Antary

Amazon kündigt Cyber Monday Woche an

Amazon Logo

Amazon hat die neue Cyber Monday Woche angekündigt. Sie startet am 20. November und läuft bis einschließlich  27. November 2017. Wie jedes Jahr verspricht Amazon mehr Angebote als je zuvor. Dieses Mal sollen es über 55.000 Angebote mit bis zu 50 Prozent Rabatt sein.

Jeden Tag gibt es ausgewählte Top-Produkte als Angebote des Tages, die jeweils schon ab Mitternacht für 24 Stunden erhältlich sind. Zudem werden täglich zwischen 6.00 Uhr und 19.45 Uhr neue Blitzangebote im 5-Minuten-Takt online gehen. Diese sind für maximal sechs Stunden verfügbar, solange der Vorrat reicht. Für Prime-Mitglieder stehen die Angebote exklusiv bereits 30 Minuten vorab zur Verfügung.

Als Einstimmung auf die Angebotswoche werden vom 13. bis 19. November bereits täglich mehrere Produkte im Countdown angeboten.

Cyber Monday 2017 (Bild: Amazon)

Cyber Monday 2017 (Bild: Amazon)

Meine Meinung zur Cyber Monday Woche ist relativ zwiegespalten. Ein Großteil der Angebote ist eher unattraktiv, da viel unnützes Zeug darunter ist. Außerdem hält sich die Ersparnis oft sehr in Grenzen. Die von Amazon angegebenen 50 % Rabatt bezieht sich nämlich auf die UVP (unverbindliche Preisempfehlung) und nicht auf den Straßenpreis. Drittens ist es mühsam sich durch die Angebote zu kämpfen, denn die wenigen Perlen gehen in der Masse der Angebote schnell unter und sind teilweise auch sehr schnell ausverkauft.

Dennoch bin ich jedes Jahr fündig geworden und werde sicherlich auch dieses Jahr bei dem einen oder anderen Deal nicht nein sagen können. Vielleicht kann ich auch schon die ersten Weihnachtsgeschenke besorgen. Besonders interessant ist aber der extra Rabatt auf alle Amazon Warehouse Deals. Ich gehe stark davon aus, dass es dieses Jahr auch wieder ein solches Angebot geben wird. Damit lassen sich dann wirkliche Schnäppchen ergattern 🙂

Was sagt ihr zur Amazon Cyber Monday Woche? Habt ihr in den letzten Jahren zugeschlagen und wie sieht es dieses Jahr aus?

Kategorien: Hardware Internet

WordPress 4.9 veröffentlicht – Die Neuerungen

WordPress Logo

Rund fünf Monate nach WordPress 4.8 wurde gestern Abend WordPress 4.9 „Tipton“ veröffentlicht. Die neue Version steht als manueller Download oder über die automatische Updatefunktion zur Verfügung. Die deutsche Sprachvariante ist wie immer bereits verfügbar. Ich habe meine beiden Blogs erfolgreich auf WordPress 4.9 aktualisiert und konnte bisher keine Probleme feststellen. Nichtsdestotrotz solltet ihr vor dem Update ein Backup anfertigen!

Weiter unten findet ihr einen kurzen Überblick der wichtigsten Neuerungen. Genauere Details gibts im ausführlichen Changelog im WordPress-Codex.

