Kategorie: Security

While investigating the security of a website, I noticed a way to inject HTML via query strings. Unfortunately, all quotation marks have been removed from my JavaScript code. For this reason it was not possible for me to inject meaningful code into the page. Strings are important, for example to select DOM elements, listen to…

By now, most people have understood that they shouldn’t just click on every link anymore. Malware of any kind could hide behind it. But most social media platforms and chat providers offer a very elegant way to present trustworthy looking links: the link preview cards. These represent a preview of the link target by already…

Du solltest niemals eine Datenbank offen zugänglich im Internet lassen. Auch nicht kurz. Auch nicht eine Testdatenbank. Auch nicht auf einem anderen Port. Niemals! Warum das so ist zeige ich dir mit einem kleinen Experiment. «Ungesichert» bedeutet, dass die Datenbank erstens über einen Port von außen erreichbar ist und zweitens dass diese über keine Zugangs-Credentials…

Vor einer Weile erhielt ich eine Mail von einem deutschen Unternehmen, welches mich zur Zahlung bzw. Nachlizensierung von einem Bild auf meiner Website aufforderte. Gefunden wurde das Bild mit Hilfe einer Bildsuchmaschine. Zwar konnte ich nachweisen, dass ich das Bild rechtmäßig verwendet habe und die Forderung so abwenden aber diese Geschichte spare ich mir für…

Backups sind wichtig. Noch wichtiger sind verschlüsselte Backups. Was aber, wenn sich in der Software oder Library, die du zum verschlüsseln verwendest ein Fehler einschleicht? Angenommen du erstellst verschlüsselte Zip-Archive und nach einem Update ändern sich plötzlich Parameter? Oder du migrierst irgendwelche Abhängigkeiten und übersiehst, dass die Verschlüsselung nun nicht mehr funktioniert. Wie könntest du…

Stell dir vor alle deine Geräte sind weg. Was nun? Wie kommst du an deine Daten? Wie wirst du wieder produktiv? Als es im Jahr 2018 zahlreiche Durchsuchungen im Chaos-Umfeld, besonders bei den Zwiebelfreunden gab, habe ich mir erstmals Gedanken über geeignete Bootstrapping-Techniken gemacht. Also was passiert, wenn Beispielsweise die Polizei alle deine Geräte beschlagnahmt?…

Achtung! Dauerwerbesendung! In diesem Artikel gibt es einige Verlinkungen zu externen Shops. Zwischen den Betreiber:innen und mir gibt es keine Absprachen oder sonstige Übereinkünfte. Hat dir die Polizei schon wieder dein Telefon weggenommen? In letzter Zeit häufen sich Meldungen wonach Polizeieinheiten am Rande von Demonstrationen Telefone beschlagnahmen, weil darauf gespeicherte Bilder und Videos Polizeigewalt dokumentieren.…

Beherzigst du die grundlegenden Regeln des One-Time-Pad erhälst du eine simple Verschlüsselung, die nachweislich nicht gebrochen werden kann: Trotzdem: Das One-Time-Pad ist und bleibt einfach unpraktikabel. Das musste auch ich bei meinen Experimenten damit feststellen. Meine Versuche den Algorithmus in irgendeiner Weise alltagstauglich zu bekommen sind kläglich gescheitert. Alltagsexperimente So habe ich zum Beispiel versucht…

Websites und Webanwendungen wie WordPress und Typo3 sind ständig Angriffen ausgesetzt. Dabei versuchen Angreifer zunächst das System von außen zu erforschen und mit Hilfe von Sicherheitslücken Schritt für Schritt ihre Privilegien auf einer Website oder einem Server auszubauen. Das folgende Szenario beschreibt den Angriff auf eine WordPress-Website, der so tatsächlich bei einem neuen Kunden von…