it republik - DotNet

Der dritte Tag der MIX10 stand noch voll und ganz im Zeichen der Vortagesparty. Viele Leute haben die Attendee Party, welche im LAX Nightclub statt fand, sehr intensiv gefeiert. Einige Community-Mitglieder haben hierbei sogar die Nacht zum Tag gemacht und bis um 4 Uhr morgens gefeiert. Die Attendee Party war sehr …

Die MIX ist beendet und mit ihr eine Flut an Neuerungen. Ob Windows Phone 7, Internet Explorer 9, Silverlight 4 oder Microsofts Unterstützung für die jQuery Java Script Library – in den letzten Tagen hat Microsoft der IT-Welt mit eine Reihe von Ankündigungen oder Neuerungen präsentiert. …

Die Keynote des zweiten Tages auf der MIX drehte sich vor allem um den Internet Explorer 9. Hierfür hat Dean Hachimovich, General Manager des Internet Explorer Teams, die Möglichkeiten, die der neue Internet Explorer bietet, vorgestellt. Die wichtigsten Neuerungen sind der HTML5 Support, offene Standards und Performance. Die Performance hat sich mit …

Internet Explorer 9 verspricht HTML 5 und CSS 3 Microsoft stellt eine erste Tech-Preview seines kommenden Internet Explorer 9 vor, der die Vorherrschaft des Internet Explorer 6 das Ende des IE6 garantieren, aber mit CSS-3-Support und Unterstützung für HTML 5 den Umstieg doch etwas schmackhafter machen. Wer Windows 7 (x86 oder x64) …

Der erste Tag auf der Mix 2010 in Las Vegas hat für mich bereits am Sonntagabend begonnen. Nachdem das Flugzeug aufgrund von Unwettern zwei Stunden Verspätung hatte, bin ich erst später in Las Vegas eingetroffen. Nach dem Check-In habe ich zuerst die Umgebung erkundet und den Pool besucht. Gleich danach ging …

Erfolgreiche Zusammenarbeit in einem Team bedeutet, dass die Energie so auf eine gemeinsame Vision gerichtet ist, dass der Weg sich mühelos ergibt. Dafür ist ein hohes Maß an Teamsynergie erforderlich, dass mit technischen Mitteln unterstützt werden kann. Moderne Collaboration-Plattformen können, unabhängig von der Art der Projekte, Ziele, Prioritäten, Anforderungen, Dokumentationen und …

Wann haben Sie das letzte Mal "from scratch" losprogrammiert? Wann hatten Sie das letzte Mal die Möglichkeit, mit der Programmiersprache Ihrer Wahl einfach nur drauf los zu schreiben? Das hat sich auch Mike Taylor gefragt, Programmierer bei Index Data in Gloucestershire, England. Seiner Meinung nach sind Programmierer heutzutage dem Copy/Paste-Wahn verfallen …

Was wäre, wenn Daten sich nie ändern würden? Die Welt wäre statisch und vielleicht langweilig, aber Programmierern würde viel unangenehme Arbeit erspart. Oder ist es vielleicht möglich, Daten trotzdem als unveränderbar zu betrachten? …

Thorsten Kansy stellt das Buch "Datenbanken entwickeln mit SQL Server 2008 Express Edition" von Robert Panther vor. …

Nachdem unser Geek nun die Untiefen der Zeugnissprache kennen gelernt und diese nun problemlos auch ohne einen Babelfisch versteht, ist es an der Zeit, seine offensichtliche Abscheu gegenüber einer für die meisten extrem nützlichen aber für ihn meist sehr lästigen Erfindung vom Office-Planeten zu untersuchen: der Bürobeleuchtung. …

Folgt man der medialen Berichterstattung, könnte man glauben, die CeBIT sei immer noch ein wichtiger Termin für die IT-Branche. Auch lassen die Fernsehbilder von Staats- und Regierungschefs, die alljährlich die Hannoveraner Computermesse eröffnen, das Publikum glauben, es handele sich um ein Ereignis von wahrem Weltrang. Wohl nur die Frankfurter Buchmesse und …

Wir stehen an der Schwelle einer neuen Ära: der Ära der "Sozialen Innovation" des Business! Mit dieser pointierten These beginnt Nigel Fenwick, Analyst bei Forrester, seinen jüngsten Blogeintrag "The New Era Of Social Innovation", in dem er erläutert, warum soziale Innovationsnetzwerke in Zukunft entscheidend für den Erfolg oder Misserfolg eines Produkts/Projekts sein …

In der heutigen Zeit scheint es schier unmöglich geworden zu sein, ihnen zu entkommen. Dabei ist es nicht entscheidend, ob die neuesten Nachrichten und E-Mails abgerufen werden, man sich mit FreundInnen in virtuellen Gruppen unterhält, interaktiv an TV-Sendungen teilnehmen möchte oder einfach nur im Internet umhersurft. Sie haben unsere Gesellschaft und …

Mit einem Blick auf die Neuerungen und Veränderungen, die auf .NET-Entwickler im Jahr 2010 warten hat Peter Monadjemi, gemeinsam mit seinen Kollegen Dr. Holger Schwichtenberg, Neno Loje und Jörg Neumann die Hauptkonferenztage der BASTA! Spring 2010 eröffnet. Gemeinsam wagten sie einen Blick in die Zukunft und sprachen über die Möglichkeiten der …

Heute startet die BASTA! Spring 2010 in Darmstadt im Maritim Rhein-Main Hotel unter dem Motto Best of Best Practices. Bevor es morgen so richtig los geht haben die Teilnehmer heute die Chance am Architecture/ALM Day und den Powerworkshops zu den Themen F#, C#, TFS 2010, Silverlight 3 und Agilität teilzunehmen. Morgen um …

Parallele Programmierung wird nicht nur für die .NET-Entwickler in Zukunft immer wichtiger werden, sondern allgemein an Bedeutung gewinnen. Steigerte man bisher die Leistungsfähigkeit von Anwendungen vor allem durch den Einsatz einer neuen Prozessorgeneration, so wird dies heute durch den gleichzeitigen Einsatz mehrerer CPU-Kerne gelöst. Grund genug, das Thema auf der BASTA! …

In nur wenigen Tagen startet die BASTA! Spring 2010 in Darmstadt mit vielen spannenden Sessions und Special Days. Natürlich wird es auch diesmal wieder viele Vorträge zum Thema Silverlight geben, denn: Silverlight 4 steht als Beta bereits in den Startlöchern – der Release wird nächsten Monat, im März, erwartet. Damit Sie …

Wer kennt nicht folgendes Szenario: Zur Optimierung von Unternehmensprozessen werden externe Consultants ins Unternehmen geholt, die die existierenden Unternehmensstrukturen und Workflows analysieren und Maßnahmen zu deren Verbesserung vorschlagen. Die Maßnahmen werden kurzfristig umgesetzt, bis man wieder an neue Grenzen stößt - oder, was vielleicht noch häufiger anzutreffen ist, bis jeder doch …

In dieser Folge von BASTA! TV spricht Peter Lindsey, Managing Director bei Infragistics, mit dem dot.NET-Redakteur Mirko Schrempp über die Anforderungen an moderne grafische Benutzeroberflächen. Gerade das Web liefert uns viele bunte Oberflächen, aber auch in Unternehmen werden sie immer wichtiger. Dabei gilt es allerdings das Verhältnis von "nice to haves" und …

Bei der Abwehr von DoS-Angriffen muss man in drei Schritten vorgehen: Erstens muss man Maßnahmen ergreifen, um einen Angriff zu verhindern oder abzuschwächen, zweitens muss man feststellen können, wenn ein Angriff erfolgt, und drittens muss man Maßnahmen vorbereiten, die im Falle eines Angriffs ergriffen werden können, um ihn zu beenden oder abzuschwächen. Angriffe vorab verhindern oder abschwächen DoS-Angriffe …

Das intellektuelle Eigentum von Entwicklern hat mehr mit dem von Künstlern als mit dem von Pharmazeuten gemein. Zu dieser Erkenntnis könnten Entwickler nun durch eine Änderung des Patent-Rechts in den USA gelangen, die in dem Artikel "Patent Nonsense" in The Economist diskutiert wird. …

Ende März 2010 sollen sie erscheinen: Visual Studio 2010, .NET Framework 4.0 und damit auch verbesserte Versionen der Sprachen C# und VB.NET. Das bedeutet, dass es Zeit ist, einen Blick auf die neuen VB.NET-Features zu werfen. …

Standardfunktionen helfen Ihnen, bei der Entwicklung Zeit zu sparen. In objektorientierten Sprachen steht oft die Wiederverwendung von Klassen eher im Vordergrund als die von Funktionen. Die Funktionen FoldX und einige andere Hilfsfunktionen sind allerdings eine wichtige Basis für Algorithmen, die Sie unbedingt nutzen sollten. …

Diese Woche geht es im Standpunkt Sicherheit um die cookie-lose Identifikation der Browser von Politikern, die Geschäfte mit Terroristen machen, die nicht kriminell sind, und dabei analoge Videokameras anzapfen - oder so ähnlich. Mein Browser ist einmalig? Die Electronic Frontier Foundation (EFF) stellt mit Panopticlick eine Website bereit, die zeigen soll, wie eindeutig ein Webbrowser auch ohne …

In erster Linie schreibt er guten Code – könnte man meinen. Doch ist es tatsächlich so einfach oder muss ein guter Entwickler nicht mehr als das beherrschen? Diese Frage hat sich Entwickler Navid Azimi gestellt und auf seinem "A witty Title for a witty Blog" für sich beantwortet. Wie löst man eine …

Ab heute, 28. Januar 2010, ist die neue Ausgabe des SharePoint Magazins an den Kiosken erhältlich. Die aktuelle Ausgabe beschäftigt sich schwerpunktmäßig mit den Neuerungen, die auf Entwickler, Administratoren und IT-Leiter mit der neuen Version im Jahr 2010 zukommen werden. Welche neuen Features bietet SharePoint und der SharePoint Designer 2010? Welche neuen Funktionen …

Wer mit .NET zu tun hat, wird im Verlauf seines beruflichen Lebens sicherlich schon auf sie gestoßen sein: die ALT.NET-Bewegung. Doch obwohl vor einigen Jahren noch relativ rege über diese Gruppe berichtet wurde, sind Neuigkeiten aus dieser Szene mittlerweile rar geworden. Doch woran liegt das? Ian Cooper von CodeBetter.com hat das …

Das Jahr 2010 hat begonnen und was Steve Ballmer sich davon verspricht, hatten wir bereits vorgestellt . Zeit, nun auch einen Blick darauf zu werfen, was sich die Community von diesem Jahr verspricht, oder genauer: was die Community von Microsoft für 2010 erwartet. Wir haben zwei Stimmen für Sie rausgesucht. …

