Found this bug a few weeks ago but marked it for myself as ugly but uncritical (Hannes will remember, used his blog as test environment). Until today I haven’t changed my mind, because you need a lot of luck to passthrough with this injection. Just a combination of missing Spam-Karma and stupid blog-owner does the thing. So, calm down. Nevertheless: Wordpress is a great bughole, you won’t use it.
Filed under Blogosphere, Security, Technology, Websecurity, Wordpress, www, XSS & no comments & no trackbacks
Von lauernden Gefahren kann man nun beim ZDF lesen (via Stefan »die coole Sau« Mosel).
Filed under Security, Webmontag, Websecurity, www, ZDF & no comments & no trackbacks
»Schon besser« wäre mein Fazit. Nachdem ich zum ersten Webmontag in Köln noch fleißig herumgepöbelt habe, konnte ich es trotzdem nicht lassen, wieder hinzugehen. Diesmal sogar mit eigenem Vortrag (mit fukami) zu Sicherheit im Web 2.0. Angelegt klarzumachen, dass mit dem Paradigmenwechsel von der Content-zentrierten Anwendung hin zur User-zentrierten auch einige neue Gefahren auftauchen, besser gesagt alte Gefahren in neuen Gewändern, und ausgebaut als kleiner Rant über existierende Probleme. Meinen ausdrücklichen Dank an Nico Wilfer für seine Coolness, zwei seiner Projekte als Demoobjekte herzugeben. Glaube nicht, dass das jeder so bringt, danke. Weitere Ergebnisse des Abends: Gerrit van Aaken ist didaktisch durchaus talentiert, sein Vortrag zu Typographie im Netz war spannend, Beate Paland gab eine wirklich gute Einführung (soweit ich das mitbekam) in Ruby on Rails, Moe ist auch live ne coole Sau und: es hat diesmal schon viel mehr Spaß gemacht.
Update:
Moe hält uns für nette User, Thomas Wahnhoff sieht unseren Vortrag unter den besten, poocs.de hat Photos, blogwinkel bringt meinen Realname und meinen Nick zusammen, sollte ich gleich verklagen (macht man heute anscheinend so), zu hören gibt es uns auch und die Folien stehen nun auch online (Live, Tarball).
Filed under Art, Beate Paland, Code, Frankfurt, Nico Wilfers, Security, Stefan Mosel, Technology, Vortrag, Webmontag, Websecurity, www, XSS & 14 comments & one trackback
Talk on Webmontag is over. Now it’s time to publish some security related issues I found out over the last weeks.
Filed under Ajax, Amiamo.de, Code, Injection, JavaScript, PHP, Plazes.com, Security, Webmontag, Websecurity, XSS & two comments & two trackbacks
… Webmontag.
Filed under Amiamo.de, Code, Plazes.com, Security, Technology, Webmontag, www & no comments & no trackbacks
Just now I want to release a shiny new version of my bBcode-implementation but then I found a serious JavaScript injection hole in there. So you have to wait.
Filed under Code, Security, Websecurity, XSS & no comments & no trackbacks
So macht man das. Elegant, elegant.
Filed under AMD, Code, Security, Technology, Websecurity & no comments & no trackbacks
Maybe LiveJournal should employ someone who knows something about web security. Read more …
via Fukami
Filed under Cookie-Stealing, Cross-Site Scripting, Exploit, Hacking, LiveJournal, Security, Websecurity, XSS & no comments & no trackbacks
Filed under Bug, Exploit, Gentoo, Linux, Security, Technology, Windows, Wine, wmf & no comments & no trackbacks
Mit komfortablem Nachtzug angereist, gutes Hotel gewählt, Hanno berichtete. Heute einige nette und einige weniger nette Vorträge genossen. Nett war Piratbyrån, eine schwedische Organisation die offensiv für die Handlung des Kopierens beliebiger Inhalte eintritt. Einige Zuhörer waren zu spießig, sowas »kann man« – in Deutschland – »nicht fordern«. Julian findet das natürlich auch, Hanno nicht. Joi Ito habe ich leider verpasst. Spannend auch der Votrag von Bert Bos zur Weiterentwicklung der Webstandards v.a. mit Fokus auf mobilen Endgeräten. Geile CSS-Hackereien kommen da auf einen zu, u.a. die Neuerfindung der Tabelle als Layoutelement. Nur diesmal »in sinnvoll«. Mehr wird nicht verraten, ihr wisst schon, Akkumulation von kulturellem Kapital und so. Langweiliger Vortrag von Attac (genauer: Oliver Moldenhauer, Julian Phinn), typisches WTO-Einführungsdingsda. Substanz– und folgenlos.
