Antary Blog

Amazon Prime wird teurer und bald monatliche Laufzeit verfügbar

Amazon Logo

Amazon hat neue Konditionen für den Prime-Dienst angekündigt. Der Preis wird von aktuell 49 auf zukünftig 69 Euro erhöht. Außerdem gibt es das Prime-Abo in Deutschland erstmals mit einer monatlichen Laufzeit.

Amazon Prime wird im kommenden Jahr deutlich teurer. Dies betrifft sowohl Neu- als auch Altkunden. Der Preis steigt um 20 Euro bzw. fast 40 Prozent auf 69 Euro pro Jahr. Die Preiserhöhung greift für Neukunden ab dem 1. Februar 2017. Bestandskunden werden noch etwas länger verschont und müssen erst ab dem 1. Juli 2017 die höheren Preise zahlen. Wer sein Prime-Abo davor erneuern kann hat Glück und muss erst ab 2018 die höheren Gebühren von 69 Euro zahlen. Darüber hinaus gibt es Amazon Prime zukünftig auch mit einer monatlichen Laufzeit. Der Preis liegt bei 8,99 Euro. Wie beim Jahresabo sind auch hier alle Prime-Vorteile enthalten. Studenten müssen ebenfalls tiefer in die Tasche greifen und zahlen ab Februar 34 anstatt wie bisher 24 Euro.

Dennoch ist Amazon Prime in Deutschland vergleichsweise günstig. In den USA hatte Amazon den Preis bereits 2014 von 79 auf 99 Dollar pro Jahr angehoben. Hierzulande war Prime lange für 29 Euro erhältlich. Anfang 2014 wurde das Streaming von TV-Serien und Filmen integriert und der Preis auf 49 Euro angehoben.

Amazon begründet die Preiserhöhung mit gestiegenen Kosten für die im Prime-Abo enthaltenen Dienste. Neben der schnellen kostenlosen Lieferung bietet Prime ein umfangreiches Sortiment an Unterhaltungsangeboten: Prime Video mit unbegrenztem Streaming von Filmen und TV-Serien, Prime Music mit Musik-Streaming, Prime Fotos mit unbegrenztem Speicherplatz für Fotos und Zugriff auf die Kindle-Leihbücherei.

Ich sehe die Preiserhöhung durchaus problematisch. Wer wenig bestellt und die Zusatzangebote nur ab und zu nutzt, wird von der Preiserhöhung überhaupt nicht angetan sein und vermutlich bei Bedarf auf die monatliche Variante umsteigen. Wer die Vorteile des Prime-Abos jedoch regelmäßig nutzt wird den Mehrpreis vermutlich verschmerzen, denn als Gegenwert wird durchaus einiges geboten. Was sagt ihr zur Preiserhöhung?

Zu Amazon Prime

Kategorien: Internet

Infos zum Microsoft-Patchday November 2016

Microsoft Logo

Morgen (zweiter Dienstag im Monat) findet Microsofts November-Patchday statt. Insgesamt veröffentlicht der Softwareriese 14 Security-Bulletins, von denen sechs als “kritisch” und acht als “hoch” eingestuft werden. Wie fast jeden Monat sind auch dieses Mal wieder kritische Sicherheitslücken bei den beiden Browsern Internet Explorer 11 und im neuen Edge-Browser vorhanden.

Nachfolgend ein kurzer Überblick über die erscheinenden Bulletins und die betroffenen Produkte. Weitere Details stellt Microsoft wie immer im Security TechCenter zur Verfügung. Üblicherweise funktioniert der Link erst ab Diens­tag­abend deutscher Zeit.

Bulletin ID Bulletin TitleMaximum Severity Rating and Vulnerability ImpactRestart RequirementAffected Software
MS16-129Kumulatives Sicherheitsupdate für Microsoft Edge (3199057)Critical
Remote Code Execution
Requires restartMicrosoft Edge on all supported releases of Windows 10 and Windows Server 2016.
MS16-130Microsoft Security Bulletin MS16-130: Sicherheitsupdate für Microsoft Windows (3199172)Critical
Remote Code Execution
Requires restartAll supported releases of Microsoft Windows.
MS16-131Sicherheitsupdate für Microsoft-Videosteuerung (3199151)Critical
Remote Code Execution
Requires restartMicrosoft Windows Vista, Windows 7, Windows 8.1, Windows RT 8.1, Windows 10, and Windows Server 2016.
MS16-132Sicherheitsupdate für Microsoft-Grafikkomponente (3192884)Critical
Remote Code Execution
Requires restartAll supported releases of Microsoft Windows.
MS16-133Sicherheitsupdate für Microsoft Office (3199168)Important
Remote Code Execution
May require restartMicrosoft Office 2007, Office 2010, Office 2013, Office 2013 RT, Office 2016, Office for Mac 2011, Office 2016 for Mac, Office Compatibility Pack, Excel Viewer, PowerPoint Viewer, Word Viewer, SharePoint Server 2010, SharePoint Server 2013, Office Web Apps 2010, and Office Web Apps 2013.
MS16-134Sicherheitsupdate für den Treiber des gemeinsamen Protokolldateisystems (3193706)Important
Elevation of Privilege
Requires restartAll supported releases of Microsoft Windows.
MS16-135Sicherheitsupdate für Windows-Kernelmodustreiber (3199135)Important
Elevation of Privilege
Requires restartAll supported releases of Microsoft Windows.
MS16-136Sicherheitsupdate für SQL Server (3199641)Important
Elevation of Privilege
May require restartMicrosoft SQL Server 2012, SQL Server 2014, and SQL Server 2016.
MS16-137Sicherheitsupdate für Windows-Authentifizierungsmethoden (3199173)Important
Elevation of Privilege
Requires restartAll supported releases of Microsoft Windows.
MS16-138Sicherheitsupdate für virtuelle Festplatte von Microsoft (3199647)Important
Elevation of Privilege
Requires restartMicrosoft Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10, and Windows Server 2016.
MS16-139Sicherheitsupdate für Windows Kernel (3193227)Important
Elevation of Privilege
Requires restartMicrosoft Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2.
MS16-140Sicherheitsupdate für Boot Manager (3193479)Important
Security Feature Bypass
Requires restartMicrosoft Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10, and Windows Server 2016.
MS16-141Sicherheitsupdate für Adobe Flash Player (3202790)Critical
Remote Code Execution
Requires restartAdobe Flash Player on all supported editions of Microsoft Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10, and Windows Server 2016.
MS16-142Kumulatives Sicherheitsupdate für Internet Explorer (3198467)Critical
Remote Code Execution
Requires restartInternet Explorer on all supported releases of Microsoft Windows.

