API der Hölle: Magento-Shops lassen sich über REST und SOAP kapern
(Bild: Brandon Grasley, CC BY 2.0 ) Die Online-Shop-Software Magento hat mit einem Patch kritische Sicherheitslücken geschlossen. Über eine davon können unangemeldete Angreifer aus der Ferne beliebigen Schadcode ausführen und den Shop samt Kundendaten kapern. Ein Update behebt sechs Lücken im Online-Shop-CMS Magento. Zwei der Lücken sind kritisch, eine davon kann mit einem CVSS-Score von 9.8 als äußerst bedrohlich bezeichnet werden. Hier konnten Angreifer beliebigen Schadcode über eine API ausführen. Die andere kritische Lücke betrifft das Installations-Verzeichnis, das nach der Installation noch ausführbare Dateien enthält. Auch hier können Angreifer den Online-Shop komplett übernehmen. Die Beschreibung der Lücke APPSEC-1420 liest sich wie ein Horror-Szenario: Über standardmäßig bei vielen Installationen aktivierte REST- und SOAP-APIs können Angreifer beliebigen PHP-Code aus der Ferne ausführen. Ohne sich dafür in irgendeiner Weise ausweisen zu müssen. Welche Versionen der Software genau betroffen sind, sagen die Magento-Entwickler nicht. Allerdings empfehlen sie allen Nutzern des 2.x-Zweiges direkt auf die neue Version 2.0.6 umzusteigen. Jetzt patchen! Wie das Einspielen des Updates bei den unterschiedlichen Magento-Ausgaben bewerkstelligt werden kann, beschreibt eine von den Entwicklern bereitgestellte Informations-Seite zu den Patches. Neben den zwei kritischen Lücken werden mit dem Update auch noch vier Bugs entfernt, von denen jeweils zwei mit den Prioritäten „Hoch“ und „Medium“ versehen sind. Magento hat immer wieder mit kritischen Lücken zu kämpfen. Da es in der Natur eines Online-Shops liegt, dass dort wichtige private Informationen der Kunden gespeichert sind, sollte das Patchen dieser Installationen für Admins höchste Priorität haben. Leider ist das nicht immer der Fall, manchmal mit katastrophalen Folgen, wie die Geschichte des Updates SUPEE-5344 zeigt. Korrektur: Den Anriss-Text bezüglich der Besitzverhältnisse des Magento-Codes angepasst. (fab) noch ein Nachrichten-Blog noch ein Blog mit...
MehrBibione: Urlaub am Meer an der venezianischen Küste
Die italienische Adria ist wegen ihrer paradiesischen Sandstrände als Sommerreiseziel bekannt. Entlang der Oberen Adria erwarten Sie zahlreiche Lagunen, die ideal für einen Familienurlaub mit Kindern sind, denn das Meer ist flach und vor Wellen gut geschützt. Der zur Gemeinde San Michele al Tagliamento gehörende Ort Bibione hat aber noch einiges mehr zu bieten, so dass sich eine Reise dorthin auch außerhalb der Sommermonate lohnt. Entdecken Sie Bibione Der Ferienort vereint Strandvergnügen und Natururlaub. Inmitten eines Pinienhains gelegen, lädt Bibione zu Spaziergängen und Radtouren ein. Das Stadtbild wird durch eine einladende Hotellerie charakterisiert. Besonders bei Familien erfreut sich Bibione größter Beliebtheit, da sowohl in den meisten Hotels als auch am Strand eine Kinderbetreuung angeboten wird, so dass auch die Erwachsenen beruhigt entspannen können. Einen weiteren Vorteil für den Familienurlaub stellt der rauchfreie Strand dar, der erste seiner Art in ganz Italien. Der 8 Kilometer lange, goldene Sandstrand von Bibione wird regelmäßig mit der Blauen Flagge ausgezeichnet und von Rettungsschwimmern überwacht. Die Einwohner sind für ihre herzliche und gastfreundliche Art bekannt. Bibione gehört zu den sichersten Badeorten in Italien. Auch für Menschen mit eingeschränkter Mobilität ist bestens vorgesorgt, es gibt Rampen, die bis ans Meeresufer reichen, und auch behindertengerechte Sanitäranlagen sind vorhanden. [embedded content] Kulinarische Hochgenüsse Nicht nur der Strand in Bibione ist traumhaft, Urlauber dürfen auch kulinarische Hochgenüsse erwarten. In den Restaurants der Stadt werden in der Regel regionale Produkte verwendet und die Ökogastronomie blüht. Im Umland