  • Verbesserter Workflow im Customizer
    • Design-Entwürfe: Änderungen an Designs können geplant und zu einem bestimmten Datum automatisch veröffentlicht werden
    • Design-Vorschau: Designänderungen lassen sich per Vorschau-Link vor dem Veröffentlichen anschauen und damit z.B. an Kunden weitergeben
    • Design-Sperre: Designentwürfe lassen sich sperren und gegen Veränderung von anderen Usern schützen
    • Designentwürfe werden automatisch gespeichert
  • Verbesserungen fürs Programmieren
    • Syntaxhervorhebung und Fehlerprüfung für HTML-Widget, Design- und Plugins-Editor
    • Bei Arbeiten an Theme- und Plugin-Code wird vor dem Speichern eines Fehlers gewarnt
    • Warnmeldung vor dem ersten direkten Bearbeiten von Themes und Plugins
  • Noch mehr Aktualisierungen bei den Widgets
    • Neues Galerie-Widget
    • Integration von Bildern, Video und Audio direkt im Textwidget via neuem „Medien hinzufügen“-Button
  • Verbesserungen zum Aufbau der Website
    • Zuverlässigerer Theme-Wechsel: Widgets und Menüs bleiben auf ihren Plätzen
    • Verständlichere Anleitung beim Erstellen eines Menüs
  • Customizer JS API-Verbesserungen
  • Unterstützung von CodeMirror
  • Aktualisierung MediaElement.js auf 4.2.6 entfernt Abhängigkeit von jQuery und modernisiert Benutzeroberfläche
  • Verbesserungen für Rollen und Berechtigungen: Ermöglicht detaillierte Verwaltung von Plugins und Übersetzungsdateien

Alles in allem muss ich sagen, dass dieses Update für mich absolut keinen Mehrwert bringt und quasi überflüssig ist 😉

Firefox 57 – Die Neuerungen

Firefox Logo 57+

Gestern wurde Firefox in der lang ersehnten Version 57 veröffentlicht. Laut Mozilla ist es wohl der größte und zeitgleich auch wichtigste Release in der Geschichte des Browsers. Für Firefox 57 (Quantum) wurden insgesamt sieben Millionen Zeilen Code überarbeitet, was rund 75 % der Codebasis entspricht.

Die größte Änderung neben dem überarbeiteten Design dürfte die Next-Generation-Web-Engine „Serve“ sein, womit Firefox deutlich schneller und stabiler sein soll. Nachfolgend versuche ich alle weiteren Neuerungen aufzulisten.

  • Neue Web-Engine „Servo“, Firefox soll damit laut Mozilla zweimal so schnell wie vor einem Jahr sein und zeitgleich 30 Prozent weniger Speicher verbrauchen
  • Unterstützung von alten XUL-Erweiterungen eingestellt, ab Firefox 57 werden nur noch WebExtensions Add-ons unterstützt
  • Neues Firefox-Logo
  • Überarbeitetes Design namens „Photon UI“
    Firefox 57 - Design
  • Neu gestaltetes Hauptmenü
    Firefox 57 - Hauptmenü
  • Neue Tab-Seite inklusive optionalem Activitiy Stream
  • Adressleiste und Suchfeld kombiniert (in den Einstellungen kann separates Suchfeld wiederhergestellt werden)
  • Neues Menü für seitenspezifische Aktionen in der Adressleiste (die einzelnen Punkte lassen sich in der Adressleiste ein- oder ausblenden)
    Firefox 57 - Aktionen Adressleiste
  • Mindestbreite der Tabs anpassbar (about:config via „browser.tabs.tabMinWidth“)
  • Bibliotheks-Menü vereint Zugriff auf Lesezeichen, Pocket-Liste, Chronik, Downloads und synchronisierte Tabs
  • Neues Design für Einstellungen, Add-on Manager und Fehler-Seiten
  • Neben dem Standard-Design sind die beiden alternativen Themes „Hell“ und „Dunkel“ verfügbar
  • Erweiterter Tracking-Schutz erlaubt bessere Konfiguration (bisher war der Schutz nur in privaten Fenstern aktiv)
  • Kontrolle über Local Storage (Einstellungen -> Websitedaten)
  • viele weitere kleine Verbesserungen, eine Übersicht findet ihr z.B. bei Sören Hentzschel
  • Behebung diverser Sicherheitslücken

Download Firefox 57
Download Firefox 57 (64 Bit)
Portable Firefox @ Horst Scheuer

Infos zum Microsoft-Patchday November 2017

Microsoft Logo

Heute (zweiter Dienstag im Monat) ist der Microsoft November-Patchday. Wie jeden Monat veröffentlicht der Softwareriese eine Menge Updates, die viele kritische Sicherheitslücken beheben. Die nachfolgende Tabelle gibt einen kurzen Überblick.

