Skip to content

Neues SSL-Zertifikat für kubieziel.de

In den letzten Beiträgen thematisierte ich die Verschlüsselung von Webseiten. Meine eigene Webseite läuft seit längerer Zeit über SSL/TLS. Das alte Zertifikat lief Ende Januar 2014 aus. Daher war es Zeit für eine Erneuerung. Das neue Zertifikat stammt von CACert. Vermutlich erzeugt das bei vielen eine Warnung im Browser. Daher solltet ihr unbedingt das Root-Zertifikat von CACert importieren. Dann funktionieren auch diese Seiten im Browser.

Mit dem neuen Zertifikat kommt ein neuer Fingerprint: 80:5B:82:22:9C:62:11:69:2E:92:69:9D:60:D1:DD:D3:C3:8C:D1:1A

Durch das fehlende Root-Zertifikat im Browser bewertet SSLLabs die Seite nur noch mit einem F. Bliebe der Fakt unberücksichtigt, würde die Webseite wieder ein A bekommen. "Neues SSL-Zertifikat für kubieziel.de" vollständig lesen

Auswirkungen des Serverumzugs

Ende letzten Jahres zog ich mit der Webseite auf einen anderen Server um. Der alte Server war etwas schwach auf der Brust. Einige Trafficspitzen bei meinen Seiten sorgten dafür, dass die Load sehr hoch ging. Der neue Webserver verträgt die Last sehr gut. Die Seiten werden daher schneller ausgeliefert und offensichtlich erzeugt, das jetzt mehr Traffic. Seit dem Umzug habe ich jeden Tag konstant mehr Traffic. In der Statistik ergibt sich folgendes Bild:

Traffic auf kubieziel.de

Die zweite gute Nachricht ist, dass Uberspace Server Name Indication (SNI) beim Webserver einsetzen. Das heißt, ich kann für die Seite ein eigenes SSL-Zertifikat nutzen. Daher könnt ihr ab sofort auf https://kubieziel.de/ aufrufen. Ich nutze hierfür ein Zertifikat von StartCOM. Im Gegensatz zu CAcert haben die den Vorteil, im Browser integriert zu sein. Der Nutzer muss sich also nicht durch eventuell unverständliche Meldungen quälen.

Ich werde versuchen, einen Eintrag in der Erweiterung HTTPS Everywhere zu bekommen. Wer also Firefox oder Chrome benutzt und das Plugn installiert hat, kommt dann automatisch zu den SSL-Seiten.

Im Februar 2013 wird hier also alles noch schöner, toller und überhaupt. :-)

Rezension des Buches „Web-Sicherheit“ von Sebastian Kübeck

Da die Rezension etwas länger wurde, gibt es in der Artikelübersicht eine Zusammenfassung und in der erweiterten Ansicht alle Details.

Ich wurde kürzlich auf das Buch „Web-Sicherheit – Wie Sie Ihre Webanwendungen sicher vor Angriffen schützen“ von Sebastian Kübeck aufmerksam. Das Thema Web-Sicherheit spielt im Rahmen meiner Vorlesung zu IT-Sicherheit eine Rolle und daher war ich sehr daran interessiert, das Buch kennen zu lernen.

Der Aufbau des Buches gefiel mir sehr gut. Der Leser kann sich zuerst theoretisches Wissen erarbeiten, steigt dann in praktische Aspekte ein und lernt schließlich, wie er die Probleme umgeht.

Beim Lesen fiel mir dann auf, dass einige Teile meinen Erwartungen nicht gerecht werden. So wäre es bei einem Buch über Webanwendungen wünschenswert, dass es zumindest stichpunktartig auf die Techniken des Internet und des Web eingeht. Dieser Teil fehlt hier fast vollständig. Auch werden relevante Aspekte wie beispielsweise SSL zu kurz behandelt. Demgegenüber halte ich die Erwähnung des BTX-Hacks und anderer im Rahmen des Buches vernachlässigenswert.

Im ersten und zweiten Teil des Buches findet sich ein ausführliches Literaturverzeichnis. Das sollte dem Leser helfen, tiefer in die Thematik einzusteigen. Es wäre besser, dass die Zitierschlüssel geändert werden und mehr auf Fachliteratur statt auf Zeitschriftenartikel verwiesen wird.

