Kategorie: Internet | Seite 15 | Blog für Rödermark. Nicht nur für Rödermark

Firma reagiert auf gemeldeten Fehler / Sicherheitsleck.

Veröffentlicht am 21. November 2015 von admin — Keine Kommentare ↓

Firma reagiert auf gemeldeten. Fehler /Sicherheitsleck.
Es gibt Firmen, die einen gemeldete Fehler/Sicherheitslücke von Anwendern ernst nehmen und entsprechende Maßnahmen einleiten.
Hier handelt es sich um eine richtige Firma und nicht um eine öffentliche Verwaltung.

Es gibt Verwaltungen, die ähnliche Hinweise nicht ernst nehmen bzw. versuchen, weiterhin existierende Fehler zu kaschieren. Da kann der Gedanke aufkommen „hier ist Jugend forscht am Werk und total beratungsresistent“

Nachtrag
» Es gibt Webmaster die sperren Besucher aus.
» So können Sie feststellen ob Ihre Webseite eine Schwachstelle hat.

Rödermark intern.
Aus dem Haushaltsplan 2024/2025
Haushaltssicherungskonzept
Ein Haushaltssicherungskonzept gem.
§ 92 a Abs. 1 Nr. 1 HGO entfällt in den Fällen, in denen der Saldo des Zahlungsmittelflusses aus laufender Verwaltungstätigkeit zwar nicht so hoch ist, dass daraus die Auszahlungen zur ordentlichen Tilgung von Krediten sowie ggf. an das Sondervermögen „Hessenkasse“ geleistet werden können, jedoch ausreichend ungebundene Liquidität für die Tilgungsleistungen und ggf. Auszahlungen an das Sondervermögen „Hessenkasse“ zur Verfügung steht.

Amerkung:
Wie es die zugänglichen Daten zum Haushalt zeigen, dürfte Rödermark Anfang 2025 nicht mehr in der Lage sein, die oben genannten Zahlungen weder aus laufender Verwaltungstätigkeit noch aus ungebundener Liquidität zu begleichen.
Wann wird der Magistrat den Stadtverordneten das Haushaltssicherungskonzept vorlegen? Nach der Bürgermeisterwahl?

Ein Kommentar. Schnelles Internet in Rödemark.

Veröffentlicht am 10. November 2015 von admin — 1 Kommentar ↓

Ein Kommentar. Schnelles Internet in Rödemark.

Heute erreichte ein Kommentar, @beobachter, zum Breitband den Blog für Rödermark. Diesem Kommentar kann man, wegen der teilweise lahmenden Internetgeschwindigkeit in Rödermark, ein wenig Wehmut entnehmen.

Hierzu muss gesagt werden. Die Stadt Rödermark arbeitet seit 2182 Tagen (Stand 10.11.2015) mit Hochdruck an einer Lösung. Man hat viele Ideen aufgeschnappt, investiert, und wieder fallengelassen. Jetzt gibt es eine weitere Planung. Einen genauen Termin zur Eröffnung der Internetautobahn in Rödermark kann man genauso schlecht voraussagen, wie einen Eröffnungstermin für den Flughafen in Berlin.

Eines scheint sich herauszukristallisieren. Bürgermeister Roland Kern, AL/Die Grünen, wird es wahrscheinlich NICHT schaffen, Rödermark in seiner Amtszeit (12 Jahre) Flächendecken mit der notwendigen Internetgeschwindigkeit zu versorgen.

Da bleibt nur eines. Bei der kommenden Kommunalwahl dafür zu sorgen, dass eine Fraktion oder Koalition nach der Wahl das Sagen hat, die auch mit dem Verständnis der NOTWENDIGKEIT für ein schnelles Internet für Gewerbe und Privat ausgestattet ist. Obwohl; Bienenvölker, Kultur oder auch das traditionelle Gewerbe ist wichtig.

Also Frau/Herr @Beobachter. Machen Sie im März an der richtigen Stelle Ihr Kreuz.