Neben den obligatorischen Updates für Windows, Internet Explorer und Flash Player sind dieses Mal auch Produkte wie SharePoint, .NET Core, ASP.NET Core und ChakraCore betroffen.

Produktfamilie Maximaler Schweregrad
Maximale Auswirkung Zugehörige KB-Artikel und/oder Supportwebseiten
Windows 10 und Windows Server 2016 (einschließlich Microsoft Edge) Kritisch Remotecodeausführung Windows 10 1709: 4048955, Windows 10 1703: 4048954; Windows 10 1607: 4048953, Windows 10 RTM: 4048956, Windows Server 2016: 4048953
Windows 8.1 und Windows Server 2012 R2 Hoch Remotecodeausführung Windows 8.1 und Windows Server 2012 R2: 4048961 (reines Sicherheitsupdate) und 4048958 (monatlicher Rollup).
Windows Server 2012 Hoch Remotecodeausführung Windows Server 2012: 4048962 (reines Sicherheitsupdate) und 4048959 (monatlicher Rollup).
Windows RT 8.1 Hoch Remotecodeausführung Windows RT 8.1: 4048958 Hinweis: Updates für Windows RT 8.1 sind nur über Windows Update verfügbar.
Windows 7 und Windows Server 2008 R2 Hoch Remotecodeausführung Windows 7 und Windows Server 2008 R2: 4048960 (reines Sicherheitsupdate) und 4048957 (monatlicher Rollup).
Windows Server 2008 Hoch Remotecodeausführung Updates für Windows Server 2008 werden nicht in Form eines kumulativen Updates oder Rollups angeboten. Die folgenden Artikel beziehen sich auf eine Version von Windows Server 2008: 4046184, 4047211, 4048968, 4048970 und 4049164.
Internet Explorer Kritisch Remotecodeausführung Internet Explorer 9: 4047206 (kumulatives Internet Explorer-Update), Internet Explorer 10: 4047206 (kumulatives Internet Explorer-Update) und 4048959 (monatlicher Rollup), Internet Explorer 11 (kumulatives Update): 4047206, Internet Explorer 11 (monatlicher Rollup): 4048957 und 4048958, Internet Explorer 11 (Sicherheitsupdate): 4041689, 4042895, 4048952, 4048953, 4048954, 4048955 und 4048956
Software im Zusammenhang mit Microsoft Office Hoch Remotecodeausführung Die Anzahl der KB-Artikel im Zusammenhang mit Microsoft Office für jede monatliche Sicherheitsupdateveröffentlich ung hängt von der Anzahl der CVEs und der Anzahl der betroffenen Komponenten ab. Die folgenden KB-Artikel beziehen sich auf Office oder auf im Zusammenhang mit Office stehende Komponenten: 2553204, 3162047, 4011197, 4011199, 4011205, 4011206, 4011220, 4011233, 4011242, 4011244, 4011245, 4011247, 4011250, 4011257, 4011262, 4011264, 4011265, 4011266, 4011267, 4011268, 4011270, 4011271 und 4011276.
SharePoint Enterprise Server 2016 und Project Server 2013 Mittel Rechteerweiterungen Microsoft SharePoint Server 2016: 4011244, Microsoft Project Server 2013: 4011257
.NET Core und ASP.NET Core Hoch  Rechteerweiterungen .NET Core ist eine Allzweck- Entwicklungsplattform, die von Microsoft und der .NET-Community auf GitHub verwaltet wird. ASP.NET Core ist ein plattformübergreifendes, leistungsstarkes Open Source-Framework für die Erstellung moderner, cloudbasierter, mit dem Internet verbundener Anwendungen.
ChakraCore Kritisch Remotecodeausführung ChakraCore ist die zentrale Komponente von Chakra. Hierbei handelt es sich um das extrem leistungsfähige JavaScript-Modul, auf dem in HTML/CSS/JS geschriebene Microsoft Edge- und Windows-Anwendungen basieren. Weitere Informationen finden Sie unter: https://github.com/Microsoft/ Cha​kraCore/wiki.
Adobe Flash Player Kritisch Remotecodeausführung Sicherheitsupdates für Adobe Flash Player: 4048951