Dass Maus und Tastatur Jahrzehnte alte Konzepte sind, die einer dringenden Überholung bedürfen, ist kein Geheimnis. Neu dürfte aber manchen sein, dass diese Technologien schon bald vollständig verschwunden sein sollen – zumindest Steve Ballmers Prognose nach. Wie dieser nämlich in einer Kolumne schreibt, sei aus seiner Sicht der große Technologie-Trend im …

Dieser XML-Report steht ganz im Zeichen Microsofts. Da wäre zunächst die gute Nachricht: Microsoft wird sich ab sofort an der Entwicklung von SVG beteiligen, was wiederum auf eine baldige feste Integration von SVG in den Internet Explorer hoffen lässt. In Sachen Word-Verkaufsverbot ist hingegen immer noch kein Ende des Streits abzusehen. Während Microsoft seinen OEM-Partnern bereits einen …

Alle .NET-Programme bestehen letztlich aus Funktionen. Diese mögen in Klassen angeordnet sein, in Modulen oder Namespaces und sie kommen in Varianten mit und ohne Namen daher. Natürlich gibt es eine scheinbar unendlich große Zahl von Syntaxvarianten. Hier werden die aktuellen Möglichkeiten zusammengefasst. …

Wer geschäftlich viel unterwegs ist, weiß, dass Geschäftsreisen in den seltensten Fällen stressfrei verlaufen. Neben Problemen, die durch unvorhersehbare Zwischenfälle entstehen, ist auch der Druck sehr hoch, denn: Business-Reisen kosten Zeit und Geld und momentan sparen die Firmen, wo es nur geht. Zum Glück gibt es aber zahlreiche Kniffe und Tricks, …

Die Zeiten, in denen wir IT-ler uns in die Technik versenken und "das Business" uns egal sein konnte, sind vorbei. Spätestens seit "IT doesn‘t matter" von Nicholas Carr müssen wir jede Geldeinheit, die wir kosten, mehr als einmal rechtfertigen und die wertschöpfende Komponente der IT kennen. Falls wir das nicht können, …

ASP.NET MVC bietet auf einfache Weise schöne URLs für das ASP.NET Framework. Statt Dateien werden jetzt Methoden in der Controller-Klasse adressiert und die URLs werden leserlich. Als letzter Wunsch bleiben dann noch mehrsprachige URLs für anderssprachige Besucher und zur Suchmaschinen-Optimierung. …

Tagtäglich werden wir vor wichtige und weniger wichtige Entscheidungen gestellt. Ob eine Entscheidung richtig oder falsch war, merken wir manchmal erst zu spät. Im beruflichen Alltag kann das jedoch fatal für die Karriere sein. Manchmal tut man sich schwer, überhaupt eine Entscheidung zu treffen. Auf die Entscheidung eines anderen warten zu …

Im Februar ist es wieder soweit: die BASTA! Spring öffnet in Darmstadt ihre Pforten. Wie üblich wird es auch 2010 wieder diverse Special Days und Sessions geben. Mit Peter Monadjemi, dem Trackhost der Visual Basic Days auf der BASTA! haben wir schon einmal vorab gesprochen. dotnet.de: Herr Monadjemi, Sie werden einen Power-Workshop …

Im ersten Teil des Artikels haben wir uns mit dem so genannten Kabinettdateiformat beschäftigt. Dabei haben wir uns auch damit befasst, wie man CAB-Dateien komfortabel mit Visual Studio 2005/2008 erstellt. Dies wird nun im zweiten Teil des Artikels vertieft. …

PC-Anwender leiden täglich unter der gigantischen Vielfalt an so genannten Setup-Tools. Jedes Programm verwendet seine eigene Setup-Routine, die mit anderen inkompatibel ist. Manchmal muss sich der User nur mit seltsamen Termini herumschlagen – zeitweise scheitert die Installation aber schlicht und einfach ganz. Und das meist aus nicht nachvollziehbaren Gründen. …

Jeder Softwareentwickler kennt die Situation: Eine Softwarekomponente befindet sich in einem instabilen Zustand und umfangreiche Änderungen müssten dringend in Angriff genommen werden, die entweder ein Reengineering oder sogar ein Rewriting erforderlich machen. Die Prioritätenliste des Projektleiters oder Auftraggebers sieht jedoch etwas ganz Anderes vor, und so befindet man sich in einem …

Die BASTA! Spring 2010, die vom 22. bis 26. Februar 2010 in Darmstadt stattfindet, rückt mit großen Schritten näher. Dies ist einerseits daran zu erkennen, dass das Programm der Konferenz bereits fast vollständig fest steht. Der Zeitplaner der Konferenz, in dem alle Sessions festgelegt sind, ist seit gestern auf der Webseite …

Wissen Sie eigentlich warum die BASTA! so heißt? Wer bereits seit den Anfangstagen dabei ist, wird sich erinnern, dass die BASTA! ursprünglich als "Visual Basic Tage" begonnen hatte. Doch auch wenn es bereits über ein Jahrzehnt her ist: Visual Basic (VB) spielt noch heute eine entscheidende Rolle und wird auch im …

C# 4.0 steht bereits in den Startlöchern und die gesamte Community wartet gespannt auf die Veröffentlichtung. Sie hat allen Grund dazu. Auch mit der neuen Version wird es wieder verschiedene Neuerungen geben, von denen die Erweiterung in Richtung dynamischer Sprachen und das Schlagwort "dynamic" nur die wichtigsten sind. Wie diese Neuerungen …

In 2 Monaten ist es wieder soweit: In Darmstadt startet die BASTA! Spring 2010 im Maritim Rhein-Main Hotel. Auch in diesem Jahr wird es viele interessante Special Days und Sessions geben. Zum Thema Agile bietet die Konferenz in diesem Jahr erstmalig zwei Halbtagsworkshops an. Wir sprachen mit dem Organisator der Workshops, …

C# verfügt über eine große Fangemeinde und hat sich mittlerweile zu einem der wichtigsten Programmiersprachen für das .NET Framework entwickelt. Kein Wunder, werden doch mit jedem Release auch spannende neue Komponenten veröffentlicht. Deshalb ist es nicht verwunderlich, dass auf der BASTA! im Frühjahr 2010 zum nunmehr fünften Mal die C#- Days …

JavaScript-Bibliotheken lassen sich auch für den direkten Zugriff auf Web Services im SharePoint-Server unter Verwendung von Standard-Web-Parts nutzen. In diesem Artikel wird eine frei verfügbare JavaScript-Bibliothek vorgestellt, die ohne zusätzliche Installationen auf dem Server genutzt werden kann. …

Am Dezember-Patchday hat Microsoft wie angekündigt 3 als kritisch und 3 als wichtig eingestufte Security Bulletins veröffentlicht, mit denen insgesamt 12 Schwachstellen behoben werden, darunter die Ende November veröffentlichte 0-Day-Schwachstelle im Internet Explorer. Von den restlichen 11 Schwachstellen war nur eine weitere vor der Veröffentlichung der Security Bulletins öffentlich bekannt, alle anderen wurden …

Mit der XML Paper Specification (XPS) entsteht eine Konkurrenz zu PDF. Der Grundgedanke ist einfach: Alles, was durch WPF (Windows Presentation Foundation) mithilfe von XAML auf dem Bildschirm dargestellt werden kann, soll in ein elektronisches Papierformat umgesetzt, gespeichert, versendet und gedruckt werden können. …

"Ich bin ein PC, und Windows 7 war meine Idee" heißt der Slogan von Microsofts Windows 7-Werbekampagne, die im deutschen Fernsehen zu sehen ist. In den Spots wird dargestellt, dass bei der Entwicklung des Betriebssystems die Ideen normaler Anwender berücksichtigt wurden. Doch was hat das Ganze mit Silverlight 4 zu tun? …

Unternehmen streben bei der Initiierung und Durchführung von Projekten nicht nur kurze Laufzeiten zur Erzielung der Ergebnisse an, sondern wünschen sich auch ein Höchstmaß an Flexibilität, um schnell auf neue technische Anforderungen, Marktbedingungen oder Kundenwünsche reagieren zu können. Änderungsfreundliche und anpassungsfähige Projektmanagement-Ansätze nehmen deshalb in vielen Schlüsselbranchen einen wachsenden Stellenwert ein. …

Im ersten Teil unseres Artikels haben wir uns damit beschäftigt, was Lucene ist, welche Vorteile es gegenüber einer relationalen Datenbank (RDBMS) bietet und welches Konzept dahinter steht. Damit sind der Worte genug gewechselt - lasst uns nun zu Taten schreiten! Wir beginnen mit dem Thema "Indexieren". …

In der IT-Branche herrscht eine besonders hohe psychische Gesundheitsbelastung vor, die zu einer zunehmenden Anzahl von Burnout-Syndromen, Depressionen, Panikattacken bis hin zu Suiziden geführt hat. Zu diesem Ergebnis kommt eine Studie des Forschungsprojekts DIWA-IT vom Münchner Institut für Sozialwissenschaftliche Forschung (ISF). Demnach seien hochqualifizierte Angestellte in IT-Unternehmen einem System permanenter Bewährung …

Im Datendschungel der Netze sind Suchmaschinen wie Google oder Yahoo unverzichtbar. Trotzdem ist der Einsatz von Suchmaschinen in Unternehmensanwendungen – sei es ERP-, CRM- oder Branchensoftware – nach wie vor keine Selbstverständlichkeit. Dabei verspielen solche Anwendungen jede Menge an Potenzial in Sachen "Usability", Informationsqualität und Zeitersparnis. Eine Abhilfe verschafft die quelloffene …

Das Buch "Datenqualität erfolgreich steuern" des vierköpfigen Autorengespannes Apel, Behme, Eberlein und Merighi kommt als gebundene Ausgabe mit handlichen rund. 280 Seiten daher. Es besitzt eine klare Dreiteilung: theoretische Grundlagen, technische Umsetzung und Projektbeispiele. Die theoretischen Grundlagen im ersten Teil umfassen Erläuterungen darüber, was man unter Datenqualität versteht, wie sie erreicht …

Die Professional Developer Conference 2009 ist beendet – und es hagelte nur so Neuigkeiten. Nicht genug damit, dass Microsoft zahlreiche Produkt-Updates veröffentlichte, auch überraschte der Redmonder Riese mit der Open-Source-Lizenzierung eines Teil des .NET-Frameworks. Und bei dieser Überraschung blieb es nicht. Auch der brandneue Internet Explorers 9 wurde vorgestellt, und das, …

