WordPress: Sicherheitslücke in Slider-Plugin weiter problematisch

Unter dem Titel “Schadcode nutzt Monate alte WordPress-Lücke aus” wird bei heise eine lange bekannte und bereits behobene Sicherheitslücke in einem WordPress-Plugin besprochen. Wer nur die Überschriften überfliegt, wird sich Probleme bei WordPress Sicherheit merken. Im Text wird deutlich, worum es eigentlich geht:

Sicherheitsforscher warnen erneut vor einer seit Monaten bekannten Sicherheitslücke im beliebten WordPress-Plug-in Slider Revolution. Die Lücke wird mittlerweile aktiv ausgenutzt, um die Webseiten mit dem sogenannten SoakSoak-Schadcode zu infizieren.

Ein “Plugin” zwischen WordPress und Lücke hätte der Überschrift gut getan. WordPress hat es als derzeit meistgenutztes CMS in punkto Sicherheit gewiss nicht leicht. Doch die Überschrift verkürzt und erweckt den Eindruck in diesem Fall handele es sich um ein WordPress-eigenes Problem ganz so als ob eine unsichere Android-App dem Betriebssystem zur Last gelegt würde. Das Plugin ist aber nicht einmal über das offizielle Pluginverzeichnis verfügbar.

Auch ist nicht ersichtlich warum bei heise von einem beliebten Plugin gesprochen wird. Kennt die Redaktion die Verkaufszahlen des kostenpflichtigen Plugins? Nebenan bei WordPress Doc gibt es übrigens eine Sammlung zum Thema Sicherheit für das WordPress-System.

WhatsApp: Auch bei Offline-Status online

heise berichtet über eine Studie Nürnberger Forscher die auf Basis der Daten von 1.000 WhatsApp-Nutzern umfangreiche Analysen erstellen konnten.

Selbst wenn man der App sagt, sie soll den eigenen Status und wann man zuletzt online war nicht anzeigen, können andere Nutzer noch sehen, wann man online ist – und dazu müssen sie lediglich die richtige Telefonnummer wissen. […] Obwohl eine begrenzte Anzahl von Endgeräten Statusinformationen von tausenden von Nutzern über Monate hinweg sammelte, machte WhatsApp keine Anstalten, dieses Verhalten zu unterbinden. Und dabei unterschied sich die Netzwerk-Nutzung der Forscher eindeutig vom normalen Verhalten eines WhatsApp-Clients. […]

Im ersten Moment erscheint das Datenleck als nebensächlich. Führt man sich allerdings vor Augen, dass der Chef, Arbeitskollegen oder der Lebenspartner jederzeit sehen können, wenn man die App öffnet, wird das Problem deutlicher. […] So werden zum Beispiel in vierzig Prozent aller Scheidungsprozesse in Italien, denen Ehebruch zugrunde liegt, WhatsApp-Nachrichten als Beweis für Untreue angeführt. [Hervorh. d. Autor]

Auf der Website der Forscher finden sich Hintergrundinformationen, sowie die Möglichkeit einzelne Nutzerprofile anonymisiert zu betrachten.

Webkrauts Adventskalender: 24 Türchen rund um Webstandards

Heute geht es los: Der Webkrauts Adventskalender öffnet wieder täglich seine Türe und präsentiert Know How und Ideen rund um Webstandards und Webentwicklung. Zum Start dekliniert Nils Pooker einen “Projektverlauf aus dem Bilderbuch” durch.

Durch moderne Browser auf unzähligen, immer wieder neuen Ausgabegeräten mit unterschiedlichen Bildschirmgrößen haben sich auch die Anforderungen an das Projektmanagement responsiver Webseiten drastisch verändert. Wir geben euch Tipps, wie ihr ein Web-Projekt plant, konzipiert, gestaltet, entwickelt und betreibt, so dass dabei weder Zeit oder Budget überschritten werden noch die Qualität leidet.