Beginnend mit April 2017 hat Microsoft die bisher verwendeten Sicherheitsbulletin-Webseiten durch den Leitfaden für Sicherheitsupdates ersetzt. Das neue Portal soll durch die vielfältigen Such- und Filterfunktionen einen besseren Überblick über neue Updates bieten.

Für jede Windows 10 Version veröffentlicht Microsoft ein eigenes kumulatives Update, welche die entsprechenden Windows 10 Versionen auf neue Build-Nummern hebt:

  • Windows 10 Version 1709 Build 16299.19
  • Windows 10 Version 1703 Build 15063.674
  • Windows 10 Version 1607 Build 14393.1794
  • Windows 10 Version 1511 Build 10586.1176
  • Windows 10 Version 1507 (RTM) Build 10240.17643

YouTube-Videos ohne Werbung und im Hintergrund abspielen

YouTube Logo

Die YouTube-App auf dem Smartphone oder Tablet kommt nicht nur zum Anschauen von Videos zum Einsatz. Immer mehr User nutzen die App auch zum Abspielen von Musik und damit als kostenlose Alternative zu Streaming-Diensten. Jedoch müssen die Nutzer dabei einige Einschränkungen in Kauf nehmen. Neben der nervigen Werbung ist das größte Problem, dass Videos nur im Vordergrund abgespielt werden können. Sobald der Bildschirm ausgeschaltet wird oder sich die YouTube-App im Hintergrund befindet, wird die Wiedergabe augenblicklich gestoppt.

Es existieren einige Workarounds, wie die Wiedergabe im Hintergrund funktionsfähig bleibt, beispielsweise YouTube im Chrome Browser unter der Desktop-Version zu verwenden oder der Bild-in-Bild-Modus von Android Oreo. Allerdings funktionieren diese Varianten nur bei aktivem Bildschirm und Werbung erscheint trotzdem.

Eine deutlich bessere Möglichkeit ist eine gemoddete YouTube-App, von der zig verschiedene Ausführen existieren. Die meiner Meinung nach beste Variante ist „YouTube Vanced„, welches aus dem iYTBP-Projekt (injected YouTube Background Playback) entstanden und bei XDA Developers im Forum erhältlich ist. Mittlerweile existiert sogar eine Non-Root Variante mit den gleichen Features wie die Root-Version. Die App kann neben der offiziellen App installiert werden, blockt Werbung, ermöglicht das Abspielen bei ausgeschaltetem Bildschirm und bietet darüber hinaus noch weitere Features.

Installation von YouTube Vanced

Die App kann ohne Probleme von Jedermann heruntergeladen und installiert werden. Nachfolgend eine Übersicht der einzelnen Schritte.

  1. Zuerst muss die YouTube Vanced Non-Root Version heruntergeladen werden. Diese werden vom Entwickler ZaneZam unter AFH oder Mediafire zum Download angeboten.
  2. Anschließend wird die APK-Datei installiert. Ggf. muss vor der Installation noch erlaubt werden, Apps aus unbekannten Quellen zu installieren. Unter Android 7.1 „Nougat“ ist dies folgendermaßen möglich: Einstellungen -> Sicherheit -> Geräteverwaltung -> Unbekannte Herkunft -> Installation von Apps aus unbekannten Quellen zulassen
  3. Jetzt kann die App verwendet werden.
  4. Wenn das Einloggen nicht funktioniert, wird zusätzlich noch die App „microG“ benötigt. Diese findet ihr ebenfalls unter den beiden oben genannten Links.