Softwarearchitektur ist die Brücke zwischen den Zielen der Auftraggeber und der fertigen Software. Die getroffenen Strukturentscheidungen sind von großer Tragweite, erfordern ein hohes Maß an Erfahrung und müssen darüber hinaus zum richtigen Zeitpunkt und unter den richtigen Voraussetzungen getroffen werden. Trotz dieser Bedeutung ist Architektur zu oft das Werk von Einzelnen …

Die PDC 2009 ist beendet – und eine Flut an wichtigen Microsoft-Releases ist über uns hinweggegangen. Damit Sie den Überblick über alle wegweisenden Neuigkeiten nicht verlieren, haben wir für Sie die fünf wichtigsten Updates, Releases und Ankündigungen der PDC 2009 zusammen gefasst. Unser Best-Of startet wolkig, mit Azure, Microsofts Cloud-Dienst. …

Der Vorhang öffnet sich! Auf der weltweiten Partnerkonferenz am 13. Juli 2009 in New Orleans hat Microsoft erste Einblicke in die neue Version von SharePoint gegeben. Daneben hat der Softwareriese aus Redmond nahezu zeitgleich auf seiner Firmenwebseite erstmals öffentlich über Details von SharePoint 2010, so lautet der neue Produktname, gesprochen und …

SQL Server kennt eine Hand voll Funktionen, mit denen Zeilennummer erzeugt, Ergebnismengen in (halbwegs) gleichgroße Teile aufgeteilt und viele andere interessante Dinge angestellt werden können: die Rangfolgefunktionen. Man könnte nun vermuten, dass die Anwendung dieser Funktionen genauso sperrig ist wie der Name. Wie der folgende Artikel zeigt, ist diese Annahme allerdings …

Im ersten Teil des Artikels haben wir uns die Best Practices für Human Centric Workflows angeschaut. In diesem zweiten Teil vertiefen wir das Thema und beschäftigen uns mit einzelnen Praktiken wie etwa die Parallelaktion zum Überprüfen mehrerer Zustände, Sicherheit und Rechteverwaltung, Modellieren und andere. …

Zum ersten Mal fand die TechEd Europe in diesem Jahr in Deutschland – genauer gesagt auf dem Berliner Messegelände – statt. Somit war Microsofts europäische Technologiekonferenz für die deutschen Teilnehmer deutlich leichter zu erreichen als noch im letzten Jahr in Barcelona. …

Google hat am Donnerstag nach Mountain View geladen und Chrome OS vorgestellt. Fertig ist das Betriebssystem noch nicht, Developern aber steht der Quellcode zur Verfügung. Denn "there is still a lot of work to do, and we're excited to work with the open source community. We have benefited hugely from projects …

Die PDC ist immer gut für Überraschungen. Das hat Microsoft erst kürzlich wieder bewiesen, als der Konzern im Rahmen der Konferenz bekannt gab, dass es einen Teil seines .NET Frameworks - nämlich das .Net Micro Framework - nun unter eine Open Source-Lizenz stellt. Dabei haben sich die Redmonder sogar für die …

Außer den in About Security #230 beschriebenen Implementierungsfehlern in mehrstufigen Authentifizierungssystemen gibt es weitere. Falsche Frage Um einmal z.B. über Phishing ausgespähte Zugangsdaten für den Angreifer wertlos zu machen, erfordern manche mehrstufigen Authentifizierungssysteme nach der Eingabe von Benutzername und Passwort z.B. die Beantwortung einer von mehreren geheimen Fragen oder die Eingabe bestimmter Zeichen …

Betrachtet man das Thema "Workflows", so erkennt man schnell die großen Unterschiede in der Abarbeitung der Prozesse in reinen Maschine-zu-Maschine-Umgebungen (Machine Centric) und Umgebungen, in denen eine Interaktion mit dem Anwender den Großteil der Aufgabe ausmacht (Human Centric). Eine Maschine antwortet meist zuverlässig und mit minimaler Verzögerung. Eine Maschine kommt nicht …

Datenskandale im Finanzbereich, merkwürdige Statistiken und Microsofts Probleme mit 'Responsible Disclosure' sind die Themen dieses Standpunkt Sicherheit. Diese Augenblicke, in denen man denkt "Das habe ich doch schon mal erlebt" kennt sicher jeder. Letzte Woche war es wieder mal soweit, gleich zwei Mal dachte ich "Och, nicht schon wieder, das wird doch Langweilig!": …

Auch ein gut entworfenes, theoretisch absolut sicheres Authentifizierungssystem kann durch Implementierungsfehler unsicher werden. Das können z.B. Informationslecks sein, eine Möglichkeit zum direkten Umgehen des Authentifizierungssystems oder eine allgemeine Schwächung des Systems. Implementierungsfehler sind schwieriger zu finden als Designfehler wie ein fehlender Schutz vor Brute-Force-Angriffen oder unsichere Regeln für Passwörter. Daher ist eine allgemeine Beschreibung schwierig, …

Am November-Patchday hat Microsoft wie angekündigt 3 als kritisch und 3 als wichtig eingestufte Security Bulletins veröffentlicht, mit denen insgesamt 15 Schwachstellen behoben werden, davon allein 8 in Excel. Alle Schwachstellen wurden Microsoft vertraulich gemeldet, lediglich eine davon wurde danach noch anderweitig veröffentlicht. Die kritischen Bulletins MS09-063 - …

Eigentlich ist die Sache ganz einfach: Ein Programm, das mit Absicht Schaden anrichtet, ist Schadsoftware. Und ein "Spiel", das einfach irgend welche Dateien im Verzeichnis des spielenden Benutzers löscht - das ist selbstverständlich Schadsoftware. Genau so sehen das auch verschiedene Antiviren-Hersteller und haben dementsprechend das Spiel 'Lose/Lose' für den Mac auch als Trojaner eingestuft, siehe die Security-Hinweise …

Wie werden Zugangsdaten sicher übertragen? Für die Richtung vom Benutzer zur Webanwendung nimmt man dafür SSL/TLS - aber was ist mit der Übertragung der von der Webanwendung während der Registrierung erzeugten Daten? Die müssen an den Benutzer übermittelt werden, und das, ohne dass Unbefugte sie dabei zu sehen bekommen. In einem Intranet ist die sichere …

Etliche Datenlecks liefern das Thema dieses Standpunkt Sicherheit, denn zur Zeit scheinen Datenlecks in allen möglichen Varianten Saison zu haben. Haben sich die Skandale aus dem vergangenen Jahr nicht bis zu den Verantwortlichen herum gesprochen, oder warum haben die nichts daraus gelernt? Das erste Datenleck bei Libri Wie netzpolitik.org herausfand, standen beim Online-Buchhändler …

Seit einer Woche ist Windows 7 auf dem Markt und wie erwartet, war die Presseresonanz gewaltig. Auch die Nutzer scheinen mehrheitlich mit dem neuen Microsoft-Betriebssystem zufrieden zu sein- zumindest, wenn man den Meinungen in Internet-Kommentaren und Twitter folgt. Was aber halten Entwickler davon? Ist Windows 7 auch für sie eine Erleichterung bei …

Windows 7 ist endlich auf dem Markt und hat schon so einiges an positiver Resonanz bekommen. Folgt man den Windows 7-Nutzern im Netz, so darf man davon ausgehen, dass Microsoft mit dem Release tatsächlich die Vista-Fehler der Vergangenheit wettmachen kann. Begeistert sprechen Nutzer von tollen Aero-Oberflächen, Vollbild-Vorschaufenstern und Sprunglisten, von größerer …

Manche Webanwendungen erzeugen bei der Registrierung vorhersagbare Benutzernamen und/oder Passwörter. Während die Gefahr eines vorhersagbaren Passworts offensichtlich ist, ist ein vorhersagbarer Benutzername zumindest auf den ersten Blick nicht gefährlich. Aber das ist zumindest zum Teil ein Irrtum. Vorhersagbare Benutzernamen Manche Webanwendungen, bei denen die Benutzer ihren Benutzernamen nicht selbst auswählen können, erzeugen …

Am Freitag, den 23.10.2009 wurde in Rotterdam von einem internationalen Gremium aus 17 renommierten Experten der SOA-Community das SOA-Manifesto verabschiedet. Das SOA-Manifesto ist nun unter www.soa-manifesto.org verfügbar und richtet sich an alle, die am Thema SOA interessiert sind. Absicht des Manifests und seiner Autoren ist es, auf Basis der Erfahrungen aus …

Über den Wolken ist die Freiheit grenzenlos. Und in der Cloud? Dieser Standpunkt Sicherheit stochert mal ein bisschen drin rum. Aber bevor es in die Wolken geht, erst mal ein kurzer Blick rüber zu Googles Voice Mails und eine Meldung dazu aus den Security-Hinweisen vom 21. Oktober: Ryan Naraine berichtet, das …

Der Windows Explorer von Windows 7 ähnelt dem von Windows Vista weitestgehend und unterscheidet sich hauptsächlich in grafischen Nuancen. Wirkliche Neuerungen sind rar, im Prinzip sind hier nur die so genannten Dokumentenbibliotheken und die Federated Search zu nennen. Beiden Features ist aber gemein, dass sie lediglich zusätzliche Funktionalität ermöglichen und keine …

Das Warten hat endlich ein Ende: Am Donnerstag hat Microsoft mit Windows 7 eine neue Version seines Betriebssystems und damit den Nachfolger von Windows Vista veröffentlicht. Damit alle bestehenden Anwendungen auch auf Windows 7 laufen, sind eventuell einige Anpassungen notwendig. Das dot.net magazin zeigt Ihnen daher, was sich für Entwickler in …

Microsoft hat den neuen Windows Server 2008 R2 veröffentlicht, der in Verbindung mit Windows 7 die Produktivität von Unternehmen erhöhen und zugleich Kosten und Komplexität reduzieren soll. Dabei sollen die täglichen Arbeitsprozesse automatisiert, die Verfügbarkeit mit Live Migration erhöht, die Sicherheit verbessert und die Verwaltung der Server-Hardware und Workstations in der …

Windows 7 ist ab heute weltweit verfügbar. Schneller und schlanker soll Windows 7 sein, verspricht Microsoft seinen Kunden und dürfte dieser Tage der Bestellungen die da kommen bangen. Denn der Flop von Windows Vista darf sich keinesfalls wiederholen. Zu schwerfällig, zu ressourcenfressend war der XP-Nachfolger. Dementsprechend sahen denn auch die Verkaufszahlen …

Seit heute ist es soweit: Es können Lizenzen des neuen Betriebssystems von Microsoft Windows 7 erworben werden. Die Fachpresse urteilt überwiegend positiv und hat dem Hersteller schon bereits anhand der Beta- und Vorabversionen Vorschusslorbeeren gewährt. Von einem stabilen System mit Zuwachs bei Geschwindigkeit und Benutzerfreundlichkeit ist die Rede. …