Kategorien: Windows

Einfaches Logging für PowerShell-Skripte

PowerShell 5 Icon

Lange und komplexe PowerShell-Skripte werden schnell unübersichtlich und man verliert den Überblick, wo das Skript gerade steht und was aktuell abgearbeitet wird. Aus diesem Grund solltet ihr in jedem Skript bereits von Anfang an eine einfache Log-Funktionalität einbauen. Dies ist in vielen Fällen schneller und einfacher zu realisieren, als das Logging später aufwändig nachzurüsten. Vor allem bei Skripten, welche kritische Daten schreiben, ist das Logging im Nachhinein oftmals ein Segen. Beispielsweise wenn euer PowerShell-Skript Daten im AD ändert und im Nachgang einige Änderungen rückgängig gemacht werden müssen.

Daher habe ich eine kleine Funktion geschrieben, welche ich nahezu am Anfang jedes PowerShell-Skripts einbinde. Die Ausgabe erfolgt sowohl in der Konsole als auch in einer Log-Datei. Neben dem aktuellen Datum und der Uhrzeit ermöglicht die Log-Funktion zudem die Definition von verschiedenen Log-Leveln.

Das Skript steht auch als Download zur Verfügung.

$path = "C:\Temp"
$date = get-date -format "yyyy-MM-dd-HH-mm"
$file = ("Log_" + $date + ".log")
$logfile = $path + "\" + $file

function Write-Log([string]$logtext, [int]$level=0)
{
	$logdate = get-date -format "yyyy-MM-dd HH:mm:ss"
	if($level -eq 0)
	{
		$logtext = "[INFO] " + $logtext
		$text = "["+$logdate+"] - " + $logtext
		Write-Host $text
	}
	if($level -eq 1)
	{
		$logtext = "[WARNING] " + $logtext
		$text = "["+$logdate+"] - " + $logtext
		Write-Host $text -ForegroundColor Yellow
	}
	if($level -eq 2)
	{
		$logtext = "[ERROR] " + $logtext
		$text = "["+$logdate+"] - " + $logtext
		Write-Host $text -ForegroundColor Red
	}
	$text >> $logfile
}

# log something
Write-Log "this is a simple log test"

# create warning log entry
Write-Log "this is a simple log test" 2

# use more than simple variables in a string
$cmds = get-command
Write-Log "there are $($cmds.count) commands available"

Kategorien: Tutorials Windows

Gewinnspiel: Crucial Ballistix Sport LT 16GB Kit DDR4-2400

Crucial feiert dieses Jahr das 20-jährige Jubiläum, herzlichen Glückwunsch! Gleichzeitig hat mir Crucial freundlicherweise ein 16-GB-DDR4-Kit für ein Gewinnspiel zukommen lassen. Vielen Dank dafür an Crucial!

Beim Arbeitsspeicher handelt es sich um den Crucial Ballistix Sport LT 16GB Kit DDR4-2400 (BLS2C8G4D240FSE). Das Kit besteht aus zwei Modulen mit jeweils 8 GByte. Mehr Informationen zum Arbeitsspeicher erhaltet ihr auf der Crucial-Produktseite.

Crucial Ballistix Sport LT rot DIMM Kit 16GB, DDR4-2400, (BLS2C8G4D240FSE) (Bild: Crucial)

Crucial Ballistix Sport LT rot DIMM Kit 16GB, DDR4-2400, (BLS2C8G4D240FSE) (Bild: Crucial)

(mehr …)

Kategorien: Antary Hardware

Windows Server 2016 via KMS aktivieren

Windows Server 2016 Logo

Auch wenn der Einsatz von Windows Server 2016 noch nicht geplant ist, sollten Unternehmen ihre Infrastruktur dahingehend aktualisieren, dass eine Aktivierung von Windows Server 2016 grundlegend möglich ist. Da das neue Server-Betriebssystem nun offiziell erhältlich ist, lässt der erste Test-Server sicherlich nicht lange auf sich warten und der produktive Einsatz kommt meist auch schneller als gedacht.