Ich kann mich schlecht mit Java als Sprache für das Buch anfreunden. Aus verschiedenen Aspekten halte ich diese für weniger gut geeignet und Sprachen wie PHP, Python oder Ruby wären für mich eine bessere Wahl gewesen.

Im Buch selbst ist nach meiner Meinung zu viel Quellcode zu finden. Mindestens ein Fünftel besteht aus abgedrucktem Quellcode. Dabei ist zu viel Irrelevantes mit gedruckt. Für die Beispiele im Buch reichen oft wenige Zeilen. Code über viele Seiten finde ich zu unübersichtlich. Insbesondere auf Grund der Tatsache, dass sich der Autor auch die Arbeit gemacht hat und eine Demoanwendung mitliefert. Hier wäre es empfehlenswert, einfach die zur Erklärung des Beispiels relevanten Zeilen zu drucken und dann auf die betreffende Datei in der Demoanwendung zu verweisen.

Insgesamt bietet das Buch Licht und Schatten. Es hat viele gute Ansätze, die aber noch ausgearbeitet werden sollten. Wenn der Autor dies in einer nächsten Auflage schafft, so ist das Buch dann zu empfehlen. Derzeit bin ich unsicher, ob das Buch dem Publikum wirklich den erhofften Mehrwert bringt.

"Rezension des Buches „Web-Sicherheit“ von Sebastian Kübeck" vollständig lesen

Schadcode bei ilse-aigner.de?

Rainer fragte sich und die identi.caer (später auch die Blogleser), ob denn die Webseite von Ilse Aigner gehackt ist. Der erste Blick auf die Seite liess mich in der Tat erstaunen:

Webseite ohne JavaScript

Ich habe die Firefox-Erweiterung NoScript aktiviert und die Browserweiche der Webseite wurde aktiv. Aber bereits hier war das Problem im HTML-Code zu sehen. Eine enorme Menge JavaScript. Im erweiterten Teil des Beitrages findet ihr den kompletten Schnippsel. Ich habe da nur an jedem Semikolon einen Umbruch eingebaut.

Innerhalb des JavaScript-Teiles werden diverse Variablen angelegt und nie benutzt. Es gibt die merkwürdige Zeile eturn ’h3t)t|p3:3/3/)q)l)k|eJ.Jr)u$/|i|nJd)e|x).)h|t|m|l|’.qK(/[\|J\$3\)]/g, ’’); und andere Nettigkeiten. Ich habe dann mal versucht, das Puzzle sinnvoll wieder zusammen zu setzen. Nach meiner Meinung dient der Code dazu, innerhalb der Webseite einen Bereich zu öffnen (IFrame). Dort wird der Inhalt der Seite qlke.ru/index.html geladen. Im nächsten Schritt wäre es also von Interesse, was in dieser Datei steht.

Ich versuchte also zunächst ein GET /index.html HTTP/1.1 bei der Seite und erhielt als Antwort:

HTTP/1.1 200 OK
Server: nginx
Date: Fri, 18 Jun 2010 13:00:01 GMT
Content-Type: text/html
Connection: close
Last-Modified: Mon, 14 Jun 2010 15:01:58 GMT
ETag: “a6600e-2881-488fec52d6580”
Accept-Ranges: bytes
Content-Length: 10369
Vary: Accept-Encoding

404 Not found

Wie man sieht, habe ich den Abruf heute gemacht. Leider habe ich den kompletten HTTP-Header nicht gespeichert. Insofern könnte der Teil ab Last-Modified vorher anders gewesen sein. Sehr markant finde ich, dass der Webserver meint, es sei alles in Ordnung (200 OK), währenddessen eine nicht gefundene Seite vorgespiegelt wird. Das kann natürlich ein Fehler in der Konfiguration sein. Viel wahrscheinlicher hielt ich das jedoch für einen Platzhalter, der später durch Schadcode ersetzt wird. Mittlerweile hat sich diese Vermutung wahrscheinlich bestätigt. Denn diese Seite enthält jetzt HTML und wieder JavaScript. Das lädt dann Code von der Seite http@//bijitersto@com/cgibin/index@php (Ich habe mal Doppelpunkt und Punkt durch @ ersetzt) nach. Firefox meldet diese Seite sofort als attackierende Seite. Also seit vorsichtig beim Betreten.