Wie jedem klar sein dürfte und es auch schon in About Security #226 beschrieben wurde, können mehrfach vergebene Benutzernamen zu unerwarteten Reaktionen der Webanwendung führen. Darum müssen Webanwendungen (sowie alle anderen Programme und Systeme, die Benutzernamen verwenden) bei der Registrierung gewählte Benutzernamen daraufhin prüfen, ob sie schon vorhanden sind oder nicht. Außer dem Fall der absichtlich …

Microsoft hat die Beta 2 des Visual Studio 2010 auf MSDN veröffentlicht. Visual Studio 2010 soll den Team Foundation Server (TFS) und eine Client Access License (CAL) mit einschließen. Dabei soll der TFS eine neue Installationsform namens Basic erhalten. Mit Visual 2010 will Microsoft das Produktportfolio deutlich verschlanken. Anstelle der verschiedenen bisherigen …

Anlässlich des Erscheinens von Windows 7 verschenkt Microsoft das Buch "Windows 7 – Auf einen Blick" von den Autoren Jerry Joyce und Marianne Moon. Das Buch richtet sich an Einsteiger und Umsteiger und ist bis 31. Oktober 2009 herunterladbar. IT-Spezialisten und Administratoren bietet Microsoft das Dokument "Deploying Windows 7" zum kostenlosen Download …

Jede Menge Dejà-vus bestimmen die Themen dieses Standpunkt Sicherheit: Microsoft und fremde Technik, Microsoft und alte Schwachstellen, umfallende Politiker und Datenlecks. Microsoft und fremde Technik Dass Sidekick-Nutzer, die Kunden von T-Mobile USA sind, ihre gespeicherten Daten verloren haben, fand ich erst nicht besonders berichtenswert, darum habe ich es nur im Standpunkt Sicherheit …

Kürzlich war ich im 19. Stock eines Hochhauses und musste feststellen: Näher an den Wolken heißt weiter weg von der Internet-Cloud - denn der Empfang da oben war schlecht für mein Mobile-Internet-USB-Modem und ist dann ganz ausgefallen (wie übrigens auch regelmäßig auf meinem Heimweg, wenn die Schnellbahn durch die Tunnel fährt). "Was mache ich jetzt?", …

Schwachstellen im Bereich der Authentifizierung müssen nicht automatisch sofort dazu führen, dass ein Angreifer sich ohne Zugangsdaten zu kennen, anmelden kann. Viele Schwachstellen erleichtern "nur" andere Angriffe, sollten aber trotzdem nicht auf die leichte Schulter genommen werden. Wie z.B. die unvollständige Prüfung der Zugangsdaten. Gute Passwörter Gute Passwörter sind mindestens 8 Zeichen lang, …

Seit dem 21. September dieses Jahres steht die Version 3.1 der Open-Source-Entwicklungsumgebung SharpDevelop zum Download bereit. SharpDevelop unterstützt die Entwicklung in den Programmiersprachen C#, Visual Basic und Boo. Seit Version 3.0 ist auch die Entwicklung mithilfe der Sprachen IronPython und F# möglich. Bei F# handelt es sich um den (neuen) funktionalen …

Am Oktober-Patchday hat Microsoft wie angekündigt 8 als kritisch und 5 als wichtig eingestufte Security Bulletins veröffentlicht, mit denen insgesamt 33 Schwachstellen behoben werden. Ursprünglich waren 34 Schwachstellen angekündigt worden, eine wurde jedoch doppelt gezählt, da sie in zwei Security Bulletins vorkommt. Trotzdem ist dieser Patchday einsame Spitze: Mehr Security Bulletins …

Mit der Netbiscuits Websoftware-Plattform lassen sich mobile Websites an spezifische Faktoren und Umgebungen verschiedenster mobiler Endgeräte anpassen. …

Die De-Mail nimmt den Testbetrieb auf. De-Mail - klingt wie etwas, was keiner braucht, richtig? Stimmt. Dieser Standpunkt Sicherheit verrät, warum. De-Mail - Versuchskaninchen gefunden Die 'sichere E-Mail für Bundesbürger' De-Mail wird in einem Pilotprojekt in Friedrichshafen am Bodensee getestet. Das Ganze hat nur einen Schönheitsfehler: Es setzt voraus, dass man seinem Provider …

Bald ist es soweit: Ab dem 22.Oktober ist Windows 7 offiziell im Handel erhältlich. Microsofts CEO Steve Ballmer hat bereits am Mittwoch in München die neue Generation des Betriebssystems vorgestellt. Im Vordergrund stand der Nutzen des neuen Betriebssystems für Unternehmen. …

Manche Webanwendungen stellen privilegierten Benutzern eine "User Impersonation"-Funktion zur Verfügung, mit der sie die Identität eines anderen Benutzers annehmen können, um dann Aktionen in dessen Benutzerkontext auszuführen. Das kann z.B beim Nachvollziehen der Benutzeraktionen durch den Helpdesk oder bei der Untersuchung aufgetretener Probleme durch den Administrator hilfreich sein, kann aber, wenn die Funktion ungeschickt implementiert ist oder …

Kontaktdaten in Webverzeichnissen können ein Ärgernis sein. Wenn sie falsch sind ebenso wie wenn sie richtig sind. Wieso, erfahren Sie in diesem Standpunkt Sicherheit. Mark Stockley bloggt als "Gast-Blogger" im Blog von Sophos Senior Technology Consultant Graham Cluley über 'Who posted my contact details on Jigsaw.com?' Diese Adresse wurde ihm von mehreren Cold-Callern genannt, die daher …

Manchmal muss ein Angreifer gar nicht die Login-Funktion angreifen, um sich Zugriff zu einer Webanwendung zu verschaffen. Stattdessen nutzt er die "Remember me"-Option vieler Webanwendungen. "Remember me" Viele Webanwendungen bieten dem Benutzer die Möglichkeit, ohne Eingabe von Benutzername und Passwort Zugriff auf die Webanwendung zu erlangen, wenn er sie von einem bestimmten …

Die neue Sicherheitslösung Microsoft Security Essentials (MSE) steht für Privatnutzer ab sofort zum Download bereit. Der kostenlose Anti-Malware-Service schützt PCs vor Viren, Spyware, Rootkits, Trojanern und anderen schädlichen Programmen. Laut Microsoft erfordert der Virenschutz nach dem Herunterladen keine Registrierung, es gibt keine Testversionen oder Abonnement-Verpflichtungen. Microsoft Security Essentials soll Privatkunden mit …

Drei Umfragen sind die Themen dieses Standpunkt Sicherheit: Die Bundestagswahl, die Windows-Fitness und der Virenschutz vor 10 Jahren. "Umfrage" #1: Wenn wünschen Sie ins Parlament? Zur Tür hinein, linke Reihe anstellen, jeder nur zwei Kreuze ... Eigentlich wollte ich noch ein bisschen was zu Überwachungskameras, Überwachungsvideos, Überwachungswahn und …

In About Security #222 wurden unsichere Möglichkeiten beschrieben, um dem Benutzer ein neues Passwort zukommen zu lassen oder ihm ohne Passwort Zugriff auf die Webanwendung zu gewähren. Unsicherer geht immer Diese Möglichkeiten, bei denen ein Benutzer nach dem Bestehen des Challenge-Response-Verfahrens mehr oder weniger sofort Zugriff auf die Webanwendung erhält, werden noch …

Es ist in aller Munde, jedoch fast nirgendwo realisiert! Die Rede ist vom papierlosen Büro. "Wir stellen unsere Verwaltung um…", hört man gelegentlich und dann beginnen die Probleme. Mit dem Kauf eines Scanners ist es nicht getan. Die Arbeit und die Prozesse wollen neu organisiert werden, rechtliche Fragen sind zu klären …

Sebastian Meyen, Chief Content Officer S&S Media, und Kathrin Ahrndt, Conference Manager S&S Media, gaben in der Eröffnungskeynote des heutigen Tages den Startschuss für die 22. BASTA! Die Konferenz für.NET, Visual Studio & more, findet auch in diesem Herbst wieder in der Rheingoldhalle in Mainz statt und bietet den fast 700 …

Die Zirkulation von Zeitungen und Magazinen ist in den letzten Jahren dramatisch gesunken. Gleichzeitig lesen immer mehr Menschen Nachrichten online und mit ihnen wächst das Verlangen nach konvergenten Medienprodukten. Software & Support Media hat einen Weg gefunden, dem veränderten Leserverhalten gerecht zu werden. Auf der .NET-Konferenz BASTA! hat Verlagsleiter Masoud Kamali …

Dieser Standpunkt Sicherheit dreht sich rund ums Thema "Video": Videos von der Polizei, für die Polizei, bei der Polizei, ... Videos von der Polizei Erst mal ein paar Ergänzungen zur "Freiheit statt Angst"-Demo, deren Namen einige Polizisten wohl falsch aufgefasst haben, denn anscheinend musste man ja teilweise Angst um seine Freiheit …

Für einen ausgewählten Nutzerkreis sind Word, Excel und PowerPoint ab sofort als Webversionen testbar. Für den Anfang stehen die Office-Programme in beschränktem Umfang als Technical Preview über einen Windows Live-Zugang zur Verfügung. Excel- und PowerPoint-Dokumente sind dabei bereits editierbar, Word-Dokumente können zunächst nur betrachtet werden. Auch OneNote soll bald als Webanwendung …

Eine Webanwendung bietet ihren Benutzern mindestens zwei Möglichkeiten, ihr Passwort zu ändern (oder sollte sie zumindest bieten): Zum einen die in About Security #221 untersuchte Funktion zur Passwortänderung, zum anderen die Funktion, mit der ein vergessenes Passwort zurück gesetzt, bzw. mit der ein neues Passwort angefordert werden kann. Vergessenes Passwort Funktionen, mit …

In fünf Tagen öffnet die BASTA! 2009, die Konferenz für .NET, Visual Studio & More, in Mainz ihre Pforten. Zusätzlich zu dem veröffentlichten Programm, das auf der …

Die Polizei filmt gerne bei Demonstrationen. Diesmal wurde sie gefilmt, und dabei machten einige Beamte gar keinen guten Eindruck. Heute im Standpunkt Sicherheit: Das Web 2.0 trifft auf alte Polizeitaktiken. Gutes Video,... Die Polizei filmt bei Demonstrationen, um später Straftäter leichter ermitteln zu können und Beweise zu sichern. Nach einer Demo gibt …

Mit der CodePlex Foundation hat Microsoft eine gemeinnützige Open Source-Stiftung ins Leben gerufen, die kommerzielle Software-Anbieter und Open Source-Communitys näher zusammen bringen soll. Bisherige Open Source-Stiftungen und -Organisationen sollen mit CodePlex ergänzt werden, indem der Austausch zwischen allen Interessenten auf einer breit angelegten Plattform ermöglicht wird. Als vorläufigen Stiftungspräsidenten hat Microsoft …