Die einzelnen Türchen lassen sich ab sofort auf der Startseite der Webkrauts öffnen.

ODF vs. XML: Die Nutzung von Microsofts Dokumenten-Format ist ein Eigentor

Marcus Dapp, Dozent an der ETH Zürich und aktiv in der Open Knowledge Foundation, erklärt in einem Gastartikel bei netzpolitik.org, warum die Nutzung des XML-Formats nicht nur aus ideellen, sondern auch aus wirtschaftlichen Gründen nicht zu empfehlen ist. Der Autor fokussiert dabei deutsche Verwaltungen, die denen in europäischen Nachländern hinterherhinken würden. Kurz zusammengefasst gibt es derzeit vier Standards bei Bürodokumenten:

  • ODF, das OpenDocumentFormat, das “herstellerneutral, rechtlich und technisch offen zugänglich und öffentlich erarbeitet ist” (Dapp)
  • OOXML, Office Open XML, von Microsoft entwickelt und nicht grenzenlos zugänglich in drei Varianten, “ECMA”, “Transitional” und “Strict”

Das Problem der OOXML-Varianten ist laut Dapp, dass sie untereinander inkompatibel sind. Er fasst das wie folgt zusammen:

Office 2007 liest und schreibt in “ECMA”
Office 2010 und neuer schreiben “Transitional”
Office 2013 liest und schreibt – nicht “Strict”, jedenfalls nicht gemäss ISO/IEC 29500

Das kuriose daran sei, dass nicht einmal Microsoft selbst die Strict-Variante vollständig einsetzt. Probleme mit Dateien aus verschiedenen Microsoft Office-Generationen sind vorprogrammiert. Eingebettete Objekte können verloren gehen oder Fehler bei Grafiken auftauchen. Für öffentliche Verwaltungen kann das zu handfesten Schwierigkeiten führen: So muss entweder veraltete Büro-Software weiterhin betrieben werden, damit Dateien im Rahmen von Aufbewahrungsfristen noch problemlos geöffnet werden können. Oder Dateien müssen umgewandelt werden. Marcus Dapp stellt dazu berechtigte Fragen:

Welche Stadtkämmerei kann in solch einem Umfeld dem Budget-Spreadsheet von 2007 noch trauen, wenn es nicht mehr mit Office 2007 geöffnet wird, weil Microsoft den Support eingestellt hat? Wer kann der Verwaltung Garantien geben, wenn es auch der Hersteller nicht tut, z.B. durch eine Office-Version, die alle Formatvarianten sicher und verlustfrei verarbeiten kann? […] Warum sollte die Kunden diese Kosten [einer Dateiumwandlung] tragen, wenn sie sie gar nicht verursacht haben?

Auch wenn sich der Autor in seinem Artikel auf staatliche Einrichtungen konzentriert. Diese Fragen stellen sich gleichermaßen oder ähnlich auch für Selbständige, Unternehmen oder Privatpersonen. Wenn etwa der Briefverkehr mit Kunden eine Aufbewahrungsfrist von sechs Jahren hat, dann sollte überlegt werden, ob das abspeichern in einem der OOXML-Formate die effizienteste Lösung ist. Dabei kann nicht nur freie Software wie LibreOffice die Alternative, das OpenDocumentFormat, speichern, sondern auch das Pendant von Microsoft.

ownCloud 7.0.3 veröffentlicht

Soeben wurde die Version 7.0.3 von ownCloud veröffentlicht. Neben verschiedenen Sicherheitsfixes und Fehlerbehebungen in der Zusammenarbeit mit OS X-Servern, gibt es nun bessere Beschreibungen der ownCloud-Apps. Die Konfiguration des Datenverzeichnisses wurde verbessert. Alle Änderungen können im Changelog nachvollzogen werden.