Was in Rödermark ratzfatz erledigt wird können Sie hier lesen.

Unter den 65 Ausstellern waren auch sechs Gäste aus Saalfelden, [..] Dessen Präsident Anton Göllner, [..] führte die Gruppe aus Österreich an und verriet: „Ich glaube, KiR hat es auch uns zu verdanken, dass sie das Seitzhaus als Kunsthaus haben: Ihr Bürgermeister war mit einer Delegation bei uns, als wir unseres eingeweiht haben, und war doch wohl etwas neidisch. ‚Ich glaube, ich weiß da auch etwas’, meinte er – und kurz danach hatte KiR das Kunsthaus zu seiner Verfügung.“ Quelle: OP-Online

Siehe auch
» Zusammenfassung Breitband.

» Babenhausen. Schnelles surfen ist jetzt möglich

» CDU, SPD und FDP wollen schnelles Internet. Die Grünen lehnen schnelles Internet ab.
» AL/Die Grünen. 2 Megabit wäre völlig ausreichend.

Breitband. So kann man sich den Anschluss vorstellen.

Rödermark intern
Wann wird die Verwaltung damit beginnen, ihren EIGENEN Auftrag und von den Stadtverordneten mit Mehrheit beschlossen, ein Sonder- und Gewerbegebiet nördl. der Germania zu ermöglichen, umzusetzen. Prüfung eines Sonder- und Gewerbegebiets nördl. Germania
Der Beschluss erfolgte am 9.02.2021. Irgendein Fortschritt ist für mich nicht zu erkennen.

Es gibt Webmaster, die sperren Besucher aus.

Veröffentlicht am 25. August 2015 von admin — 6 Kommentare ↓

Wie man die Webseite, ohne JavaScript aktiviert zu haben, wieder sichtbar machen kann, zeigt ein weiteres Beispiel aus der Serie -Jugend forscht-. Siehe unten unter „Den Teufel mit Belzebub ausgetrieben“.

Eine ziemlich stümperhafte Lösung
Ich habe bereits mehrfach etwas über Angriffe mittels X-Frame geschrieben. Wenn eine Webseite nicht gegen X-Frame abgesichert ist, kann es zu bösen Überraschungen für den Nutzer einer solchen Webseite kommen. Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auf diese Sicherheitslücke hin. Das BSI hat auch einen Vorschlag mit JavaScript veröffentlicht, wie man solche Angriffe abwehren kann. Dummerweise ist die vom BSI veröffentlichte Lösung völlig unbrauchbar und wird auch noch als: „Best-Practice-Ansatz„ geadelt.

Ohne JavaScript werden Webseiten, die dieses Script einsetzen, NICHT mehr angezeigt.
Interessanterweise weist das BSI auch darauf hin „JavaScript“ abzuschalten. Was denn jetzt? 🙁

Einem Anfänger könnte der Fehler passieren und dem Vorschlag vom BSI blind folgen. Wenn es darum geht, eine Webseite sicherzumachen, darf ich keine Anfänger damit beauftragen, die jeden Code ohne nachzudenken einbauen.
Warum wundert mich bei Behörden nichts mehr?

Um das Problem zu beseitigen, gibt es mehrerer Möglichkeiten.
Die dümmste Lösung wäre die folgende. Diese Lösung empfiehlt auch das BSI. 🙁

X-Frame. (Code wurde nachträglich geändert. Siehe weiter unten)

Warum? Ganz einfach. Wenn der Nutzer JavaScrip abgeschaltet hat, sieht der Borwser den HTML-Code wie folgt:

JavaScript wird NICHT ausgeführt. Die Webseite wird NICHT angezeigt.
Also Webmaster. Macht bitte nicht so einen Blödsinn. Es gibt ganz elegante Lösungen um Angriffe mittels X-Frame zu verhindern. Eine Sache von max. fünf Minuten.