RSAT-Tools und administrative Vorlagen für Windows 10 Version 1709 verfügbar

Windows 10 Logo

Wenige Tage nach Veröffentlichung des Windows 10 Fall Creators Update, alias Windows 10 Version 1709, hat Microsoft auch die RSAT-Tools und die administrativen Vorlagen in einer neuen Version zum Download angeboten. Beide Downloads liegen in mehreren Sprachen vor.

Download administrative Vorlagen (.admx) für Windows 10 Fall Creators Update (1709)
Download Remoteserver-Verwaltungstools (RSAT) für Windows 10 Fall Creators Update (1709)

Aukey LED-Schreibtischlampe mit 5 Farbtemperaturen und 7 Helligkeitsstufen im Test

Aukey Schreibtischlampe

Vor einiger Zeit habe ich eine LED-Schreibtischlampe von Avantek getestet. Ich bin nach wie vor zufrieden, allerdings störte mich die zu geringe Helligkeit so sehr, dass ich mir kurzerhand eine zweite Lampe zugelegt habe. Sie hört auf den Namen Aukey LT-T10 und ist bei Amazon für 32,99 Euro erhältlich. In einem kurzen Testbericht möchte ich euch die Aukey LED-Schreibtischlampe vorstellen.

Der Lieferumfang besteht aus der Schreibtischlampe selbst, dem Netzteil, einer Kurzanleitung (auch in Deutsch) und einer Hinweiskarte auf die Garantie.

Aukey Schreibtischlampe - Lieferumfang

Nachfolgend ein Überblick der technischen Spezifikationen:

  • Maximale Leistung: 12W (7W LED + 5W USB-Output)
  • Anzahl der LEDs: 72 Stück (2835)
  • Maximaler Lichtstrom: ca. 550 Lumen
  • Nachtlicht Lichtstrom: 45 Lumen
  • Farbtemperatur: 3000-6500 K
  • Farbwiedergabeindex: ≥ 80 Ra
  • Strahlwinkel: 140˚
  • Lebensdauer: 30000 Stunden
  • 7 Helligkeitsstufen
  • 5 unterschiedliche Farbtemperaturen
  • Abmessungen: 425 x 355 x 125 mm
  • Gewicht: 1013 g
  • Touchfeldbedienung
  • integrierter USB-Ladeanschluss mit 5 V und 1 A

Aukey Schreibtischlampe

Das Auspacken und die Inbetriebnahme ist schnell erfolgt. Es muss lediglich das Netzteil angeschlossen werden und schon ist die Schreibtischlampe betriebsbereit. Die Verarbeitungsqualität ist in Ordnung und auch bei der Standfestigkeit gibts nichts zu bemängeln. Die Lampe ist aus schwarzem Hochglanz-Kunststoff, wodurch Fingerabdrücke und Staub magisch angezogen werden.

Der Lampenhals kann bis zu 90° geöffnet und 80° gedreht werden. Leider ist er nicht ganz starr und bei Berührungen wackelt er. Der Lampenkopf lässt sich bis zu 135° öffnen (siehe erstes Foto) und um 180°drehen (siehe zweites Foto). Für den Transport lässt sich die Lampe handlich „zusammenfalten“ (siehe drittes Foto).

An der Hinterseite befindet sich neben dem Netzstecker ein USB-Anschluss. Dieser kann zum Laden von Tablets, Smartphones, E-Readern und Co. verwendet werden. Er liefert 5V und bis zu 1 Ampere. Probleme wie bei der Avantek-Lampe sind mir hier nicht aufgefallen.