Die in About Security #218, #219 und #220 beschriebenen Schwachstellen erfordern entweder eine weitere Schwachstelle, über die der Angreifer in ein lokales Netz oder einen Server eindringen kann, oder können nur von einem Angreifer ausgenutzt werden, der sich zwischen Webanwendung und Benutzer befindet. Für den Angreifer einfacher auszunutzen sind Schwachstellen, über die er die Zugangsdaten anderer Benutzer …

Am September-Patchday hat Microsoft wie angekündigt fünf jeweils als kritisch eingestufte Security-Bulletins veröffentlicht, mit denen insgesamt 8 Schwachstellen behoben werden. Nur eine davon war zuvor bekannt. Außerdem wurde das im August veröffentlichte Bulletin MS09-037 aktualisiert und eine neue Schwachstelle im SMB2.0-Kerneltreiber veröffentlicht, die evtl. die Ausführung beliebigen Codes erlaubt. MS09-045 - Eine Schwachstelle in …

Der Umgang mit E-Mails durch die CDU in Geldern liefert reichlich Stoff für diesen Standpunkt Sicherheit. Politiker auf der einen Seite, das Internet auf der anderen. Das kann man drehen und wenden wie man will, fast immer kommt was merkwürdiges dabei heraus. Was erwartet man, wenn irgendwo eine E-Mail-Adresse angegeben wird? Also ich …

Microsofts Live Mesh ist eine kostenlose Applikation, die es Endanwendern erlaubt, Daten über ihre Geräte zu synchronisieren. Doch was steckt unter der Haube? Was hat Windows Azure damit zu tun? Und was für einen Nutzen hat dies für Endanwender und Entwickler? …

Der unsichere Einsatz eigentlich sicherer Kryptographie-Algorithmen ist das Thema dieser Folge. Verschlüsseln, nicht kodieren! Kodierung und Verschlüsselung werden manchmal als gleichwertig angesehen - mit fatalen Folgen für die Sicherheit. Wird statt eines erwiesenermaßen sicheren Kryptographie-Algorithmus nur ein gar nicht für den Schutz der Daten vorgesehener Kodierungs-Algorithmus wie z.B. die in About Security #219 …

Ministerien machen Umfragen, Unternehmen googeln - das Ergebnis liefert das Ausgangsmaterial für diesen Standpunkt Sicherheit. 'Firmen erschnüffeln Bewerberdaten im Web' - so und ähnlich lauteten die Überschriften über Berichten über eine Umfrage des Ministeriums für Verbraucherschutz, die man sich hätte sparen können. Natürlich informieren sich die Unternehmen über ihre Bewerber im Internet - …

Beim Überfliegen der IT-News stolpere ich in letzter Zeit immer häufiger über Titel wie "Java als Plattform wertvoller als die Programmiersprache", "Fünf Gründe, warum man gerade jetzt eine neue Programmiersprache lernen sollte" oder "Not staying current as a software developer is software malpractice". Ständig lese ich von neuen Programmiersprachen, "Frameworks" (ist …

In About Security #218 wurden beschrieben, wie die bei der Authentifizierung übertragenen Daten ermittelt werden. Werden dabei keine Zugangsdaten als Klartext beobachtet, müssen alle kodierten Daten daraufhin untersucht werden, ob sie sich dekodieren oder entschlüsseln lassen und dabei die gesuchten Zugangsdaten preisgeben. Werden die Daten über HTTPS übertragen, sind sie durch die dabei verwendeten …

“Nicht immer wieder von vorn anfangen müssen“ – das wünscht sich jeder Softwareentwickler. Hier setzt die Smart Client Software Factory (SCSF) an. Stellt man sich die Softwareentwicklung wie den Bau einer Stadt vor, so würde SCSF die Infrastruktur (Wasser, Strom und Kanalisation) sowie die komplette Organisation bereitstellen. Der Entwickler müsste sich …

Viren im Trojaner, Viren in Delphi - wohin soll das noch führen? Dieser Standpunkt Sicherheit sucht die Antwort. In den Security-Hinweisen vom 17. August ging es los: Der Trojaner Koobface lädt inzwischen nicht nur neue Versionen von sich selbst nach, sondern gleichzeitig weitere Schädlinge wie z.B. die Viren Scribble, Virut …

In About Security #217 wurden die Stellen aufgeführt, an denen ungeschützt übertragene Zugangsdaten von einem Dritten beobachtet werden können. Selbst wenn man davon ausgeht, dass nur vertrauenswürdige Personen zum Zugriff auf die beteiligten Komponenten autorisiert sind, besteht immer noch die Möglichkeit, dass sich ein Angreifer Zugriff darauf verschafft hat. Hijacking Wie in About …

Der Computerwurm W32.Blaster (auch W32.Lovsan oder MSBlast genannt) feierte am Sonntag ein Jubiläum: Am 16. August 2003 sollte er einen DDoS-Angriffe auf Microsofts damaligen Update-Server "windowsupdate.com" starten. Ausgangspunkt: Eine RPC-Schwachstelle Genau wie beim jetzt aktuellen Wurm Conficker/Downadup war auch bei Blaster eine Schwachstelle in der RPC-Implementierung von Windows 2000 und …

Diesmal im Standpunkt Sicherheit: Ein Dejà-vu-Erlebnis am vergangenen Patchday. Vergleichen wir mal zwei Zeitabläufe: 6. Juli 2009 Microsoft meldet eine bereits für Angriffe ausgenutzte Schwachstelle im Microsoft Video ActiveX-Control, der die CVE-ID CVE-2008-0015 zugeteilt wurde. Die wurde bereits am 13. …

Vom 21.-25. September 2009 findet in Mainz die .NET-Konferenz "BASTA!" statt. Der Early Bird für Frühbucher gilt nur noch heute! Wer sich noch zum vergünstigten Tarif anmelden möchte, sollte sich also beeilen. Alle wichtigen Infos zur Konferenz sind auf der BASTA!-Website zu finden. Die Veranstaltung des Software & Support Verlags deckt …

In About Security #216 wurde u.a. beschrieben, wie ein Angreifer an eine Liste gültiger Benutzernamen gelangt. Auf diese Namen kann dann ein Brute-Force-Angriff zum Ermitteln der zugehörigen Passwörter durchgeführt werden. Letzte Vorbereitungen Bevor der Brute-Force-Angriff gestartet wird, muss noch ein Unterschied zwischen einem fehlgeschlagenen und einem erfolgreichen Login-Versuch ermittelt werden, anhand dessen danach …

Am August-Patchday hat Microsoft wie angekündigt fünf kritische und vier wichtige Security-Bulletins veröffentlicht. Insgesamt werden damit 19 Schwachstellen behoben, von denen offiziell nur 2 zuvor bekannt waren. Fünf kritische Bulletins Im folgenden wird die Reihenfolge verwendet, in der Microsoft die Bulletins selbst aufgeführt hat. MS09-043 - Microsoft Office Web Components …

Ein Exploit in einem bisher nicht identifizierten ActiveX-Control und ein möglicher Tippfehler sind das Thema dieses Standpunkt Sicherheit. Und so beginnt es... Roger Thompson von AVG berichtet über einen Exploit, der eine Schwachstelle in einem bisher unbekannten ActiveX-Control ausnutzen soll. Der Exploit wurde in einem chinesischen Exploit-Kit gefunden, auf den eine …

In About Security #214 und #215 wurden einige mögliche Schwachstellen in der Authentifizierung beschrieben. Im folgenden geht es um die Ausnutzung dieser Schwachstellen, wobei davon ausgegangen wird, das die Authentifizierung durch Eingabe eines Benutzernamens und des dazu gehörigen Passworts erfolgt. Anmelde-Sperre erkennen Eine Sperre, die nach eine bestimmten Anzahl fehlgeschlagener Anmeldeversuche …

Microsofts außerplanmäßige Patches und eine unterbeschäftigte Ministerin sind das Thema dieses Standpunkt Sicherheit. Redmonder Roulette Was ist bei Microsoft los - beweisen die gerade, das ihnen die Sicherheit ihrer Kunden eigentlich doch egal ist? Das, was ich vorige Woche eigentlich nicht zu vermuten wagte, ist eingetroffen: Microsoft hat tatsächlich Patches für drei …

Blogs haben aus dem Web ein Kommunikationsparadies geschaffen. Jedenfalls für Blender, Querulanten, SEO-Hobbyisten und andere Schwachköpfe, denen man nicht einmal im Benimmkurs einen guten Tag wünschen möchte. Für die öffentlichkeitswirksame Zurschaustellung der eigenen Beschränktheit führt heute kein Weg mehr am Web vorbei. Kein anderes Medium ist so gut geeignet, alle …

In About Security #214 wurde u.a. beschrieben, wie bzw. wieso es zur Wahl schlechter, d.h. unsicherer Passwörter kommt. Wie kann ein Angreifer eine solche Designschwäche ausnutzen? Schwache Passwortregeln erkennen Am einfachsten hat es ein Angreifer, wenn die Regeln für das Bilden von Passwörtern auf der Website angegeben sind. Gibt es …

Microsoft hat wie angekündigt zwei außerplanmäßige Security Bulletins veröffentlicht, die drei Schwachstellen in der ActiveX-Implementierung bzw. -Unterstützung beheben. Und weil man gerade dabei ist, hat man noch drei kritische Schwachstellen im Internet Explorer behoben. Schwachstellen in der Active Template Library (ATL) Das Security Bulletin MS09-035 beschreibt die Schwachstellen in Visual Studio …

Der Umgang mit XML-Dokumenten, sei es im Bereich des elektronischen Publizierens, als Datenbankschnittstelle oder als allgemeine Sprache zum Austausch von strukturierten Dokumenten, ist vielen von uns vertraut. Eine wichtige Rolle spielen dabei Schema-Sprachen wie DTD, XML Schema oder RelaxNG, mit denen die grammatikalischen Regeln für ein XML-Dokument beschrieben werden. Doch reicht …

Der "Month of 0-Days" und Microsofts außerplanmäßige Patches sind die Themen dieses Standpunkt Sicherheit. Ein heißer Monat Dieser Monat hat es in sich. Vorigen Montag habe ich noch gelästert, wo denn die wöchentliche Schwachstelle für Microsofts "Summer of 0-Day-Schwachstellen" bleibt, schließlich gab es an den beiden Montagen davor jeweils eine. Zur Abwechslung …