Die Aktualisierung kann mit der integrierten Updatefunktion oder mit der Datei unter https://download.owncloud.org/community/owncloud-7.0.3.tar.bz2 durchgeführt werden.

Webmail-Alternative: rainloop auf dem uberspace betreiben

Auf der Suche nach Alternativen zu roundcube, dass beispielsweise immer noch keine native CardDav-Synchronisation mit sich bringt, ist während dem Warten auf mailpile das Projekt rainloop aufgetaucht. Die Webmail-Software steht unter CreativeCommons-Lizenz (BY-NC-SA) und ist für den privaten Einsatz kostenlos. Die Form der Lizenzierung ist ungewöhnlich, und rainloop damit auch nicht wirklich freie Software, selbst wenn die Entwicklung auf github nachvollzogen werden kann. Aber bei einem ersten Test der Online-Demo weckt es Begeisterung und mit folgenden Schritten läuft es nach wenigen Minuten auf dem eigenen uberspace. Einige der Pluspunkte von rainloop sind:

  • schlanke Weboberfläche
  • mehrere E-Mail-Konten und/oder Identitäten in einem Account verwalten
  • CardDav-Synchronisation der Kontakte z. B. mit der eigenen ownCloud

So wandert rainloop auf den eigenen uberspace. Zuerst mit Putty (oder vergleichbaren Client) den eigenen uberspace kontaktieren. Im Beispiel wird davon ausgegangen, dass rainloop im Ordner /var/www/virtual/username/html/rainloop installiert werden soll. username und hostname sind im Zweifelsfall im Datenblatt zu finden. Nach dem Verbinden wechseln wir in das Zielverzeichnis.

cd /var/www/virtual/username/html/rainloop/

Jetzt wird die neuste Version von rainloop in das Verzeichnis geladen.

wget http://repository.rainloop.net/v2/webmail/rainloop-latest.zip

Zum Schluss wird die Zip-Datei entpackt.

unzip rainloop-latest.zip

Über username.hostname.uberspace.de/rainloop ist Rainloop nun zu erreichen. Damit ein komfortabler Zugriff möglich ist, kann noch ein Verweis für eine Subdomain angelegt werden. Dazu zunächst in das Hauptverzeichnis wechseln.

cd /var/www/virtual/username/

Dann eine Verknüpfung anlegen (am Beispiel der auf uberspace hinterlegten Adresse domain.tld):

ln -s /var/www/virtual/username/html/rainloop mail.domain.tld

Rainloop ist nun unter mail.domain.tld erreichbar. Zunächst sollten unter mail.domain.tld/?admin einige Einstellungen vorgenommen werden. Der Standardzugang admin mit dem Passwort 12345 sollte als erstes geändert werden. Unter Domains kann etwa der uberspace-Mailserver eingetragen werden. Dazu auf Add Domain gehen und die Daten eintragen. Im Anschluss sollte das Anmelden unter mail.domain.tld mit den bei uberspace eingerichteten E-Mail-Adressen möglich sein.

Übrigens: Bereits standardmässig sind Yahoo, Outlook.com oder Google Mail eingerichtet. Wer erstmal nur die Funktionen ausprobieren möchte, meldet sich einfach mit der bei einem dieser Anbieter registrierten an. Das in der Einleitung versprochene Feature der CardDav-Synchronisation gibt es nach Aktivierung der Adressbuchfunktion und eben der Synchronisation unter Contacts im Administrationsbereich. Als letzter Hinweis sei angebracht, dass rainloop in einem nutzbaren, aber nicht stabilen Entwicklungsstatus ist.

KeePass-Integration: Thunderbird und KeeFox arbeiten zusammen

Seit einiger Zeit ist es möglich die Erweiterung KeeFox, die die Software zur Passwortverwaltung KeePass mit dem Browser Firefox verbindet, auch im E-Mail-Client Thunderbird einzusetzen. Dies ist noch nicht so komfortabel möglich wie im Mozilla Firefox, aber mit wenigen Schritten sind die Passwörter zum E-Mail-Konto sicherer abgelegt. Sollten die eigenen Passwörter nicht im Kopf oder anderweitig verfügbar sein, sollten diese zuvor notiert werden. Sie können über Einstellungen > Sicherheit > Gespeicherte Passwörter > Passwörter sichtbar gemacht werden.