Active Directory-Based Activation (ADBA) ist die einfachste Variante, lässt sich schnell einrichten und wird von Microsoft empfohlen. Wer dennoch weiterhin auf die KMS-Aktivierung setzt, hat es schwieriger und muss einige Vorarbeiten leisten.

Windows Server 2016 und Vorbereitung des KMS-Servers

Zunächst muss der KMS-Server die benötigten Voraussetzungen erfüllen. Normalerweise sollte dies automatisch der Fall sein, sofern alle aktuellen Updates installiert sind. Falls nicht hier eine kleine Übersicht:

Anschließend muss der neue Windows Server 2016 KMS-Host-Key (CSVLK) eingespielt werden. Den Key erhaltet ihr im Volume Licensing Service Center (VLSC).

  • Im Volume Licensing Service Center (VLSC) anmelden.
  • Im Menü auf “Lizenzen” und “Beziehungszusammenfassung” klicken.
  • Auf die Lizenze-ID der aktuell aktiven Lizenz klicken.
  • Jetzt auf den Reiter “Product Keys” klicken.
  • Hier nach dem Key mit dem Namen “Windows Srv 2016 DataCtr/Std KMS” suchen.
  • Den Key auf dem KMS-Host installieren. Dazu wird eine administrative Eingabeaufforderung benötigt:
    Cscript.exe %windir%\system32\slmgr.vbs /ipk xxxxx-xxxxx-xxxxx-xxxxx-xxxxx

    Wenn es bei diesem Schritt Probleme geben sollte hilft oft ein Neustart des KMS-Services.

  • Anschließend muss der neue KMS-Host-Key noch aktiviert werden:
    Cscript.exe %windir%\system32\slmgr.vbs /ato
  • Zum Schluss könnt ihr die hoffentlich erfolgreiche Aktivierung mit folgendem Befehl überprüfen:
    Cscript.exe %windir%\system32\slmgr.vbs /dlv

Windows Server 2016 KMS-Client-Aktivierung

Nachdem der KMS-Server soweit fertig ist, könnt ihr ab sofort eure Windows Server 2016 Clients via KMS aktivieren. Nachfolgend die benötigten KMS-Client-Keys (GVLK) (Quelle):

BetriebssystemKMS-Client-Key
Windows Server 2016 DatacenterCB7KF-BWN84-R7R2Y-793K2-8XDDG
Windows Server 2016 StandardWC2BQ-8NRM3-FDDYY-2BFGV-KHKQY
Windows Server 2016 EssentialsJCKRF-N37P4-C2D82-9YXRT-4M63B

Entweder installiert ihr die neuen Windows Server 2016 direkt mit den richtigen Keys oder ihr installiert die Keys später und aktiviert das Betriebssyystem manuell:

Cscript.exe %windir%\system32\slmgr.vbs /ipk xxxxx-xxxxx-xxxxx-xxxxx-xxxxx
Cscript.exe %windir%\system32\slmgr.vbs /ato

Fertig!

Kategorien: Windows

VeraCrypt ist sicherer als TrueCrypt

VeraCrypt Logo

Der Truecrypt-Fork VeraCrypt wurde in Version 1.18 einem Security-Audit unterzogen. Die meisten sicherheitskritischen Probleme wurden jedoch bereits in der aktuell erhältlichen Version 1.19 behoben. Außerdem wurden in VeraCrypt viele der bekannten Sicherheitslücken von TrueCrypt geschlossen. Insgesamt kann man VeraCrypt daher als sicherer wie TrueCrypt ansehen.

Die Entwicklung von TrueCrypt wurde im Mai 2014 unter teilweise mysteriösen Umständen eingestellt. VeraCrypt entstand im Jahr 2013 als Abspaltung von TrueCrypt und erlangte durch das unerwartete Ende von TrueCrypt schnelle eine große Bekanntheit.

Der VeraCrypt-Audit wurde von der OSTIF-Initiative beauftragt und von der Sicherheitsfirma QuarksLab durchgeführt. Der komplette Bericht ist als PDF-Datei verfügbar. Der Report betrachtet zunächst die früheren Analysen des Truecrypt-Codes, welche durch das Open Crypto Audit Project (OCAP) und durch Googles Project Zero erfolgten. Demnach wurden die gravierendsten Sicherheitslücken in VeryCrypt behoben, allerdings sind einige kleinere Probleme nach wie vor existent. Beispielsweise hatte das OCAP-Audit festgestellt, dass der AES-Code von TrueCrypt Timing-Sidechannels besitzt und evtl. durch Cachetiming-Angriffe verwundbar ist. QuarksLab sieht es aber als sehr unwahrscheinlich an, dass Angreifer diese Lücke ausnutzen könnten.