von Bibione wird Spargel kultiviert, der als Spezialität der Region gilt. Das nahe gelegene Weinanbaugebiet Lison Pramaggiore sorgt dafür, dass immer ein edler Tropfen zum Essen bereit steht. Sport & Unterhaltung Bibione ist nicht nur für Familien ideal, auch Singles, Paare und Jugendliche fühlen sich gut aufgehoben. Dafür sorgt das vielfältige Angebot an Freizeitaktivitäten und Unterhaltung. Neben Wanderungen und Radtouren sind vor allem Wassersportarten beliebt, Segeln, Windsurfen und Kajaking sind nur einige davon. Am Abend sind die Bars und Diskotheken des Ortes ein beliebter Anlaufpunkt. Zudem ist der Urlaub mit Hund in Bibione besonders schön, denn im Bezirk Lido die Pini wurde eigens für die Vierbeiner und deren Besitzer ein etwa 300 Meter langer Strandabschnitt eingerichtet. Wellness- und Slow-Urlaub Bei einer Reise im Winter muss man aufs Schwimmen nicht verzichten, dafür sorgt das ortsansässige Thermalbad. Die Bibione Thermae verwöhnt Besucher mit attraktiven Wellnessangeboten, wie Fango-Packungen, Saunas und Kräuterbädern. Um zu entspannen, ist die Therme genau der richtige Ort, darüber hinaus ist Bibione als Reiseziel für Slow-Urlaub bekannt. Dieser bietet Ruhe und Muße und sorgt für eine Entschleunigung des sonst so stressigen Alltags. Die Vielfältigkeit der Angebote macht den Badeort an der Adria zu einem der gefragtesten Reiseziele weltweit, besuchen Sie Bibione und erleben Sie einen Slow-Urlaub der besonderen Art. noch mehr Nachrichten mehr zu diesem...
MehrLinkedIn-Passwort-Leck hat desaströse Ausmaße
(Bild: dpa, Jens Büttner) Beim Passwort-Diebstahl gab LinkedIn bereits 2012 eine erbärmliche Figur ab. Jetzt stellt sich auch noch heraus, dass nicht nur die damals veröffentlichten 6 Millionen Passwörter geklaut wurden, sondern über 100 Millionen im Untergrund gehandelt werden. Web-Site-Hacks passieren fast täglich. Der von LinkedIn 2012 war in mehrerer Hinsicht besonders. Er offenbarte, dass die Sicherheitsvorkehrungen des Kontakt-Netzwerks nicht einmal elementaren Standards genügten, was heise Security schon damals zu einem bösen Kommentar zum schlampigen Umgang mit Passwörtern bei LinkedIn veranlasste. Vier Jahre später zeigt sich, dass alles noch viel schlimmer ist. LinkedIn hat sich nie dazu herabgelassen, seinen Nutzern zu erklären, was da eigentlich genau passiert ist und welches Ausmaß das Problem hatte. Man sprach lediglich vage von einigen betroffenen Nutzern. Ein veröffentlichter Datensatz mit 6,5 Millionen LinkedIn-Passwörtern erwies sich als echt, aber konkrete Zahlen nannte LinkedIn nie. Jetzt bietet ein Unbekannter unter dem Pseudonym „Peace“ im Untergrund für 5 Bitcoins rund 117 Millionen LinkedIn-Passwörter zum Kauf an ? und auch die erweisen sich als echt. Kurz nach den ersten Berichten bestätigt LinkedIn die Echtheit der Daten und kündigt an, man wolle Maßnahmen ergreifen, den möglichen Schaden einzugrenzen. Passwortknacker freuen sich Die 2012 veröffentlichten Passwörter waren zwar gesichert, aber nur als einfacher Hash ohne Salt. Damit boten sie sich als ideales Übungsmaterial für Cracking-Experimente an und Passwortknacker aller Länder machten sich einen Sport daraus, den Hashes echte Passwörter zuzuordnen. Es ist anzunehmen, dass auch die jetzt angebotenen 100 Millionen nicht besser gesichert waren und sich ebenfalls leicht knacken lassen. Dieses Passwort-Leck hat damit Bedeutung weit über LinkedIn hinaus. Nicht nur, dass viele Anwender die gleichen Passwörter nach wie vor für mehrere Zugänge nutzen und somit auch deren Facebook, Google oder Xing-Account in die Schusslinie der Angreifer kommt. Echte Passwörter sind auch ein wichtiger Rohstoff für Cracker und deren fortgeschrittene Algorithmen. Die kann man nämlich damit so trainieren, dass sie zukünftig noch effizienter arbeiten. Mehr dazu erklären die c’t-Artikel: (ju) noch ein Nachrichten-Blog noch ein Blog mit...