  1. In Mozilla Thunderbird unter Einstellungen > Sicherheit > Gespeicherte Passwörter alle gespeicherten Passwörter löschen.
  2. Im Thunderbird unter Add-ons die Erweiterung KeeFox installieren. Den Thunderbird schließen.
  3. KeePass (und die eigene KeePass-Datenbank) öffnen und manuell die Zugangsdaten zu den einzelnen E-Mail-Konten eintragen. Jeweils einen neuen Eintrag erstellen und Benutzername und Passwort eingeben und unter URL eine beliebige Adresse (z. B. Ort der Webmail-Anwendung, sofern vorhanden) angeben. Unter dem Reiter KeeFox > URLs alle Serveradressen (z. B. pop.domain.tld, smtp.domain.tld) angeben.
  4. Die KeePass-Datenbank speichern.
  5. Thunderbird starten und einmalig den KeeFox-Code bestätigen, der angefordert wird. Dieser wird von KeeFox automatisch angezeigt.

Da die Passwörter zu den E-Mail-Konten Thunderbird nicht mehr vorliegen fragt das Programm diese nun bei jedem Start ab. KeeFox füllt – wenn alles glatt ging – die Abfrage automatisch aus und es muss lediglich mit Ok bestätigt werden. Diese Anleitung basiert auf einer Anleitung des KeeFox-Entwicklers.

Webdesign: Freie Icon-Bibliotheken für @font-face

Die folgende Übersicht zeigt eine Vielzahl an Icon-Bibliotheken unter freier Lizenz, die mittels @font-face im Webdesign eingesetzt werden können. Alle Schriften dieser Auswahl können bei kommerziellen Projekten eingesetzt werden. Jedoch sollte beim Herunterladen die jeweilige Lizenz nochmals überprüft werden, da sich diese bei neuen Versionen ändern kann.

NameAnzahl der IconsLizenz
Font Awesome479OFL
IconMoon Limited450CC-BY oder GPL
Typicons336OFL
Foundation Icons283MIT-License (laut CSS-Datei im Downloadpaket)
entypo250+CC-BY-SA
Open Iconic223/OFL
Sosa160+Frei für kommerzielle und private Nutzung
Heydon Pickering Fonts (zwei Schriftarten)116OFL
Raphaël Icon-Set110+MIT License
Genericons110+GPL 2
Modern Pictograms102OFL
Just Vector100+Free Art License

Audio-Bearbeitung: Version 2.0.6 von Audacity veröffentlicht

Die Version 2.0.6 der freien Software Audacity wurde veröffentlicht. Nach knapp einem Jahr erfolgt nun eine Aktualisierung der Audio-Software, die für Windows-, Mac- und Linuxsysteme verfügbar ist. Neben der Behebung verschiedener Fehler wurden diverse Verbesserungen beim Interface und den Audio-Effekten vorgenommen. Auch die neue portable Version, etwa für die Verwendung vom USB-Stick aus, steht bereits zu Verfügung.

Facebook: Automatische Videowiedergabe deaktivieren

Facebook ermöglicht seit Kurzem die automatische Wiedergabe von Videos zu deaktivieren. Dazu kann unter Einstellungen > Videos bei “Videos automatisch abspielen” die Option “Aus” gewählt werden. Das Deaktivieren der Funktion in der Facebook-Handyapp ist auf einer eigenen Hilfeseite erklärt. Hier kann die Wiedergabe generell deaktiviert, oder so konfiguriert werden, dass sie nur bei WLAN-Nutzung anspringt.