Aukey Schreibtischlampe - Anschlüsse

Kommen wir zur Bedienung. Diese erfolgt per Touchfeld, welches im Standfuß eingelassen ist und sehr schnell und präzise reagiert. Mit der zweiten Taste von links kann die Lampe angeschaltet werden. Sie startet immer automatisch mit der zuletzt gewählten Helligkeit und Farbtemperatur. Die sieben Helligkeitsstufen lassen sich mit der Skala darunter direkt anwählen. Die Farbtemperatur kann mit der dritten Taste angepasst werden. Außerdem ist noch eine Timer-Funktion (erste Taste) vorhanden, wodurch die Lampe nach einer Stunde automatisch ausschaltet. Bei ausgeschaltetem Zustand kann die Lampe mit der vierten Taste in einen Nachtmodus geschaltet werden. In diesem Modus leuchtet sie ganz leicht, was unter anderem fürs Kinderzimmer nützlich sein kann.

Aukey Schreibtischlampe - Bedienfeld

Mit Hilfe der 7 Leuchtstufen lässt sich die Lampe von einer dezenten Beleuchtung bis hin zu einer wirklich hellen Schreibtischlampe steuern. Genau was ich gesucht habe! Selbstverständlich habe ich auch wieder Strommessungen und Fotos zu den einzelnen Leuchtstufen angefertigt.

Mein Profitec KD 302 zeigt für die Schreibtischlampe folgenden Stromverbrauch an:

  • Aus / Standby: 0,2 Watt
  • Leuchtstufe 1: 1,3 Watt
  • Leuchtstufe2: 2,0 Watt
  • Leuchtstufe 3: 2,5 Watt
  • Leuchtstufe 4: 3,2 Watt
  • Leuchtstufe 5: 4,0 Watt
  • Leuchtstufe 6: 5,2 Watt
  • Leuchtstufe 7: 8,1 Watt
  • Nachtlicht: 0,0 Watt (zu klein zum Messen)

In der höchsten Leuchtstufe mit angeschlossenem Smartphone zum Laden habe ich einen Verbrauch von 15,1 Watt gemessen, was deutlich über der angegebenen Maximalleistung von 12 Watt liegt.

Die Fotos habe ich mit meiner Panasonic Lumix DMC-TZ25 mit folgenden Einstellungen aufgenommen: ISO 100, Blende 3,4, Belichtungszeit 1/13 Sekunden. Beim Nachtlicht musste ich fünf Sekunden beleuchten, damit etwas erkennbar war.

Zu den fünf Farbtemperaturen gibt es ebenso Fotos. Hier habe ich die Belichtungszeit auf 1/5 erhöht. Die letzten beiden Modi sind sehr rot-lastig und meiner Meinung nach nicht empfehlenswert.

Fazit

Alles in allem hat mich die Aukey Schreibtischlampe überzeugt. Ihre Hauptaufgabe zur Beleuchtung meistert sie mit Bravour. Die vielen Kombinationsmöglichkeiten bei Helligkeit und Farbtemperatur sind wirklich toll und die maximale Helligkeit ist selbst für sehr große Schreibtische mehr als ausreichend. Zwei kleine Kritikpunkte muss ich allerdings loswerden. Der wackelnde Lampenhals ist unschön und könnte vor allem bei nicht so standfesten Schreibtischen nervig sein. Zweitens die Hochglanz-Oberfläche, welche Staub und Fingerabdrücke sammelt. Damit kann ich aber leben.

Aukey LT-T10 bei Amazon

Kategorien: Hardware Testberichte

StarCraft 2 ist ab 14. November Free-to-Play

StarCraft 2 Logo (Bild: Blizzard)

Auf der BlizzCon 2017 hat Blizzard angekündigt, dass das Strategiespiel StarCraft 2 ab dem 14. November 2017 Free-to-Play sein wird. Allerdings trifft das nicht auf alle Inhalte zu.

Die Einzelspielerkampagne aus „Wings of Liberty“ besteht aus 29 Missionen und wird komplett kostenlos spielbar sein. Wer „Wings of Liberty“ bereits besitzt, bekommt stattdessen die erste Erweiterung „Heart of the Swarm“ kostenlos. Hier gilt aber, dass man zwischen dem 08. November und 08. Dezember im Battlenet bzw. Spiel eingeloggt sein muss.