Richtig ätzender Talk zu »We lost the war«: angelegt als Realitätsabgleich für Hacker, ausgebaut als Wettbewerb der Vollidioten, deren politisches Verständnis den Begriff Verständnis veräppelt. Ich bin geneigt zu sagen: »Hacker bleib’ bei deinen Rechnern«. Aber dazu gleich mehr.
Ansonsten wichtig: Daniel Kulla live und in Farbe kennen gelernt. Aufklärerischer Fixpunkt zum regelmäßigen Lästern.
Filed under 22C3, Berlin, Chaos Communication Congress, Code, Consumption, Daniel Kulla, Politik, Security, Technology, www & four comments & no trackbacks
First of a clean method. But this is too boring. Not really, I was just too stupid to differ «–buildpkg» und «–buildpkgonly». Too stupid. If you’d done this, you should not run into any problems if you were not intelligent enough to specify the USE-flag «utf8» which enables one of the killer-features in MySQL 4.1: internal use of unicode, what a fine thing! Enabling this without backing up your databases leads to a shortening of all varchar-fields. So the only solution is to get the structure of the old databases from the backup, doing some scripting magic (see below) and alter all varchar-fields. But, you won’t regret your upgrade. MySQL 4.1 provides a lot of nice things, especially the abovely mentioned unicode-issues and, as another serious highlight: combined queries.
Script:
cat structure.sql | sed -e "s:^CREATE TABLE \(.*\) (:ALTER TABLE \1:g" -e 's:^ \([^ ]*\) \(.*\):CHANGE `\1` `\1` \2:g' -e "s:^) TYPE=MyISAM::g" | grep -v "CHANGE UNIQUE" | grep -v "PRIMARY KEY" | grep -v "CHANGE KEY" | grep -v "KEY KEY" | grep -v "^–" | grep -E "(varchar|;|USE|ALTER)" | tr "\n" "#" | sed -e "s:,#;:;##:g" -e "s:ALTER TABLE [a-Za-z0-9_-+] #;::g" | tr "#" "\n" | sed -e 's:^ALTER TABLE \(.*\):ALTER TABLE `\1`:g' > test.sql
Filed under Gentoo, Security & two comments & one trackback
Wie es scheint wurde blogweb.de gehackt. Ein Gruppe, die sich »Old School« nennt und mein anmerken zu müssen ndcrptn + y0rk + no-root + no-hax0r. Soso. Irgendwie ist das unsymphatisch.
[ Für die Spanner unter euch: ein Screenshot ]
Filed under Blogosphere, Code, Security & four comments & no trackbacks
OpenSSH 4.2 has been released (see Pro Linux, german only). As a start that’s not so important. Version bumps are common in the OpenSource community. But as a security enhancement they higher the default size of SSH-keys from 1024 to 2048, which makes sense in general primarily for the RSA-algorithm, which could be broken in the size of 1024. For paranoiac reason it makes sense to use 4096 RSA-keys to be on the bright side of security. But highering the SSH-keys is not enough, we need to get rid of MD5 and SHA1 completely, e.g. the /etc/shadow must use another algorithm, example whirlpool or SHA512; GnuPG uses SHA1, Gentoo’s portage uses MD5-checksums and so on. The free software community seems to deal with that problem like a dying duck in a thunderstorm. It’s high time to check out alternatives, it’s high time to take the cryptography experts seriously. I don’t understand them also but I think we have to trust.
And, for fun: my workmate told me, that SHA1 is mandatory for the security issues of banks. That’s too funny. If you think on the average duration if a law is changed here you shouldn’t do any online-banking from now on.
Filed under BreakMyGentoo, Gentoo, Linux, Security & no comments & no trackbacks
Hanno says goodbye to SHA1 and hello to Whirlpool and similiar, Stuart Herbert mentioned, that there is a way to have whirlpool in PHP and Python. Thanks, Stuart. I didn’t know this until now.
Filed under Code, Security & no comments & no trackbacks
»Z1 SecureMail Gateway ist eine Server-basierte Lösung, die alle E-Mails eines Unternehmens oder einer Organisation ver- und entschlüsselt, sie mit einer elektronischen Signatur versieht und die Gültigkeit von Signaturen überprüft. Dies alles geschieht unsichtbar für den Versender der E-Mail.«
»Das Z1 SecureMail Gateway ist beim StarTech Competence Center auch als Managed Security Service erhältlich. Der Kunde hat dabei den Vorteil von festen kalkulierbaren Kosten, wobei StarTech komplett den laufenden Betrieb und die Administration der Lösung übernimmt.«
Quellen und weiteres…
Filed under Security & no comments & no trackbacks