Die Authentifizierung der Benutzer ist für viele Webanwendungen eine Grundvoraussetzung für die folgende Nutzung, entsprechend sind Angriffe darauf ebenso häufig wie gefährlich. Webanwendungen unterscheiden sich insbesondere in zwei Punkten von normalen Anwendungen: Das Web ist anonym - Webanwendungen wissen nicht, wer mit ihnen kommuniziert, solange sie ihn nicht selbst identifiziert und authentifiziert haben. Und …

Ideen zu Anwendungen in Windows 7 belohnt Microsoft im "Code 7 Contest" mit Preisen im Wert von bis zu 17.777 US-Dollar. Für die Teilnahme müssen Entwickler ein dreiminütiges Video einschicken, in dem sie ihre Idee für Windows 7 demonstrieren. Microsoft stellt verschiedene thematische Kategorien zur Auswahl - zum Beispiel Anwendungen, die …

Eine Schwachstelle in Firefox erlaubt die Ausführung beliebigen Codes. Oder auch nicht. Aber ist das eigentlich wichtig? Und wenn ja, für wen? Dieser Standpunkt Sicherheit geht diesen Fragen nach. Kritische Schwachstelle - ja, nein, egal? Am Donnerstag wurde eine Pufferüberlauf-Schwachstelle in Firefox 3.5 bekannt, der veröffentlichte Proof of Concept …

Eine am Donnerstag veröffentlichte Pufferüberlauf-Schwachstelle in Firefox 3.5 betrifft laut Handler's Diary des ISC auch die am Freitag erschienene Version 3.5.1 und erlaubt die Ausführung beliebigen Codes. DoS bestätigt Während der zuerst veröffentlichte Proof of Concept nur zu einem Absturz führt, erlaubt die Schwachstelle laut IBMs Internet Security Services die …

Beim bereits in About Security #203 erwähnten Virtual Hosting hosted ein Webserver mehrere voneinander unabhängige Websites, die anhand des 'Host'-HTTP-Headers identifiziert werden. Eine falsche Konfiguration kann dabei zu möglichen Angriffspunkten führen. Der Apache-Webserver wird z.B. folgendermaßen für die Nutzung virtueller Hosts konfiguriert: <VirtualHost *> ServerName website.example DocumentRoot www/website </VirtualHost> <VirtualHost *> ServerName andere-website.example …

Am 24. Juni dieses Jahres wurde mit Eclipse-Galileo ein Open-Source-Paket aus 33 aufeinander abgestimmten Eclipse-Projekten zum Download freigegeben. Neben dem klassischen Einsatz von Eclipse als integrierte Entwicklungsumgebung für eine Vielzahl von Programmiersprachen umfasst Galileo zu einem großen Anteil auch Projekte, die auf anderen Fachgebieten angesiedelt sind, etwa Plug-ins zur modellgetriebenen Softwareentwicklung …

Microsoft hat in dieser Woche das Geschäfts- und Partnermodell für die Windows Azure-Plattform vorgestellt. Durch ein Preismodell auf Basis der tatsächlichen Nutzung zahlen Partner und Kunden demnach nur für die Services, die sie wirklich nutzen. Die Preise für die CTP des amerikanischen Marktes zeigt eine Tabelle auf der Windows Azure Platform-Website. Microsoft-Partner …

Am Juli-Patchday hat Microsoft wie angekündigt je drei kritische und drei wichtige Security-Bulletins veröffentlicht. Insgesamt werden damit 6 kritische und 3 wichtige Schwachstellen behoben. Drei kritische Bulletins MS09-028 - DirectShow Das Bulletin MS09-028 beschreibt zwei bisher unveröffentlichte und eine bereits bekannte und für Angriffe ausgenutzte Schwachstelle bei der Verarbeitung von QuickTime-Dateien durch DirectShow, die alle die Ausführung …

Microsoft verschiebt seine kommenden Office-Version ins Web, zumindest teilweise. Teile von Word, Excel und PowerPoint sollen mit der Markteinführung von Office 2010 kostenlos zur Verfügung stehen. Office Web nennt sich das Paket, mit dem Redmond mit seinem Rivalen Google gleichzieht. Die Suchmaschine bietet mit Google Docs bereits seit längerem Office-Programme kostenfrei …

Microsoft hat eine weitere 0-Day-Schwachstelle bestätigt, es ist bereits die dritte seit dem 28. Mai. Diesmal befindet sich die Schwachstelle in einer Office-Webkomponente und erlaubt wie die vorhergehenden 0-Day-Schachstellen die Ausführung beliebigen Codes, wenn eine entsprechend präparierte Website mit dem Internet Explorer besucht wird. Laut einem Eintrag im Handler's Diary des ISC wurde der Exploit auch für …

Lange an einer Schwachstelle rumdoktern, und wenn dann was passiert, hat man hat es nicht gerade eilig, das bekannt zu geben - das klingt nach Vattenfall? Stimmt. In diesem Standpunkt Sicherheit geht es aber um Microsoft. Es gibt eine neue 0-Day-Schwachstelle in Windows. Wirklich? Dazu erst mal ein Zitat aus meinem Artikel über die Schwachstelle vom 7. …

Ihre Welt ist keine friedliche mehr, auch wenn Google CEO Eric Schmidt und Microsoft-Gründer Bill Gates den Anschein erwecken wollen. Auf einer kürzlich von der Investment Bank Allen & Company veranstalteten Konferenz vermieden es beide, sich zu den Geschäften des anderen zu äußern. Schmidt sieht in Chrome OS keinen Angriff auf …

Auf seiner Hausmesse Mix09 in Las Vegas hat Microsoft im Frühjahr dieses Jahres die Beta von Silverlight 3 vorgestellt. Nun ist die finale Version da und steht in englischer als auch deutscher Sprache für Windows und Mac OS als kostenloser Download zur Verfügung. Viel getan hat sich gegenüber der Vorgängerversion, dass …

Arbeitet der Webserver auch als Forward-HTTP-Proxy-Server, kann er unter Umständen als Hilfsmittel für weiterführende Angriffe dienen: Auf andere Server im Internet, auf andere Server im internen Netz oder auf andere Dienste auf dem Webserver selbst. Angriffe auf andere Server im Internet Ein Angreifer kann über den Webserver bzw. genauer den Forward-HTTP-Proxy-Server evtl. andere Server im Internet angreifen, …

Alle .NET- und BASTA!-Freunde aufgepasst! Wer sich noch heute zur Hauptkonferenz der BASTA! anmeldet, bekommt einen Power-Workshop-Tag gratis und spart bis zu 779 Euro. Eine Anmeldung ist hier möglich. Die BASTA! hat sich als .NET-Forum seit vielen Jahren etabliert und lockt die .NET-Entwickler mit über 90 Sessions, Workshops und Night Schools zu …

Gestern Abend dürfte ein schwarzer Tag für Microsoft gewesen sein. In der zweiten Jahreshälfte 2010 will Google ein eigenes Betriebssystem auf den Markt bringen: Google Chrome OS. Schnell, einfach und sicher soll Chrome OS werden, meint Produktmanager Sundar Pichai. Und damit besser als jetzige Betriebssysteme, denn die seien entwickelt worden, als …

Alle .NET und BASTA!-Freunde aufgepasst! Wer sich bis morgen (9. Juli 2009) zur Hauptkonferenz der BASTA! anmeldet, bekommt einen Power-Workshop-Tag gratis und spart bis zu 779 Euro. Eine Anmeldung ist hier möglich. Die BASTA! hat sich als .NET-Forum seit vielen Jahren etabliert und lockt die .NET-Entwickler mit über 90 Sessions, Workshops und …

Kritische Schwachstellen in zwei bzw. drei Produkten werden zur Zeit im Rahmen von Drive-by-Infektionen bzw. für deren Vorbereitung ausgenutzt: Cyberkriminelle dringen über Schwachstellen im FCKEditor, der auch in ColdFusion enthalten ist, in ColdFusion-Websites ein und präparieren diese für Drive-by-Infektionen. Und eine 0-Day-Schwachstelle in Windows wird im Rahmen von Drive-by-Infektionen ausgenutzt, um Code auf den Rechnern der Besucher präparierter …

Populäre Drogen gibt es nur für Spitzel, die nicht mit Sherrie in einem Sexfilm waren, in dem sie falsche Daten mit stumpfen Messern erstochen haben. Oder so ähnlich... Willkommen zum Standpunkt Sicherheit! Populäre Drogen gibts nur für Erwachsene Die Bundesdrogenbeauftragte Sabine Bätzing (SPD) fordert, "Computerspielsucht" stärker zu untersuchen und besonders populäre Online-Spiele nur für Erwachsene freizugeben. Ob es eine spezifische …

Außer den in About Security #209 und #210 beschriebenen Default-Inhalten und nicht für die Allgemeinheit gedachten Funktionen gibt es auch HTTP-Methoden, die für einen Angreifer nützlich sein können. GET und POST sind nur der Anfang Webserver unterstützen außer den meistgenutzten Methoden GET und POST eine ganze Reihe weiterer Methoden für spezielle Aufgaben. Einige davon können von einen Angreifer für seine …

… und diesmal nicht nur in Buchform. Die lang erwartete Version glänzt mit etlichen neuen Features und dürfte bei vielen Entwicklern für einen wahren Freudentaumel sorgen. Die Liste der Neuerungen ist dabei mehr als nur umfangreich ausgefallen. Vor allem der verstärkte Support für Windows und die neuen OOP-Features werden dafür sorgen, dass …

Welchen Quellen darf man vertrauen, und warum sollte man das halbe Web herunterladen, wenn man doch nur auf ein paar Seiten möchte? Dieser Standpunkt Sicherheit sucht die Antworten. "Michael Jackson ist tot" Wirklich? Inzwischen können wir davon ausgehen, das Michael Jackson tot ist. Zum einen, weil genug mehr oder weniger vertrauenswürdige Quellen darüber berichten, zum anderen, weil …

Webserver enthalten außer den in About Security #209 beschriebenen Beispielanwendungen weitere, oft unerwünschte "Default-Inhalte", die beim Missbrauch durch einen Angreifer unter Umständen großen Schaden anrichten können. Nicht für die Allgemeinheit gedachte Funktionen Viel Webserver-Software (was nicht nur den Webserver im Sinne des HTTP-Servers, sondern auch für die Webanwendung verwendete Applicationserver, Datenbankserver usw. umfasst) enthält mächtige Funktionen, die zwar nicht für …

Die Anwendung von phonetischer Zeichenkettensuche mit der SoundsLike-Phonetic-Tokenizer-DLL anhand einer kleinen und einfachen Städtesuche in einer Datenbank. …

Das Internet-Zensur-Gesetz, pardon, das 'Zugangserschwerungsgesetz' wurde vom Bundestag verabschiedet. Das schreit doch geradezu nach ein paar Kommentaren zum Gesetz, und damit stand das Thema für diesen Standpunkt Sicherheit fest. Das die jetzt geplanten Sperren von Kinderpornographie schnell auf andere Inhalte wie Killerspiele und Urheberrechtsverletzungen ausgedehnt werden sollen, ist inzwischen deutlich geworden. Und es spricht …