Nachtrag. Code wurde erweitert. Siehe auch Kommentare.
Den Teufel mit Belzebub ausgetrieben.

Damit

hat man zwar das Problem mit der Webseitenanzeige abgestellt, aber gleichzeitig den Angriff mit X-Frame bei deaktiviertem JavaScript wieder zugelassen. Das MUSS man doch erkennen. 🙁

Zwei anonyme Kommentare kamen zeitnah nach der durchgeführten Änderung

Siehe auch
Aus gegebenem Anlass. JavaScript

Umstellung auf PHP 5.6

Veröffentlicht am 30. Juli 2015 von admin — Keine Kommentare ↓

Ich habe, so wie es sich gehört, heute auf die aktuelle Softwareversion PHP 5.6 upgedatet. Dadurch, dass ich immer darauf achte, nur mit aktueller und sicherer Software zu arbeiten, war die Umstellung in weniger als einer Minute für 15 URLs erledigt.

Weitere Gründe, sich von seiner veralteten PHP-Version zu verabschieden, sind:
» Wesentlich höhere Geschwindigkeit (je nach alter Version)
» Achtung bei PHP 5.3

[..]Dabei bleibt allerdings zu beachten, dass speziell die PHP-Version 5.3 bereits aus dem Jahr 2009 stammt und anders als PHP 5.4, 5.5 und 5.6 seit Mitte 2014 nicht mehr mit Sicherheitsupdates versorgt wird. [..] Quelle: do.de

Nachtrag
Wozu braucht man PHP?
PHP wird benötigt, um dynamische WEB-Seiten zu erstellen. PHP ist eine Programmiersprache (Scriptsprache), die im Gegensatz zu Java-Script, auf dem Server (z.B. bei Strato,1&1,….) läuft und HTML-Code erzeugt. Auf dem Client, dem Rechner, der die WEB-Seite angefordert hat, wird man PHP-Befehle nicht zu sehen bekommen. Allerdings kann ein falsch konfigurierter Server Ihnen den PHP-Code zustellen. Aber auf Ihrem Rechner passiert nichts. Der PHP-Code wird NICHT ausgeführt. Ist einfach nur Text. Ausgeführt wird nur der HTML-Code, Java-Script und ActiveX.

Ist eine PHP-Version veraltet oder unsicher, stellt dies keine Gefahr für den Client dar. PHP wird ja nur auf dem Server ausgeführt. Die Gefahr einer unsicheren PHP-Version ist dementsprechend serverseitig vorhanden. Da man bei PHP Parameter übergeben kann, besteht die Gefahr ungültige Werte übergeben zu bekommen, die schlampige Programmierer nicht immer überprüfen. PHP könnte unerwartete Ergebnisse liefern. Hacker nutzen solche Lücken.

Eine Webseite, die mit PHP erstellt wurde, können Sie an der Endung .PHP erkennen. Andere Endungen sind nicht unbedingt ein Indiz dafür, dass diese Seite NICHT mit PHP erstellt wurde.

CMS-Systeme wie WordPress oder Typo verlangen PHP.

Meine komplette Sammlung von selbst erstellten Plugins für WordPress laufen dank guter Vorbereitung problemlos weiter. Alle, mit PHP erstellten Projekte (Webseiten), wurden ohne jegliche Probleme umgestellt. WordPress sowieso.

Bemerkung zu Java-Script. Java-Scripte können Sie direkt im HTML-Code sehen (oder den Link auf ein zu importierendes Script). Java-Script wird auf dem Client ausgeführt und deshalb stellt eine unsichere/veraltete Version eine große Gefahr dar.

Siehe auch
So können Sie feststellen ob Ihre Webseite eine Schwachstelle hat

Rödermark intern.
Der Termin für die Bürgermeisterwahl wurde beschlossen. 26. Januar 2025. Der Hebesatz für die Grundsteuer B wird ab dem 1.1.2025 von 715 Prozentpunkte auf 800 Prozentpunkte angehoben.
Ich glaube, im Jahr 2025 wird eine weitere Grundsteuer B Erhöhung geben MÜSSEN. Die Haushaltsdaten sprechen eine deutliche Sprache. Aber erst nach der Bürgermeisterwahl.