In der Koop-Kampagne gibt es allerdings Einschränkungen. Sie steht ebenfalls kostenlos zur Verfügung, ist jedoch nur als Commander Raynor, Kerrigan und Artanis in vollem Umfang spielbar. Alle anderen lassen sich nur bis Level 5 spielen. Der Mehrspielermodus ist hingegen komplett kostenlos, inklusive aller Einheiten aus den Erweiterungen. Für den Zugang zum Ranked müssen allerdings 10 „First Wins of the Day“ gegen die KI oder im Unranked erzielt werden.

Amazon verlängert Rückgabefrist während dem Weihnachtsgeschäft

Amazon Logo

Die Tage werden kürzer, draußen wird es kälter und langsam aber sicher nähern wir uns Weihnachten. In sieben Wochen ist es schon so weit. Auch Amazon denkt schon an das große Weihnachtsgeschäft und hat wie in den vergangenen Jahren die Rückgabefrist verlängert. Alle Artikel, die zwischen dem 1. November und dem 31. Dezember 2017 versandt wurden, können bis zum 31. Januar 2018 zurückgegeben werden. Insgesamt bleiben damit drei volle Monate zum Retournieren Zeit. Auf der Hilfeseite bei Amazon findet ihr alle Details:

Unsere besondere Rückgabefrist zu Weihnachten
Sämtliche Artikel, die von Amazon.de zwischen dem 1. November und dem 31. Dezember 2017 (jeweils einschließlich) versandt wurden, können bis einschließlich 31. Januar 2018 zurückgegeben werden, sofern die Ware die sonstigen Rückgabebedingungen erfüllt. Dies gilt für Käufe direkt von Amazon.de, für von Amazon versandte Bestellungen bei Drittanbietern sowie für Artikel, die mit dem Prime-Logo angeboten und von Drittanbietern verkauft und versandt werden. Bitte beachten Sie, dass für sonstige von Drittanbietern versandte Artikel individuelle Rückgabebedingungen gelten. Gesetzliche Rückgaberechte bleiben unberührt.

Wer das nicht sowieso schon tut, sollte bei Bestellungen daher darauf achten, dass die Artikel direkt von Amazon angeboten oder zumindest von Amazon versendet werden. Bei Artikeln mit dem Prime-Logo seid ihr darüber hinaus immer auf der sicheren Seite, egal ob diese von Amazon oder von Drittanbietern versendet werden.

Ich versuche dieses Jahr alle Geschenke schon frühzeitig zu besorgen, weshalb mir die Aktion sehr zugute kommt. Schließlich kann man nie wissen, ob das Geschenk gut ankommt. Mit der erweiterten Rückgabefrist ist man somit auf der sicheren Seite. Wie sieht es bei euch aus? Kauft ihr alles ein paar Tage vor Weihnachten oder seid ihr auch eher früher dran?

Kategorien: Internet

Die Sicherheitslücken von JavaScript: Fremdcodes und Bibliotheken

JavaScript-Bibliotheken sind unbestreitbar praktisch, doch ihre Sicherheit wird oft fahrlässig gehandhabt. Dabei gibt es ein paar simple Regeln, die man befolgen sollte, um seine Webseite vor Cyberattacken zu schützen.

JavaScript bietet vielfältige Möglichkeiten, dynamische und interaktive Webseiten-Inhalte zu kreieren. Im Laufe der Zeit hat sich die einst recht simple Skriptsprache an die gängigen Programmiersprachen angenähert und ist dadurch unweigerlich komplexer geworden. Zum Glück gibt es ja die zahlreichen JavaScript-Bibliotheken für nahezu jeden Zweck, in denen geübte Coder die am häufigsten verwendeten Funktionen und Anweisungen zusammengefasst haben – ein Segen für Einsteiger und diejenigen, die regelmäßig am DOM verzweifeln.