Anschließend untersuchte QuarksLab den neuen Code von VeraCrypt, welcher unter anderem den UEFI-Bootloader und neue Verschlüsselungsalgorithmen betreffen. Insgesamt wurden acht kritische, drei mittlere und 15 kleinere Probleme gefunden. Die verwendeten Kompressionsbibliotheken wiesen zahlreiche Probleme auf, wurden aber mittlerweile durch die Bibliothek libzip ersetzt. Außerdem war der russische Verschlüsselungsalgorithmus GOST 28147-89 fehlerhaft implementiert, welcher aber bereits entfernt wurde. Fünf von den acht kritischen Lücken wurden in der neuen Version 1.19 behoben.

OSTIF und QuarksLabs sind der Meinung, dass VeraCrypt nach dem Audit wesentlich sicherer als davor ist.

Download VeraCrypt

Cisco-Switches: UDLD bei Kupferports?

Cisco Logo

Das UniDirectional Link Detection Protocol (UDLD) arbeitet auf OSI-Layer 2 und ist ein Verfahren zur Erkennung einseitiger Netzwerkverbindungen zwischen Switches. Verbindungen zwischen zwei Switches arbeiten immer in zwei Richtungen. Wenn die Verbindung in einer Richtung ausfällt, können Protokolle wie Spanning Tree (STP) sehr empfindlich auf solche Fehler reagieren. Gerade bei Glasfaserstrecken kann schnell eine Strecke ausfallen. Das bedeutet, der betroffene Port empfängt noch Daten vom gegenüberliegenden Port, aber der andere Port empfängt keine Daten mehr. UDLD erkennt einseitige Verbindungen und deaktiviert das betroffene Interface, bevor gefährliche Situationen wie Spanning-Tree-Loops auftreten können.

Grundsätzlich kann UDLD sowohl bei Glasfaserverbindungen (LWL) als auch bei Kupferverbindungen eingesetzt werden. Ohne Zweifel, bei Glasfaserverbindngen ist UDLD eine gute Sache und sollte auf jeden Fall aktiviert werden. Die Meinungen gehen jedoch stark auseinander, ob UDLD bei Kupferports wirklich sinnvoll ist. Für mich habe ich entschieden, dass dies nicht der Fall ist. UDLD bei Kupferports kann gut funktionieren, muss es aber nicht. Ich hatte bereits in mehreren Fällen enorme Probleme und die Kupferports zwischen zwei Switches gingen immer wieder auf “err-disable”. Des Weiteren gab es bei aktiviertem UDLD in einigen Situationen andere, sehr seltsame Nebeneffekte. Auch andere User berichten von ähnlichen Problemen (siehe Quellen). Aus diesen Gründen verzichte ich bei Kupferports auf die Aktivierung von UDLD. Eine Ausnahme gibt es aber doch: Beim Einsatz von Medienkonvertern macht UDLD durchaus Sinn.

Quellen:

  • https://supportforums.cisco.com/discussion/10949081/3750-udld-error
  • https://supportforums.cisco.com/discussion/11842286/udld-err-disable-copper-wire
  • http://networking-forum.com/viewtopic.php?f=33&t=28749
  • http://packetlife.net/blog/2011/mar/7/udld/

Kategorien: Hardware

Infos zum Microsoft-Patchday Oktober 2016 und zu den kumulativen Updates für Windows 7 und 8.1

Microsoft Logo

Morgen (zweiter Dienstag im Monat) startet Microsofts Oktober-Patchday. Insgesamt veröffentlichen die Redmonder zehn Security-Bulletins, von denen fünf als “kritisch”, vier  als “hoch” und eines als “mittel”  eingestuft werden.

Spannend dürfte dieser Patchday allemal werden, da Microsoft bekanntlich ab Oktober kumulative Updates (Rollups) für Windows 7 und Windows 8.1 einführt. In einem Blogbeitrag hat Microsoft jetzt weitere Informationen zu der geplanten Vorgehensweise veröffentlicht: More on Windows 7 and Windows 8.1 servicing changes. Günter Born hat die Informationen analyisiert und in einem Artikel zusammengefasst.

Nachfolgend ein grober Überblick über die erscheinenden Bulletins und die betroffenen Produkte. Weitere Details stellt Microsoft wie immer im Security TechCenter zur Verfügung. Üblicherweise funktioniert der Link erst ab Diens­tag­abend deutscher Zeit.

