All posts by admin

Owncloud auf einem smart-kvm.com KVM Server

Immer wieder liest oder hört man von diversen Medien, dass man doch seine Daten in die Cloud verlagern soll oder kann, um diese global verfügbar zu halten. Prinzipiell ist dies ja eine gute Idee, denkt man diesen Gedanken jedoch zuende so muss man schon feststellen dass man hierbei viel falsch machen kann. Bevor man seine Daten jedoch in die Hände eines Cloudanbieters gibt, sollte man sich zuerst überlegen, wie man diese Daten entsprechend schützen kann. Größere Cloudanbieter wie Amazon EC oder Google Drive bieten einen relativ leichten Zugang zu Cloudspeicher und Cloudservices, speichern die Daten jedoch nicht in Deutschland sondern im Ausland. Was letztlich mit den Daten passiert kann man als User nicht feststellen.

Eine bessere Lösung ist es z.B., Owncloud auf einem eigenen Server zu betreiben, den man sich z.B. bei einem Cloud Server Anbieter oder VServer Anbieter zulegen kann. Auch hier muss man sich darüber im Klaren sein, dass der Hosting Anbieter prinzipiell Zugriff auf die Daten hat, und dass diese eigentlich bei den meisten Standardinstallationen ungeschützt auf dem Server des Anbieters gespeichert werden. Wer sich jedoch absolut sicher sein möchte, dass seine Daten geschützt sind muss daher etwas mehr Aufwand betreiben. Ich habe daher hier mal einen kleinen Leitfaden erstellt, mit dem man sich eine verschlüsselte Owncloud Installation auf seinem Server bei smart-kvm.com einrichten kann. Dieser Leitfaden gilt natürlich analog für jeden beliebigen Server Anbieter, sofern man die Möglichkeit hat das System selbst einzurichten.

Zuerst bei www.smart-kvm.com den passenden Server konfigurieren – die Hardware kann später immer noch angepasst werden und es können jederzeit weitere Ressourcen hinzugebucht werden. Die Server werden bei smart-kvm.com in Echtzeit bereitgestellt, normalerweise ist der Server wenige Sekunden nach Benutzerregistrierung verfügbar. Wir gehen hier nun im Webinterface in das entsprechende Bootmenü des smart-kvm.com cloud servers, übernehmen die Option um von CD zu booten und wählen unser bevorzugtes Betriebssystem aus. Ich habe hier nun Debian Wheezy verwendet, möglich wäre auch CentOS, Redhat EL, SuSE Linux oder Ubuntu. Eine Lister der Unterstützen Distributionen gibt es hier: http://software.opensuse.org/download/package?project=isv:ownCloud:community&package=owncloud

Bei der Installation des Betriebssystems ist unbedingt darauf zu achten, dass die komplette Installation verschlüsselt ist und der Server vor dem Boot bereits ein Passwort zur Entschlüsselung verlangt. Nur so ist sichergestellt, dass auch der Hosting-Anbieter keinen Zugriff auf die Daten erhält. Wer unbedingt will, kann auch die Owncloud auf einem Windows Server installieren – hierbei ist dann darauf zu achten dass zumindest der Datenbereich der Owncloud Installation verschlüsselt gespeichert wird. Es gibt ausserdem noch Owncloud Apps, die ebenfalls die Daten verschlüsseln können. Hier kann man dann aber dennoch sehen, welche User angelegt wurden etc. Es empfiehlt sich daher, den kompletten Server zu verschlüsseln.

Anschliessend kann man seine Owncloud Installation ganz normal administrieren, die Daten sollten nun vor Zugriffen von Dritten geschützt sein.

Frisches Obst – oder: was ist das MacBook Air?

Da ist es also nun, das MacBook Air. Flach soll es sein und innovativ und teuer ist es natürlich auch.

Macbook Air

Ich habe mir zu dem MacBook einige Artikel durchgelesen, sowie die Video-Präsentationen angesehen und auch die technischen Daten studiert und muss leider sagen, dass ich etwas enttäuscht bin.

Bei einem Gerät für knapp 1.500 € (1.700 US$) kann man doch sicherlich mehr erwarten, als ein Multi-Touch-Pad als einziges Alleinstellungsmerkmal. Hätte das MacBook Air wenigstens ein OLED-Display so dass man das Macbook Air auch bei Tageslicht und direkter Sonneneinstrahlung benutzen kann, wäre es wirklich etwas Neues gewesen und es hätte sich dann auch gelohnt, das eine oder andere Notebook gegen ein neues MacBook auszutauschen.

Macbook Air

So muss ich jedoch feststellen, dass mein IBM Thinkpad X20 für die Zwecke für welche ein normaler User so ein Gerät benutzt, sprich Chatten, Surfen, Mailen und etwas Office, noch locker ausreicht.

Ich kann daher nur sagen, für das Geld eigentlich schon eine Unverschämtheit.
Unter http://www.apple.com/de/macbookair/ kann sich jeder selbst ein Bild bzw. eine Meinung davon machen.

(fw.)

Sicherheitslücken in Flash-Applets

Flash-Dateien welche mit Tools wie z.B. Adobe Dreamweaver, Adobe Acrobat Connect (damals Macromedia Breeze), InfoSoft FusionCharts und Techsmith Camtasia erzeugt wurden, sind anfällig für Cross-Site-Scripting Attacken. Die mit diesen Programmen erstellten SWF-Dateien, welche auf zahlreichen Websites zu finden sind und unter anderem auch von prominenten Sites und auch von Banken verwendet werden, sind davon betroffen.

Das Problem liegt an der fehlerhaften Einbettung von JavaScript-Code in den SWF Dateien, mit welchen sich bestimmte Funktionen steuern lassen.

Der Action-Script Code wird jedes mal beim Speichern oder Exportieren einer SWF Datei automatisch mit in die SWF Datei eingefügt. Der Code lässt sich missbrauchen, um ein als Argument übergebenes JavaScript im Kontext der besuchten Seite auszuführen, obwohl der eingeschleuste Code nicht von dieser Seite stammt, sondern von einer vom Angreifer bereitgestellten Seite.

Siehe dazu auch:

XSS Vulnerabilities in Common Shockwave Flash Files, Bericht von Rich Cannings

PHP4 R.I.P – kein Support mehr!

Die Entwickler der Skriptsprache PHP haben die Version 4.4.8 veröffentlicht, die mehrere Sicherheitslücken schließt und für höhere Stabilität sorgt. Die weitere Entwicklungsarbeit für PHP 4 sowie der Support dafür wurde zum Jahreswechsel eingestellt, Version 4.4.8 soll das letzte Release sein. Sofern es notwendig wird, werde man längstens noch bis zum 8. August 2008 noch Sicherheits-Releases publizieren.

Weiteres gibt es dazu hier:

http://www.heise.de/newsticker/meldung/101271/