Was viele Webseiten-Designer und -betreiber aber gerne vergessen, ist die Tatsache, dass diese hilfreichen Programmierwerkzeuge auch das größte Sicherheitsproblem von JavaScript darstellen. Denn jeder Code, den man nicht selbst geschrieben hat, kann versehentliche oder gar beabsichtigte Fehlerstellen enthalten, die sich Hacker für Cyberangriffe zunutze machen können.

Vernachlässigte Problematik

Wie ernst das Problem ist, enthüllten im März dieses Jahres sechs Wissenschaftler von der Northeastern University of Boston in einer Studie: Von 133.000 untersuchten Webseiten verwendeten knapp 38% mindestens eine als verwundbar geltende JavaScript-Bibliothek, 10% sogar zwei oder mehr. Im Jahr 2014 hatte es bereits eine ähnliche Studie gegeben – mit noch schlechteren Ergebnissen.

Jüngste Ereignisse zeigen, wie problematisch sogenannter „third party code“ für die Webseiten-Sicherheit sein kann. Im angefügten (englischsprachigen) YouTube-Video demonstriert Guy Podjarny von der Firma Snyk anschaulich einige solcher „vulnarability exploits“ aus der realen Welt und macht damit deutlich, dass bereits kleinste Veränderungen des Codes ausreichen, um eine Webseite angreifbar zu machen.

Was man als Programmierer tun kann

Leider existieren bislang keine einheitlichen Datenbanken für Sicherheitslücken in JavaScript-Bibliotheken. Das ist besonders problematisch, wenn man bedenkt, dass zum Beispiel das vielseitig einsetzbare jQuery 37% der Sicherheitslücken in der genannten Studie ausmachte. Der Liebling eines jeden Coders und seine dazugehörige Erweiterung UI werden nämlich in vielen Webseiten verwendet, die mit weit verbreiteten CMS wie etwa WordPress programmiert wurden. jQuery Version 1 ist immer noch mit Abstand auf häufigsten im Einsatz, Version 2 und 3 werden kaum benutzt.

jQuery Versionsverteilung

jQuery Versionsverteilung (Quelle: W3Techs)

Das Bundesamt für Sicherheit in der Informationstechnik gibt zu diesem Thema ein paar Empfehlungen ab, die im Folgenden kurz zusammengefasst werden:

  • Drittanbieter-Bibliotheken weisen gemäß Studie tendenziell mehr Sicherheitslücken auf, da sie veränderten Code enthalten können, vor allem wenn sie aus vertrauensunwürdigen Quellen heruntergeladen werden. Es ist also empfehlenswert, die Reputation einer ausgewählten Seite vor dem Download zu überprüfen und im Zweifelsfall sämtliche Funktionen der Bibliothek selbst auszutesten.
  • Bei vielen der untersuchten Bibliotheken lag die letzte Software-Aktualisierung im Durchschnitt drei bis vier Jahre zurück! Dabei sind regelmäßige Updates eine unabdingbare Voraussetzung in jedem Aspekt der Webseiten-Security.
  • Es gilt die Faustregel: Je mehr Codes vorhanden sind, desto größer ist die Fehleranfälligkeit. Jedoch werden durchschnittlich 50% der Funktionen von „multipurpose libraries“ gar nicht verwendet. Man sollte sich also darüber klarwerden, welche Funktionen man wirklich benötigt, und im Anschluss gründlich ausmisten.
  • Egal, wie praktisch und bewährt sie sein mögen – veraltete Bibliotheken wie SWFObject erfahren schon lange keinen Support mehr und sollten deshalb gänzlich gemieden werden. Nicht umsonst verfielen beispielsweise 87% der Sicherheitslücken in der genannten Studie auf die Bibliothek YUI, von der keine aktuelle Version mehr existiert.

Javascript Code

Kategorien: Coding Internet