Bulletin ID Bulletin TitleMaximum Severity Rating and Vulnerability ImpactRestart RequirementAffected Software
MS16-118Kumulatives Sicherheitsupdate für Internet Explorer (3192887)Critical
Remote Code Execution
Requires restartInternet Explorer on all supported releases of Microsoft Windows.
MS16-119Kumulatives Sicherheitsupdate für Microsoft Edge (3192890)Critical
Remote Code Execution
Requires restartMicrosoft Edge on all supported releases of Windows 10.
MS16-120Sicherheitsupdate für Microsoft-Grafikkomponente (3192884)Critical
Remote Code Execution
Requires restartAll supported releases of Microsoft Windows, Office 2007, Office 2010, Word Viewer, Skype for Business 2016, Lync 2010, Lync 2013, Live Meeting 2007 Console, Silverlight 5 and Silverlight 5 Developer Runtime, and .NET Framework 3.0, 3.5, 3.5.1, 4.5.2, and 4.6.
MS16-121Sicherheitsupdate für Microsoft Office (3194063)Important
Remote Code Execution
May require restartMicrosoft Office 2007, Office 2010, Office 2013, Office 2013 RT, Office 2016, Office for Mac 2011, Office 2016 for Mac, Office Compatibility Pack, Word Viewer, SharePoint Server 2010, SharePoint Server 2013, Office Web Apps 2010, Office Web Apps 2013, and Office Online Server.
MS16-122Sicherheitsupdate für Microsoft-Videosteuerung (3195360)Critical
Remote Code Execution
Requires restartMicrosoft Windows Vista, Windows 7, Windows 8.1, Windows RT 8.1, and Windows 10.
MS16-123Sicherheitsupdate für Windows-Kernelmodustreiber (3192892)Important
Elevation of Privilege
Requires restartAll supported releases of Microsoft Windows.
MS16-124Sicherheitsupdate für Windows-Registrierung (3193227)Important
Elevation of Privilege
Requires restartAll supported releases of Microsoft Windows.
MS16-125Sicherheitsupdate für Diagnosehub (3193229)Important
Elevation of Privilege
Requires restartAll supported releases of Microsoft Windows 10.
MS16-126Sicherheitsupdate für Microsoft Internet Messaging API (3196067)Critical
Remote Code Execution
Requires restartAdobe Flash Player on all supported editions of Microsoft Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, and Windows 10.
MS16-127Sicherheitsupdate für Adobe Flash Player (3194343)Moderate
Information Disclosure
Requires restartMicrosoft Windows Vista, Windows Server 2008, Windows 7 and Windows Sever 2008 R2.

Kategorien: Windows

PayPal bietet Rückerstattung der Portokosten für Retouren an

PayPal Logo

In einigen europäischen Ländern bietet der Bezahldienst PayPal bereits seit längerem kostenlose Retouren an. Relativ überraschend gab das Unternehmen nun bekannt, dass ab sofort auch deutsche PayPal-Kunden in den Genuss von kostenlosen Rücksendungen kommen. Das Angebot ist jedoch zeitlich und auf eine bestimmte Anzahl von Rücksendungen begrenzt.

Mit dem neuen Dienst möchte PayPal einen Mehrwert bieten, der über das reine Bezahlen hinausgeht. Sofern Händler keine kostenlose Rücksendung anbieten, können sich Kunden die Rücksendekosten bis zu einer Grenze von 25 Euro erstatten lassen. Das Angebot ist zunächst bis zum 28. Februar 2017 gültig und kann von jedem Kunden insgesamt sechsmal genutzt werden. Vor der Nutzung muss der Dienst zunächst über eine PayPal-Webseite aktiviert werden. Nach der Rücksendung der Ware an den Händler hat der Kunde 30 Tage Zeit, die Erstattung unter Angabe von einigen Informationen und Belegen zu beantragen. Als Beleg kann beispielsweise ein Einlieferungsbeleg dienen. Das Angebot ist nur für deutsche Privatkunden und Retouren per Standardversand gültig. Der Betrag wird nach wenigen Tagen auf das PayPal-Konto des Kunden gutgeschrieben.

PayPal Erstattung
Der Service ist nicht nur für deutsche Shops gültig, sondern kann auch bei Bestellungen in ausländischen Online-Shops wahrgenommen werden. Einzige Voraussetzung ist ein entsprechendes Widerrufs- oder Rückgaberecht.

Selbstverständlich zielt das Angebot darauf ab, dass mehr Leute ihre Online-Einkäufe via PayPal bezahlen. Dennoch ist es kein schlechtes Angebot, denn gerade kleine Händler bieten oft keine kostenfreien Rücksendungen mehr an, was teilweise auch mit der Gesetzesänderung in Deutschland zusammenhängt. Seit dem 13. Juni 2014 müssen Kunden ausdrücklich den Widerruf ihres Kaufs erklären und Rücksendekosten zudem komplett selbst tragen, auch wenn der Warenwert über 40 Euro beträgt. Nichtsdestotrotz bieten viele große Internethändler nach wie vor kostenlose Rücksendungen an.

Kategorien: Internet

WordPress absichern und schützen

WordPress Logo

Die Blog-Anwendung WordPress erfreut sich nach wie vor großer Popularität. Dank den vielen und guten Plugins kann der Funktionsumfang beinahe beliebig ausgebaut werden, weshalb WordPress heutzutage auch oft als CMS oder Shopsystem verwendet wird. Insgesamt läuft WordPress auf gut ein Viertel aller Webseiten weltweit, weshalb die Anwendung ein sehr beliebtes Angriffsziel darstellt.

Nachfolgend eine umfangreiche Sammlung vieler sinnvoller Tipps und Plugins, um WordPress sicherer zu machen.

Basisschutz

Diese einfachen Tipps sollten von allen umgesetzt werden, die WordPress einsetzen.

