Security

Firefox mit click-to-play absichern

Dieser Artikel ist älter als zwei Jahre und womöglich veraltet!

Immer wieder wird von Sicherheitslücken in den Plugins Flash und Java berichtet. Darüber können Internetseiten oft Schadcode in den Computer einschleusen und das System so mit eier bösartigen Software infizieren. Zumeist sind diese Angriffe auf der Webseite versteckt und nicht zu entdecken.

Wäre es nicht sinnvoll diese Elemente erst zu laden, wenn man sie wirklich braucht und das auch aktiv zulässt? Genau das ist in Mozilla Firefox bereits eingebaut. Mit der Einstellung click_to_play wird ein Inhalt, der normalerweiße sofort über ein Plugin dargestellt wird, erst aktiviert, wenn man darauf geklickt hat.

Flash-Anzeige

Diese Verhalten lässt sich in Firefox über die Einstellungsseite about:config einschalten. Um zu dieser zu gelangen muss man nur about:config in Adressleiste eingeben.

Hier erscheint eine Warnmeldung, bei der man versprechen muss vorsichtig zu sein, aber das ist man ja natürlich auch.

Warnung

Um nun die gewünschte Einstellungsmöglichkeit in der langen Liste zu suchen, gibt man plugins.click in die Suchleiste ein und erreicht so die Einstellung plugins.click_to_play. Durch einen Doppelklick darauf wird diese Einstellung aktiviert und Firefox fragt ab sofort bei Plugins den Benutzer.

Einstellung

Über einen Legostein links von der Adresse kann eine Domain bei vorhandensein von solchen Inhalten auch dauerhaft freigeschaltet werden.

Security

SQL-Injections vermeiden - Das kann doch nicht so schwer sein

Dieser Artikel ist älter als zwei Jahre und womöglich veraltet!
mysql_query("SELECT * FROM table WHERE id = " . $_GET["id"]);

Das ist schlichtweg der Albtraum für jeden, der sich schonmal mit Sicherheit in Datenbankanwendungen beschäftigt hat.

Die unsichere Verwendung von HTTP-Paramtern, oder generell von Daten, die vom Benutzer kommen, stellt eine große Gefahr für die Sicherheit eines ganzen Systems dar. Mittels eines SQL-Injection Angriffes kann meist auf die gesamten Daten der Datenbank zugegriffen und dort zum Beispiel Passwörter gestohlen werden.

Comic

In diesem Beispiel kann man an die zugehörige URL http://site.com/article.php?id=56 auch noch ein zweiter Datenbankbefehl angehängt werden, denn die ID des Eintrages wird nicht überprüft: http://site.com/article.php?id=56;SELECT...

Die einfachste Lösung besteht darin einfach den PHP-Befehl mysql_real_escape_string() zu verwenden, und damit die Daten in der Abfrage zu filtern. Schon durch diesen einfachen Befehl ist es nahezu unmöglich die Website durch diesn Angriff zu übernehmen.

mysql_query("SELECT * FROM table WHERE id = " . mysql_real_escape_string($_GET["id"]));

Leider ist diese Erkenntnis nicht sehr weit verbreitet. So musste ich erst heute eine politische Partei in meiner Umgebung vor ihrer eigenen Website warnen, da hier eine offensichtliche und leicht zu erkennende Sicherheitslücke besteht.

Später würde man wohl auf böse Hacker verweisen, die mit ihren hochkomplexen und auf keinen Fall vorhersehbaren Methoden Webseiten angreifen, die man einfach nicht besser schützen kann.

Gerade in Zeiten mit Werkzeugen wie sqlmap ist es ein leichtes solche Angriffe durchzuführen, wenn man auch nur etwas Ahnung von der Materie hat.

Update: Heute ist der 11.09.2012 und die besagte Lücke besteht noch immer. Anscheinend besteht auf Seiten der FPÖ keinerlei Interesse daran Hackerangriffe abzuwehren.

Eigenes Projekt

Erlagscheindrucker für Österreich

Dieser Artikel ist älter als zwei Jahre und womöglich veraltet!

Da ich auch nach längerem Suchen keine passende und kostenlose Lösung dafür gefunden habe, habe ich mich selbst ans Werk gemacht und einen Erlagscheindrucker für neue österreischische Erlagscheine programmiert.

Screenshot

[erlagscheindrucker-setup.exe](/assets/files/erlagscheindrucker-setup.exe) (Windows, 3.68 MB)

Das Programm wird einfach mit den erforderlichen Daten gefüttert und druckt diese dann auf einen Erlagschein, der im Drucker plaziert wird. Zudem ist es möglich die eigenen Daten, wie Namen, Anschrift und Kontonummer für weitere Verwendungen zu speichern. Felder, die nicht beschriftet werden sollen, weil sie zum Beispiel schon ausgefüllt sind, kann man einfach leer lassen.

Keine Haftung für durch das Programm verursachte Schäden. Alle Daten sind vor der Benützung des Erlagscheines nocheinmal zu kontrollieren!