Der Server auf dem qlke.ru läuft, steht derzeit in Österreich. Die zweitgenannte Seite läuft derzeit auf einem Rechner in der Ukraine. Also insgesamt sieht das Ganze nicht unbedingt so aus, als ob das die Verbraucherschutzministerin ihren Besuchern anbieten will.

Ich frage mich, wie der Quellcode überhaupt auf die Seite von ilse-aigner.de gekommen ist. Hat da jemand den Rechner gehackt bzw. die Software, die die Webseiten ausliefert? Offensichtlich hatten die Besucher der Webseite von Ilse Aigner viel Glück. Denn die Angreifer hatten ihre Munition noch nicht an den Start gebracht. Ein erster Kontaktversuch zu den Betreibern der Webseite von Ilse Aigner lief leider ins Leere, da E-Mails an den Webmaster als unzustellbar zurückkamen. Ich werde eventuell Frau Aigner direkt um Stellungnahme bitten. Falls ich Rückmeldung erhalte, werde ich nochmal ein paar Zeilen dazu schreiben.

"Schadcode bei ilse-aigner.de?" vollständig lesen

Design angepasst

Auf den Hinweis von Anofox habe ich mal ein wenig am CSS der Seite herumgespielt. Auch von den Identicaern gab es einige gute Hinweise. Das Ergebnis seht ihr. Gibt es dabei etwas, was euch (nicht) gefällt? Kommentare sind sehr erwünscht.

Leck mich

Ich rufe gerade eine Webseite und lese:

lick on any thumbnail for a larger version

Doch trotz allem Lecken wurden die nicht größer. Das nächste Mal versuch ich Viagra auf die Thumbnails zu bröseln. ;-)

Welcher Webdesigner schreibt denn nur margin-left: -400 in seine Seite?

Webseiten mit einem bestimmten Tor-Server besuchen

Vor einiger Zeit erreichte mich per E-Mail eine Anfrage. Der Nutzer wollte eine Webseite immer mit einem bestimmten Tor-Server (oder einer kleinen Auswahl von Servern) besuchen. Er fragte, ob und wie das geht.

Es geht. :-) Das Tor-Project hat verschiedene Spezifikationen herausgegeben. Eine davon ist die zu Special Hostnames in Tor. In dem Dokument werden unter anderem die Hostnamen .onion und .exit beschrieben. Letzteres dient dazu, spezielle Tor-Exitknoten zu wählen. Auf der Torstatus-Seite wählt ihr nun einen passenden Tor-Server aus. Am einfachsten geht es, wenn ihr euch einfach den Namen des Servers merkt, also beispielsweise babajaga. Nun gebt ihr in den Browser die Adresse http://example.org.babajaga.exit ein. Dann versucht euer Tor-Client eine neue Verbindungsstrecke zum Exit-Server babajaga aufzubauen und leitet eure Verbindung über diesen. Voila. ;-)

Unter Umständen schlägt das fehl. Es könnte sein, dass euer lokaler Tor-Client nichts mit dem Namen babajaga anfangen kann. Auf der Torstatus-Seite hat jeder Server noch eine Einzelansicht. Wenn auf diese klickt, seht ihr relativ weit oben auch den Fingerprint des Servers. Diesen kopiert ihr und versucht folgenden Aufruf: http://example.org.$1234567890ABCDEF.exit. Dabei muss das nach dem Dollarzeichen der richtige Fingerprint sein. Nun sollte die Verbindung klappen.

Solltet ihr euch länger auf der Webseite aufhalten, wird Tor nach einer Zeit automatisch eine neue Verbindungsstrecke mit einem neuen Exit-Knoten aufbauen. Falls ihr das nicht wünscht, hilft die Option TrackHostExits. Sie muss in der torrc zusammen mit der Webseite eingetragen werden: TrackHostExits example.org. Das sorgt dann dafür, dass sich Tor den Exit-Server merkt und versucht den über längere Zeit beizubehalten.

Falls ihr die obigen Maßnahmen einsetzen wollt, solltet ihr euch immer gut überlegen, ob ihr das wirklich wollt. Denn wenn man das über längere Zeit macht, könnte ein Angreifer erfolgreich die Anonymität angreifen.

Foto von frech

tweetbackcheck