So können Sie feststellen ob Ihre Webseite eine Schwachstelle hat.

Veröffentlicht am 28. Juli 2015 von admin — 5 Kommentare ↓

Ist die Webseite anfällig gegen Phishing/Clickjacking?

In dem Beispiel können Sie Ihre Webseite testen, ob diese anfällig gegen Phishing/Clickjacking ist.

Selbstverständlich können nicht alle Sicherheitslücken überprüft werden. Da das hier getestete Sicherheitsrisiko fast ohne jeglichen Aufwand zu schließen ist, sollte jeder Webmaster die entsprechenden Vorkehrungen treffen.

Die Testseite zeigt im Ansatz Clickjacking/Phishing (entführen eines Mausklicks, abfischen von Zugangsdaten) bei unsicheren Webseiten. Hiermit wäre es möglich, die Zugangsdaten (z.B. Ihr WordPress Zugang) auszuspähen. Wenn Sie mehr zu Clickjacking/Phishing erfahren wollen, suchen Sie im Netz.

Das Testbeispiel ist nicht als Beispiel geeignet, wie ein Hobby-Hacker an Ihre Zugangsdaten gelangen kann. Es zeigt aber, wie schnell man durch einen unachtsamen Klick diese preisgeben kann. Stellen Sie sich nur einmal vor, Sie haben vor dem Mausklick in entsprechende Felder Ihre Zugangsdaten eingegeben.

Ein ausgefeilteres Beispiel habe ich dem Datenschutzbeauftragen zugestellt. Er sieht dieses Sicherheitsleck so wie ich als schwerwiegende an. Schwerwiegend auch deshalb, weil die Beseitigung max. 5 Minuten (für einen Anfänger) in Anspruch nimmt.

Webmaster, die öffentliche Seiten erstellen und dieses Sicherheitsleck nicht beseitigen, sind beratungsresistent oder einfach nur ….. oder grob fahrlässig.

Man wird sich wundern. Bei fast allen Seiten, die Sie testen werden, wird man dieses Sicherheitsrisiko vorfinden. Und dann wird das ja wohl nicht so schlimm sein. Die Anderen haben das Risiko auch nicht beachtet. Wenn etwas passiert, wird das Geschrei groß sein. Versuchen Sie es aber einmal mit der Webseite für Ihr Onlinebanking (Login).

HINWEIS: Im Rahmen eines wohl eigens aufgesetzten Projekt, angelehnt an „Jugend forscht“ wurden Lösungen implementiert, die zeigen wie …….. man die Sache angehen kann. Bevor man den Test macht, sollte man die Vorgehensweise dieser ….. kennen. Siehe hierzu: Es gibt Webmaster die sperren Besucher aus.

Hier geht es zum Test

Seit 2011 weise ich auch diverse Unternehmen und auch Kommunen auf dieses Problem hin. Auch die Sparkasse Dieburg hatte in 2011 dieses Sicherheitsrisiko nicht beachtet. Die Sparkasse hat anders als verschiedene Besserwisser oder vermeintlich besser geschulte Webmaster gehandelt und das Problem beseitigt.

…..[]…Wir haben Ihren Hinweis aufgenommen und bereits an unser Rechenzentrum zur weiteren Verifizierung weitergeleitet.

Und schwupp, das Problem war beseitigt. Siehe.

Nachtrag
Eine große Stadt in Bayern wehrt sich jetzt gegen diese Art von Angriff.

Siehe auch
» Der Hessische Datenschutzbeauftragte. Datenschutz
» Bundesamt für Sicherheit in der Informationstechnik BSI

Cookie	Dauer	Beschreibung
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.