Was macht man, wenn im eingesetzten Webserver oder anderen für den Betrieb der Webanwendung benötigten Komponenten eine Schwachstelle entdeckt wird? Erst mal muss man selbst davon erfahren, und das am besten, bevor es zu einem Angriff auf den eigenen Server gekommen ist. Wo man entsprechende Informationen finden, wurde in About Security #208 beschrieben. Schwachstelle …

Unsere ahnungslose Bundesregierung und mehrere Internetfilter sind die Themen dieses Standpunkt Sicherheit. Denn sie wissen nicht, was sie tun Keine Ahnung, aber davon eine ganze Menge, hat unsere Bundesregierung. Was man in den meisten Fällen nur befürchten muss, hat sie im Fall der Kinderpornographie sogar zugegeben: In einer Antwort (PDF, via odem.org) auf eine …

Die in About Security #207 beschriebenen Angriffe sind ein aktuelles Beispiel, wie ein Angreifer eine gerade erst entdeckte Schwachstelle ausnutzen kann, bevor sie beim Opfer überhaupt bekannt ist. Verstecken als Gegenmaßnahme? Wie schützt man sich vor Angriffen auf solche Schwachstellen? Im Prinzip klingt das unmöglich - wie soll man sich vor etwas schützen, das man gar nicht kennt? …

Am Juni-Patchday hat Microsoft wie angekündigt insgesamt 10 Security-Bulletins veröffentlicht, die insgesamt 35 Schwachstellen beheben, darunter 26 zuvor nicht bekannte. Ein Eintrag im Blog des Microsoft Security Response Center (MSRC) weist darauf hin, das die aktuell für Angriffe ausgenutzte DirectX-Schwachstelle noch nicht behoben werden konnte, da die Qualitätssicherung noch nicht mit den Patches zufrieden ist. Der Eintrag enthält auch …

Adobes 1. Patchday und der Umgang mit Schwachstellen allgemein sind die Themen dieses Standpunkt Sicherheit. Einer geht noch, einer geht noch rein... Wer außer Microsoft-Programmen auch Adobes Acrobat und/oder Reader einsetzt, bekommt am Juni-Patchday ein Bulletin mehr als andere: Adobe hat den ersten Patchday angekündigt, veröffentlicht wird ein als kritisch eingestuftes Update für Acrobat und Adobe Reader. Mit …

Rational Software ist der Geschäftsbereich innerhalb von IBM, der Produkte liefert, um den Lebenszyklus von Unternehmens-Software zu beherrschbar zu machen und Systeme, die auf dieser Software basieren, effektiv ausliefern zu können. Das Produktportfolio umschließt mit dutzenden von Produkten den kompletten Application Lifecyle Management (ALM) Bereich, und geht noch darüber hinaus. Kennzeichnend …

Nachdem der Webserver wie in About Security #206 beschrieben mit ausreichender Sicherheit identifiziert wurde, können darin vorhandene Schwachstellen ausgenutzt werden. Bekannte Schwachstellen finden Um bekannte Schwachstellen in einem bestimmten Programm zu finden, gibt es eine ganze Reihe von Möglichkeiten. So werden Schwachstellen von mehreren Organisationen und Unternehmen in Datenbanken gesammelt, z.B. in der Open Source Vulnerability Database osvdb oder von …

Die neue DirectX-Schwachstelle, der RPC-Wurm und die von Microsoft heimlich installierte Firefox-Erweiterung sind die Themen dieses Standpunkt Sicherheit. 0-Day-Schwachstelle in Windows ohne Exploit? Da gibt es eine neue kritische Schwachstelle in Windows - und dann hört man außer im Security Bulletin und in den verschiedenen Blogs von Microsoft nichts darüber. Sehr merkwürdig. Kein Antiviren-Hersteller, der sich den zugehörigen Schädling …

Angriffe auf den Webserver und die Suche nach dafür ausnutzbaren Schwachstellen sind das Thema dieser und der kommenden Folgen. So, wie eine normale Anwendung auf das Betriebssystem und seine Funktionen angewiesen ist, ist eine Webanwendung auf den Webserver angewiesen. Ein Angreifer, der die Kontrolle über den Webserver erlangt, kann danach auch die Webanwendung kompromittieren. Angriffe auf Webserver …

Adobes Patchday, Skriptkiddies aus dem Mittelmeer-Raum und nutzlose Umfragen sind die Themen dieses Standpunkt Sicherheit. Adobe kapert Microsofts Patchday Adobe hat angekündigt, Patches für Adobe Reader und Acrobat ab dem Sommer regelmäßig quartalsweise zu veröffentlichen und dafür jeweils Microsofts Patchday zu verwenden, Patches für kritische Schwachstellen sollen bei Bedarf außer der Reihe veröffentlicht werden. Die Ankündigung hat zwei Schönheitsfehler. Nummer 1: …

Vom 13. Bis 16. Mai hat in San Jose, USA, nach etlichen Jahren wieder eine Konferenz für Delphi-Entwickler unter direkter Beteiligung des Herstellers der legendären Software-Entwicklungsumgebung statt gefunden. Anders als bei den bekannten BorCon-Veranstaltungen (die letzte fand 2004 statt) hat CodeGear die Konferenz nicht selber ausgerichtet, sondern S&S Media (der US-amerikanische …

Bei der Suche nach Schwachstellen in Shared Environments muss man zwei Bereiche berüchsichtigen: Zum einen Schwachstellen in den vorhandenen Webanwendungen, die einen Angriff auf das gesamte Shared Environment erlauben. Dabei geht man genau so vor, wie bei der Suche nach Schwachstellen in einzeln gehosteten Webanwendungen. Zum anderen muss man nach Schwachstellen im Shared Environment selbst suchen. Untersuchung …

Wieso DNS-Sperren wirkungslos sind und ob evtl. 92 Prozent der Deutschen für Kinderschänder sind, wird in diesem Standpunkt Sicherheit untersucht. DNS-Sperren - Jetzt wirkungslos, bald funktionslos Werfen wir mal einen Blick auf den Ablauf der geplanten Internetzensur auf Basis von DNS-Sperren: Ein Benutzer klickt auf irgend einen Link. Sein Webbrowser fragt beim DNS-Server seines Providers nach der IP-Adresse …

Mit ihrem Projekt "Talk to aAqua" konnte das Team "The Liaisoners "von der TU Dresden die Jury beim Deutschland-Finale des Imagine Cup in Berlin für sich gewinnen. The Liaisoners setzte sich gegen die Hochschulteams "Atmosférica" von der BA Ravensburg und "Drinking Water Live" von der Uni Duisburg-Essen durch. Das Siegerteam wird …

Entwicklung einer einfachen Plug-in-DLL für das CRM (Customer Relationship Management) System Act! 7/2005 unter Zuhilfenahme des Act! 7/2005 SDK (Software Development Kit). …

Für Schwachstelle in und Angriffe auf bzw. durch Anwendungen, die die gleiche Infrastruktur nutzen, gibt es eine Reihe von Möglichkeiten. Im Gegensatz zu einzeln gehosteten Anwendungen stellen nicht nur externe Angreifer, sondern auch böswillige Mitbenutzer eine potentielle Gefahr dar. Hintertür durch die Vordertür In Shared-Hosting-Umgebungen gibt es ein grundsätzliches Problem, das bei einzeln gehosteten Anwendungen nicht auftritt: Die …

Am Mai-Patchday hat Microsoft wie angekündigt ein als kritisch eingestuftes Security-Bulletin zu PowerPoint veröffentlicht: Das Bulletin MS09-017 behebt auf einen Schlag 14 Schwachstellen, die alle die Ausführung beliebigen Codes erlauben. Zum Vergleich: Am April-Patchday waren es 23 Schwachstellen, aber dafür wurden 8 Bulletins benötigt. Kritisch für PowerPoint 2000 SP3 Das Bulletin wird für PowerPoint 2000 SP3 als kritisch eingestuft, für …

Kaum ein Manager (oder Entwickler, Servicetechniker, Nerd) kann heute auf ein multifunktionales Handy verzichten: Jederzeit Zugriff auf E-Mails, unabhängig vom Standort zu haben, ist wichtiger denn je. Passende Technologien gibt es zur Genüge, sei es Apples iPhone, das neue Google Handy oder Windows Mobile Device – die Anbindung an den Firmen-Exchangeserver …

Viele viele bunte Smarties gibt es in diesem Standpunkt Sicherheit nicht, dafür Kommentare zu vielen bunten Themen: Dem Wirtschaftsminister, dem Innenminister, der US-Flugsicherung, der Studie zu stillen Updates, einem neuen Mac-Wurm und Spam. Internetfilter wichtiger als Wirtschaftskrise? Diesmal war es mal wieder schwierig, sich für ein Thema zu entscheiden. So eine schöne grosse Auswahl gab es schon …

In Umgebungen, in denen verschiedene Anwendungen die gleiche Infrastruktur nutzen, können Schwachstellen in bzw. Angriffe auf eine der Anwendungen entweder zur Kompromittierung der Infrastruktur und/oder aller anderen Anwendungen führen. Typische Fälle solcher Umgebungen sind das Shared Hosting und Application Service Provider. Unabhängig davon, ob eine Website auf einem eigenen Server bei einem Colocation-Provider, im Rahmen von Shared …

Die richtige Antwort auf dumme Sicherheitsfragen und der Beweis, wie schnell man das Kinderporno-Stoppschild zu sehen bekommen kann, sind das Thema dieses Standpunkt Sicherheit. Sicherheitsfragen - schlimmer als schwache Passwörter? Sicherheitsfragen, die man beantworten muss, um ein vergessenes Passwort zurück zu setzen, sind oft eine mindestens genau so große Gefahr wie zu schwache Passwörter. Aktuell gibt es …

Außer der Ausnutzung von Vertrauensbeziehungen gibt es in Schichtenarchitekturen für Webanwendungen zwei weitere mögliche Angriffe: Über eine Schwachstelle in einer Schicht können Schutzmaßnahmen einer anderen unterlaufen werden, oder nach der der Kompromittierung einer Schicht erfolgen interne Angriffe auf die anderen Schichten. Beide Fälle werden im folgenden beschrieben. Angriffe durch andere Schichten Sind die verschiedenen Schichten nicht ausreichend getrennt, …

Was wohl passiert, wenn unsere Regierung wirklich anfängt, Kinder zu schützen, ist das Thema dieses Standpunkt Sicherheit. Das Thema dieses Standpunkts war seit Mitte letzter Woche klar - die als Kinderporno-Filter getarnte Webzensur. Aber wo anfangen, wo ansetzen? Da sich die Politiker zur Zeit mal wieder darum drängeln, wer denn die meisten Watschen vom Bundesverfassungsgericht und …