  • regelmäßig Updates installieren
    • vor allem von WordPress selbst
    • aber auch Plugins und Themes sollten aktualisiert werden, wenn neue Versionen bereit stehen
  • nicht verwendete Plugins und Themes löschen
  • Administrator-Account
    • wenn möglich nur ein Administrator-Account
    • Administrator-Account sollte nicht den standardmäßig vergebenen Usernamen “admin” besitzen
    • keine Artikel mit dem Administrator-Account verfassen, sondern über separate Accounts mit Redakteurs-Rechten
  • verschiedene Passwörter für WordPress Admin, Datenbank und FTP benutzen
  • “sichere” Passwörter verwenden
    • Groß- und Kleinschreibung, Zahlen sowie Sonderzeichen verwenden
    • lange Passwörter, je mehr Stellen desto besser (12 Stellen oder mehr sind gut)
  • regelmäßige und automatische Datensicherung
    • Datenbank und Dateien sichern
    • beides kann zum Beispiel einfach mit dem Plugin BackWPup erledigt werden
    • Sicherungen nicht auf dem Server aufbewahren

Erweiterter Schutz

Die Tipps hier sind deutlich aufwendiger zu realisieren und sollten nur von erfahrenen Anwendern befolgt werden, die wissen was sie tun. Für Anfänger sind die Tipps unter “Basisschutz” ausreichend.

  • Zugriffsschutz für das Backend (Admin-Bereich) mit Hilfe von .htaccess
  • TLS-Verschlüsselung für das Backend oder direkt für die gesamte Webseite einsetzen
  • XML-RPC-Schnittstelle deaktivieren / Zugriffsschutz einrichten
    • ist seit WordPress 3.5 standardmäßig aktiviert
    • Nachteil: Trackbacks von anderen Blogs können nicht mehr empfangen werden
    • XML-RPC-Schnittstelle über die “functions.php” vollständig deaktivieren
      /* Disable XML-RPC */
      add_filter( 'xmlrpc_enabled', '__return_false' );
    • alternativ Zugriff auf Dateo “xmlrpc.php” einschränken
      # bis einschließlich Apache 2.3
      # auth protection xmlrpc.php
      <Files xmlrpc.php>
      AuthType Basic
      AuthName "Restricted Admin-Area"
      AuthUserFile /pfad/zur/.htpasswd
      Require valid-user
      </Files>
      
      # ab Apache 2.4
      # auth protection xmlrpc.php
      <Files xmlrpc.php>
      AuthType Basic
      AuthName "Restricted Admin-Area"
      AuthUserFile /pfad/zur/.htpasswd
      Require valid-user
      </Files>
  • Admin Zugang auf bestimmte IP-Adressen beschränken
    # bis einschließlich Apache 2.3
    # protect wp-login.php
    <Files wp-login.php>
    Order deny,allow
    Deny from all
    Allow from [DYNAMIC.DNS.NAME]
    </Files>
    
    # ab Apache 2.4
    # protect wp-login.php
    <Files wp-login.php>
    Require host example.org
    </Files>
  • zuverlässigen Hoster verwenden
    • aktuelle Versionen von PHP und Webserver (Apache, nginx, …)
    • saubere Webserver-Konfiguration

Plugins

  • Antispam Bee (Schutz gegen Spam)
  • AntiVirus (Schutz gegen Schadcode, der über Sicherheitslücken in WordPress, Plugins oder Themes eingeschleust wurde
  • Snitch (protokolliert ausgehende Verbindungen von WordPress-Plugins)

Kategorien: Internet Wordpress

Microsoft veröffentlicht Windows Server 2016

Windows Server 2016 Logo

Zum Auftakt der Ignite 2016 in Atlanta hat Microsoft die neue Windows Server Version offiziell veröffentlicht. Microsoft hatte dies bereits im Juli angekündigt und das Versprechen wurde erfüllt. Zurzeit steht von Windows Server 2016 lediglich eine 180 Tage gültige Evaluierungsversionen zum Download bereit. Der Download über MSDN oder das Volume Licensing Service Center (VLSC) sollten aber demnächst folgen. Ab Oktober wird es Windows Server 2016 dann auch zu kaufen geben.

Die Evaluationsversion steht in mehreren Sprachen zur Verfügung und bringt ziemlich genau 5 GByte auf die Waage. Diese Version ist nur zum Testen geeignet und sollte nicht für den Produktivbetrieb verwendet werden.

Download Windows Server 2016 Evaluierungsversion 180 Tage

Details zu Windows Server 2016

Windows Server 2016 wird es in drei Versionen geben:

  • Datacenter (unlimitierte Virtualisierung und neue Features wie Shielded Virtual Machines, Software-defined Storage (SDS) und Software-defined Networking (SDN))
  • Standard (universelles Server-Betriebssystem mit limitierter Virtualisierung)
  • Essentials (für kleinere Unternehmen mit bis zu 25 Usern und bis zu 50 Geräten)

Nachfolgend die wichtigsten Unterschiede zwischen der Datacenter- und Standard-Edition:

FeatureDatacenter EditionStandard Edition
Core functionality of Windows Serveryesyes
OSEs / Hyper-V ContainersUnlimited2
Windows Server containersUnlimitedUnlimited
Host Guardian Serviceyesyes
Nano Server*yesyes
Storage features including Storage Spaces Direct and Storage Replicayesno
Shielded Virtual Machinesyesno
Networking stackyesno
Core-based pricing**6.155 US-Dollar882 US-Dollar

* Software Assurance is required to deploy and operate Nano Server in production.
** Pricing for Open (NL) ERP license for 16 core licenses. Actual customer prices may vary.

Eine detaillierte Übersicht aller neuen Features in Windows Server 2016 stellt Microsoft als PDF-Datei bereit.

