar und kann euch einen Test nur ans Herz legen.