Angriffe auf die Architektur der Webanwendung werden bei deren Untersuchung auf Schwachstellen oft übersehen, obwohl sie eine nicht zu unterschätzende Gefahr darstellen. Bei Anwendungen, die aus mehreren Schichten bestehen, können Schwachstellen in einer bzw. Angriffe auf eine Schicht sehr schnell zur Kompromittierung des Gesamtsystems führen. In Umgebungen, in denen verschiedene Anwendung die gleiche Infrastruktur nutzen, können Schwachstellen in …

Die geplante Internetzensur ist das Thema dieses Standpunkt Sicherheit. "Jeder hat das Recht, seine Meinung in Wort, Schrift und Bild frei zu äußern und zu verbreiten und sich aus allgemein zugänglichen Quellen ungehindert zu unterrichten. Die Pressefreiheit und die Freiheit der Berichterstattung durch Rundfunk und Film werden gewährleistet. Eine Zensur findet nicht statt." (Art 5(1) GG) Eine kurze …

Dies ist die 200. Folge "About Security", dazu kommen jeweils vier nicht nummerierte Weihnachts-Special und CeBIT-Berichte. Damit handelt es sich um ein doppeltes Jubiläum: Die Serie wird gleichzeitig 4 Jahre alt, #1 erschien am 14.4.2005. 4 Jahre - das ist im IT-Bereich eine halbe Ewigkeit. Da lohnt es sich, mal einen Blick auf die Entwicklungen …

Am April-Patchday hat Microsoft wie angekündigt fünf als kritisch, zwei als wichtig und ein als moderat eingestuftes Security-Bulletin veröffentlicht, die insgesamt 23 Schwachstellen schließen. In Microsofts Security Resarch & Defense Blog wurde eine Übersicht über die Dringlichkeit der Patches veröffentlicht. MS09-009 - 2 Schwachstellen in Excel Das als kritisch eingestufte Security Bulletin MS09-009 betrifft Microsoft Excel: Je eine bisher …

Die bis dahin aktuelle Variante des RPC-Wurms Conficker/Downadup hat am 7. April begonnen, Code nachzuladen. Laut einem Bericht von Trend Micro wird die Peer-to-Peer-Funktion genutzt, um eine neue Variante des Wurms nachzuladen, der von Trend Micro als WORM_DOWNAD.E bezeichnet wird. Die neue Variante Laut Trend Micro und F-Secure wird sich die neue Variante am 3. Mai selbst deaktivieren. Bis dahin versucht sie, …

Der aktuelle "Conficker-Ausbruch" und ein XSS-Wurm auf Twitter sind die Themen dieses Standpunkt Sicherheit. Der Wurm ist los - na und? Nachdem manche Medien vor dem 1. April einen Riesenhype wegen des drohenden Zusammenbruchs des Internets gemacht haben, mussten sie ja nun, da der RPC-Wurm Conficker/Downadup tatsächlich Code nachlädt, entsprechend nachlegen. Panik wegen eines "neuen Virus"? Klar, in …

Die Chinesen kommen - oder sind sie schon da? Oder sind es gar keine Chinesen? In diesem Standpunkt Sicherheit geht es um das Spionagenetz GhostNet, Angriffe auf die Bundesregierung und ähnliches. Chinesische Geister Forscher der Universität von Toronto haben auf Rechnern der tibetanischen Exilregierung Teile eines von ihnen als GhostNet bezeichneten Spionage-Netzwerks entdeckt, das sich vor allem über …

Investitionen in Gupta-Anwendungen, -Datenbanken und -Reports können mit gezielten Portierungs-Techniken zukunftssicher gemacht werden. Wie das geht, zeigt das Beratungs- und Softwarehaus Fecher in einer "Porting Project Roadshow" in verschiedenen Städten Deutschlands. In Zusammenarbeit mit Microsoft möchte Fecher Anwendern und Herstellern Gupta-basierter Applikationen den Einstieg in die aktuelle .NET-Technologie und den Anschluss an …

Ende März versammelten sich Web-Accessibility-Experten aus aller Welt auf dem Europäischen Accessibility Forum Frankfurt 2009. Mehrere hundert Teilnehmer kamen in der Mainmetropole zusammen, um sich zu barrierefreien Webseiten, den kommerziellen Wert von zugänglichen Angeboten oder auch dem aktuellen Bild von Accessibility in Europa auszutauschen. Auf insgesamt sieben Paneldiskussionen wurde mitunter kontrovers …

Eine Gruppe von über 70 Unternehmen ist mit einem Open Cloud Manifesto an die Öffentlichkeit getreten. Das Manifest versteht sich nicht als Definition einer Cloud-Infrastruktur, sondern möchte vielmehr eine Debatte anstoßen, heißt es darin. Das 7-seitige Papier versucht eine Annäherung an den Begriff Cloud Computing überhaupt, untersucht die Herausforderungen und Probleme und beschreibt eine Reihe von Prinzipien, denen sich die …

Was macht der RPC-Wurm am 1. April? Dieser Standpunkt Sicherheit ist mein Beitrag zum Hype um den neuen Virus, der am 1. April das Internet zerstören wird, wenn man manchen Medienberichten Glauben schenkt. Was passiert am 1. April? Mit Sicherheit wird es wieder den einen oder anderen Aprilscherz geben, viel interessanter ist in diesem Jahr aber …

In About Security #196 wurden die Testeingaben für die Suche nach Pufferüberlauf-Schwachstellen beschrieben, in dieser Folge erfahren Sie, worauf Sie bei der Auswertung der Ausgaben achten müssen und wie Angriffe über Pufferüberlauf-Schwachstellen verhindert werden können. Pufferüberlauf-Schwachstellen finden Nach jeder präparierten Eingabe wird die Ausgabe der Webanwendung auf auffällige Zeichen hin überprüft. Da der Pufferüberlauf meist erst gegen Ende der Verarbeitungskette …

Version 8 des Microsoft-Browsers Internet Explorer steht zum Download zur Verfügung. Zu den herausragenden Neuerungen des IE8 gehört das Anzeigen von Webseiten, die an "alte" Browser-Versionen angepasst sind. Ein einzelner Klick auf den "Kompabilitäts-Ansicht"-Button genügt, damit verzerrte Texte und Bilder korrekt dargestellt werden. Mit "Schnellinfos" gelangen Anwender per Klick auf die rechte Maustaste …

Die GUUG-Konferenz 2009 ist zu Ende gegangen. Das Frühjahrsgespräch der German Unix User Group (GUUG) e.V. findet einmal im Jahr statt und richtet sich an Profis, die in den Bereichen Unix, Netze und IT-Sicherheit tätig sind. Unter einer Reihe von Vorträgen wurden u.a. die Ausführungen von Stefan Schumacher zum Thema "Psychologische …

Thema dieser Folge ist die Suche nach Pufferüberlauf-Schwachstellen in Webanwendungen. Pufferüberläufe (Bufferoverflows) kommen nur in kompilierten Programmen vor, während Webanwendungen meist in interpretierten Skriptsprachen geschrieben werden. Aber auch dabei können kompilierte Programme zum Einsatz kommen, z.B. wenn eine vorhandene Anwendung um eine Weboberfläche erweitert wurde oder die Webanwendung auf externe Komponenten zugreift. Auch die webbasierten Administrationsoberflächen von Geräten …

Die aktuelle Finanzkrise scheint für Wirtschaftexperten eine Zeit großer Verunsicherung zu sein, denn eines ihrer bisher mächtigsten Instrumente - die Prognose - versagt seinen Dienst. Im Augenblick fehlt die Erfahrung und das Vertrauen, um prognostisch sicher auftreten zu können, aber auch vorsichtige Äußerungen vermitteln keine Zuversicht und werden nicht selten auch noch …

Das mysteriöse Erscheinen von PIFTS.exe und was es damit auf sich hat ist das Thema dieses Standpunkt Sicherheit. Außerdem gibt es ein paar Bemerkungen zu Politikern und Stöckchen. Symantec und die PIFTS.exe Am Dienstag tauchte eine Datei namens PIFTS.exe auf vielen Rechnern auf, die irgendwie mit einem Norton-Update in Zusammenhang stehen musste und aufgrund ihres verdächtigten Verhaltens, einem …

Das Zeitalter der E-Books beginnt, so berichten die Kollegen des Web-Portals createordie.de. Aber was ist eigentlich ein E-Book, oder genauer: Welches Format sollte man wählen? Martynas Jusevičius hat sich für einen Kunden die gängigsten Formate angesehen und sieben Kriterien aufgestellt, die ein optimales E-Book erfüllen sollte: Offener Standard: Das Format ist detailliert …

Die CeBIT 2009 ist vorüber, Zeit für den schon traditionellen Bericht über Neuigkeiten. UTM mit identitätsbasierten Ansatz Cyberoam (deutscher Vertrieb über Intellicomp) hat eine Reihe von Unified Threat Management Appliances vorgestellt. Das besondere daran: Es handelt sich um identitätsbasierte Systeme, bei denen die jeweiligen Einstellungen für den jeweils identifizierten Benutzer und nicht für eine vorgegebene IP-Adresse bzw. einen vorgegebenen IP-Adressbereich …

In der Diskussion um die Beziehung von SOA und Cloud Computing stehen viele Leute aus dem Management im Nebel - meint jedenfalls David Linthicum in seinem Beitrag "SOA cloud computing relationship leaves some folks in a fog", der bei Government Computer News erschienen ist. Auch wenn dieses Portal auf Regierungs-IT spezialisiert …

Am März-Patchday hat Microsoft wie angekündigt ein als kritisch und zwei als wichtig eingestufte Security-Bulletins veröffentlicht, die insgesamt 8 Schwachstellen schließen. MS09-006: Drei Schwachstellen im Windows-Kernel Das insgesamt als kritisch eingestufte Security Bulletin MS09-006 betrifft drei bisher nicht öffentlich bekannte Schwachstellen im Windows-Kernel. Eine Schwachstelle in GDI erlaubt die Ausführung beliebigen Codes, wenn eine entsprechend präparierte EMF- oder …

Meine Eindrücke von der CeBIT 2009 und ein Kommentar zu Eugene Kasperskys neuesten Forderungen sind das Thema dieses Standpunkt Sicherheit. Über einige Neuvorstellungen von der CeBIT werde ich am Donnerstag in About Security berichten, hier möchte ich meine persönlichen Eindrücke von der Messe schildern. Die CeBIT 2009 war ... außergewöhnlich? ... merkwürdig? ... armselig? So richtig trifft keine …

Alle Features