Bei der Lizenzierung geht Microsoft neue Wege und stellt auf ein Core-basiertes Lizenzmodell um:

Auch hier stellt Microsoft weitere Informationen in einer PDF-Datei bereit.

Kategorien: Windows Windows 10

mRemoteNG wird weiterentwickelt, neue Version veröffentlicht

mRemoteNG Logo

Zum Management von Remoteverbindungen habe ich bis vor ca. einem Jahr auf die Software mRemoteNG vertraut. Zu diesem Zeitpunkt war die Weiterentwicklung bereits seit rund zwei Jahren eingestellt. Unter Windows 8.1 hatte ich mit mRemoteNG einige Probleme, weshalb ich mich nach einer Alternative umgeschaut habe und letztendlich bei Royal TS gelandet bin.

Heute habe ich zufällig gesehen, dass mRemoteNG Ende Juni 2016 eine neue finale Version (1.74) erhalten hat. Dem Projekt wurde wieder Leben eingehaucht und ein neues Entwicklerteam, geführt von David Sparer, kümmert sich um die Weiterentwicklung. Mittlerweile wird bereits fest an Version 1.75 gearbeitet. Die Entwicklung erfolgt bei Github, wo sich auch das ausführliche Changelog zu Version 1.74 einsehen lässt.

Ich persönlich bleibe vorerst bei Royal TS, da mir die Software richtig gut gefällt und tolle Features zu bieten hat. Dennoch werde ich die Entwicklung von mRemoteNG weiter im Auge behalten.

Download mRemoteNG

Alle Neuerungen von Firefox 49

Firefox Logo 23+

Mit einer Woche Verspätung wurde gestern Abend Firefox 49 veröffentlicht. Auf Firefox 50 soll die Verspätung keine Auswirkungen haben, denn die letzte stabile Version in diesem Jahr soll wie geplant am 8. November 2016 erscheinen. Version 49 bringt nur kleinere Änderungen mit sich.

  • Die WebRTC-Anwendung Firefox Hello wurde entfernt
  • Login-Manager kann nun Login-Daten von HTTP-Seiten auch unter HTTPS nutzen (umgekehrter Weg nicht möglich)
  • Im Lesemodus können jetzt sowohl Textbreite als auch Zeilenabstand angepasst werden
  • Unterstützung für die Sprachsynthese der Webspeech-API, kann z.B. zum Vorlesen von Texten im Lesemodus genutzt werden
  • Nutzerkreis für die Multiprozess-Architektur Electrolysis (e10s) deutlich erweitert (Nutzer mit Add-ons auf WebExtension-Basis)
  • Videowiedergabe bei Systemen ohne  Hardwarebeschleunigung verbessert (es wird jetzt SSSE3 verwendet)
  • Linux-User können Netflix und Amazon Video ohne Silverlight nutzen
  • Experimentelle Unterstützung für TLS 1.3 (standardmäßig noch deaktiviert, kann über “about:config” und den Schalter “security.tls.version.max” und den Wert “4” aktiviert werden)
  • Behebung diverser Sicherheitslücken

Download Firefox 49
Download Firefox 49 (64 Bit)
Portable Firefox @ Horst Scheuer

Infos zum Microsoft-Patchday September 2016

Microsoft Logo

Morgen (zweiter Dienstag im Monat) steht der September-Patchday von Microsoft an. Der Softwareriese veröffentlicht 14 Security-Bulletins, von denen sieben als „kritisch“ und sieben als „hoch“ eingestuft werden.

Nachfolgend ein grober Überblick über die erscheinenden Bulletins und die betroffenen Produkte. Weitere Details stellt Microsoft wie immer im Security TechCenter zur Verfügung. Üblicherweise funktioniert der Link erst ab Diens­tag­abend deutscher Zeit.

Bulletin ID Bulletin TitleMaximum Severity Rating and Vulnerability ImpactRestart RequirementAffected Software
MS16-104Kumulatives Sicherheitsupdate für Internet Explorer (3183038)Critical
Remote Code Execution
Requires restart Internet Explorer on all supported releases of Microsoft Windows.
MS16-105Kumulatives Sicherheitsupdate für Microsoft Edge (3183043)Critical
Remote Code Execution
Requires restartMicrosoft Edge on all supported releases of Windows 10.
MS16-106Sicherheitsupdate für Microsoft-Grafikkomponente (3185848)Critical
Remote Code Execution
Requires restartAll supported releases of Microsoft Windows.
MS16-107Sicherheitsupdate für Microsoft Office (3185852)Critical
Remote Code Execution
May require restartMicrosoft Office 2007, Office 2010, Office 2013, Office 2013 RT, Office 2016, Office for Mac 2011, Office 2016 for Mac, Office Compatibility Pack, Excel Viewer, PowerPoint Viewer, Word Viewer, SharePoint Server 2007, SharePoint Server 2010, SharePoint Server 2013, Office Web Apps 2010, Office Web Apps 2013, and Office Online Server.
MS16-108Sicherheitsupdate für Microsoft Exchange Server (3185883)Critical
Remote Code Execution
May require restart Microsoft Exchange Server 2007, Exchange Server 2010, Exchange Server 2013, and Exchange Server 2016.
MS16-109Sicherheitsupdate für Silverlight (3182373)Important
Remote Code Execution
Does not require restart Microsoft Silverlight 5 and Silverlight 5 Developer Runtime.
MS16-110Sicherheitsupdate für Windows (3178467)Important
Remote Code Execution
Requires restart All supported releases of Microsoft Windows, excluding Itanium servers.
MS16-111Sicherheitsupdate für Windows Kernel (3186973)Important
Elevation of Privilege
Requires restart All supported releases of Microsoft Windows.
MS16-112Sicherheitsupdate für Windows-Sperrbildschirm (3178469)Important
Elevation of Privilege
Requires restart Microsoft Windows 8.1, Windows RT 8.1, Windows Server 2012 R2, and Windows 10.
MS16-113Sicherheitsupdate für den sicheren Windows-Kernelmodus (3185876)Important
Information Disclosure
Requires restart Microsoft Windows 10 and Windows 10 Version 1511.
MS16-114Sicherheitsupdate für SMBv1-Server (3185879)Important
Remote Code Execution
Requires restart All supported releases of Microsoft Windows.
MS16-115Sicherheitsupdate für Microsoft Windows-PDF-Bibliothek (3188733)Important
Information Disclosure
May require restart Microsoft Windows 8.1, Windows Server 2012, Windows RT 8.1, Windows Server 2012 R2, and Windows 10.
MS16-116Sicherheitsupdate in OLE-Automatisierung für VBScript-Skriptmodul (3188724)Critical
Remote Code Execution
Requires restart All supported releases of Microsoft Windows.
MS16-117Sicherheitsupdate für Adobe Flash Player (3188128)Critical
Remote Code Execution
Requires restart Adobe Flash Player on all supported editions of Microsoft Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, and Windows 10.

Kategorien: Windows

EU-Kommission plant verschärftes Leistungsschutzrecht

EU Flagge

Achja das Leistungsschutzrecht, fast hätte ich es schon wieder vergessen. Meine einzigen beiden Artikel über das Thema habe ich bereits im Jahr 2012 veröffentlicht, als es noch ein Gesetzentwurf war. Anschließend wurde es am 7. März 2013 mit Wirkung zum 1. August 2013 verabschiedet. Drei Jahre später kann man ohne jeden Zweifel konstatieren, dass es grandios floppte. Was war passiert?

Das ursprüngliche Ziel des sogenannten Leistungsschutzrechts war es, die Werke von Verlagen und Autoren im Internet zu schützen. Konkret bedeutet dies, dass die Verlage Gebühren erhalten sollen, wenn kommerzielle Internetdienste Inhalte der Verlage verwenden oder auf diese verweisen. Kleinste Textauszüge (Snippets) sollen allerdings nicht darunter fallen. Nach langen Diskussionen wurde außerdem klargestellt, dass sich das Leistungsschutzrecht primär gegen Suchmaschinen und automatisierte Nachrichtenportale richten soll. Soziale Netzwerke oder gewerbliche Blogger sollen nicht davon betroffen sein.

Google ging darauf verständlicherweise nicht ein und verweigerte die Zahlung von Gebühren. Stattdessen ging Google in die Offensive und stellte die Verlage vor die Wahl: Entweder willigen die Verlage einer kostenlosen Nutzung durch Google ein, oder sie werden einfach nicht mehr bei Google gelistet. Daraufhin kam es zu einem Rechtsstreicht, der aber zugunsten von Google entschieden wurde. Mittlerweile gingen die Verlage, allem voran Axel Springer, in Berufung und der Streit setzt sich in nächster Instanz fort.

Neues Leistungsschutzrecht auf EU-Ebene

Unterdessen plant die EU im Zuge der Urheberrechtsreform ein europaweites Leistungsschutzrecht. Nach ersten Informationen soll die EU-Richtlinie gegenüber der deutschen Variante, in der “kleinste Textauszüge” ausgenommen werden, noch restriktiver ausfallen. Demnach sollen auch einzelne Zitate oder kreative Überschriften geschützt werden. Des Weiteren sollen die Verlage für 20 Jahre das exklusive Nutzungsrecht auf die kommerzielle Verwertung bekommen – in Deutschland ist aktuell nur ein Jahr vorgesehen. Ebenso fällt auf, dass sich der Entwurf nicht nur an “gewerbliche Anbieter von Suchmaschinen” oder “gewerbliche Anbieter von Diensten, die Inhalte entsprechend aufbereiten” richtet, sondern alle kommerziellen Angebote davon betroffen sind. Lediglich für private Nutzer soll sich laut Oettinger nichts ändern.

Interessant ist die Frage, warum dieses Leistungsschutzrecht erfolgreicher sein sollte? Wie oben beschrieben ist es in Deutschland gescheitert und auch in Spanien sah es nicht anders aus. Dort wurde Google News kurzerhand komplett geschlossen. Selbst EU-Abgeordnete sind skeptisch und sehen keinen Erfolg des Leistungsschutzrechts. Die Abgeordnete Julia Rada sprach von einem “Wahnsinn”.

Ich bin gespannt, wie sich das Thema weiter entwickelt. Vor einer Verabschiedung müssten dem Entwurf der EU-Kommission schließlich auch noch das EU-Parlament und die Mitgliedstaaten zustimmen.

Kategorien: Internet Sonstiges