MehrTeslaCrypt-Entwickler entschuldigen sich bei den Opfern der Ransomware
Die Entwickler der Ransomware TeslaCrypt geben auf. Die Entwickler der Ransomware TeslaCrypt haben sich öffentlich bei allen entschuldigt, die Opfer der Malware geworden sind. Zudem veröffentlichte man einen Masterkey, mit dem sich die Dateien entschlüsseln lassen, die noch mit der Ransomware verschlüsselt sind. Wer sich Ransomware einfängt, dem bleibt oft nichts anderes übrig, als der Lösegeldforderung nachzukommen, um seine mit der Malware verschlüsselten Dateien wieder nutzen zu können. TeslaCrypt-Entwickler geben auf Es steckt ein gewisses Maß an krimineller Energie dahinter, wenn man Ransomware entwickelt und verbreitet, denn man tut dies mit dem Gedanken, dass man Lösegeld erpressen kann. Da erstaunt es umso mehr, dass die Entwickler der Software TeslaCrypt nun eine Entschuldigung veröffentlicht haben, die sich an alle Opfer der Ranomware richtet. Es wurde ein Masterkey veröffentlicht, über den sich alle mit TeslaCrypt verschlüsselten Dateien entschlüsseln lassen. Wer also von der Ransomware betroffen ist, der muss nur diesen Key eingeben. Mit den Worten „We are sorry!“ entschuldigen sich die Hintermänner auch bei allen, denen sie Probleme bereitet haben. Warum man sich zu diesem Schritt entschlossen hat, ist unklar. Angeblich ziehen sich die Entwickler komplett aus der „Branche“ zurück. Zumindest hat sich dies schon seit einiger Zeit abgezeichnet, wie Sicherheitsexperten von ESET bekannt gegeben haben. Denn diese hatten über das Darknet bei den Entwicklern von TeslaCrypt nachgefragt, ob sie den Masterkey herausgeben würden, woraufhin überraschenderweise die Zustimmung mit der Entschuldigung folgte. Hinzu kommt, dass TeslaCrypt in jüngster Zeit immer weniger genutzt wurde, da diejenigen, welche die Ransomware verteilen, auf die neue Software CryptXXX umsteigen. Die Entwickler von TeslaCrypt geben an, dass diejenigen, die noch von der Ransomware betroffen sind, einfach warten sollten, bis Dritte ihnen den Masterkey bereitstellen. Damit würde man sich aus dem „Geschäft“ verabschieden. Der Masterkey wurde auch ausprobiert und er funktioniert. Er ist nun Bestandteil der Software Tesladecoder, über welche man alle Dateien entschlüsseln kann, die mit den TeslaCrypt-Versionen 1.0 bis 4.0 verschlüsselt wurden. /ab Bild-Quellen: IVAN DAVID GOMEZ ARCE / FLICKR News Redaktion am Freitag, 20.05.2016 14:17 Uhr Tags: key ransomware teslacrypt Weitere interessante News weitere Meldungen noch mehr aus...
MehrNachhaltig reisen: ?As Friends toKenya?
Afrika erleben mit dem innovativen Mit-Reiseprojekt ?Ich bin mit dieser Reise an meinem persönlichen Ziel angekommen. Ich habe nicht nur einen touristischen Blick aus der Ferne erhascht, sondern die Luokultur kennengelernt, Alltag erlebt und ein unheimlich tolles Miteinander erfahren?,so die 63jährigeSusanne Ebeling über ihre nachhaltige Kenia-Reise mit dem Hauch von Abenteuer, nachdem sie nach Deutschland zurückkehrt.Sie hatte sich mit dem Mit-Reiseprojekt des Fuldaer Vereins ?Lebendige Kommunikation? e.V., begleitet von einer afrika-erfahrenen Mitarbeiterin,auf den Weg nach Afrika gemacht. Mit 10 weiteren ?Friends? (SeniorInnen aus Deutschland) lebte sie zu Gast bei einer kenianischen Farmer Familie und teilte deren Lebensalltag. Sie schliefin einem afrikanischen Lehmhome und lernte die kenianische Kultur Tag für Tag ein Stückchen mehr kennen und verstehen. Kurzum: sie tauchte jenseits touristischer Fassaden für 17 Tage in eine andere Welt ein. Begegnung von Mensch zu Mensch.Zu Gast bei einer kenianischen Familie sind die mit-reisenden ?Friends? von deren Herzlichkeitumgeben. Hier ist es ein Leichtes, sich von der kenianischen Lebensfreude anstecken zu lassen und gemeinsam zu afrikanischen Rhythmen zu singen und zu tanzen. Aber auch zum gemeinsamen Wasserholen, zur Feldarbeit und zum Kochen laden die Gastgeberinnen ein und geben Einblick in ihren Lebensalltag. Auf diese Weise lernen die Gäste aus Europa wie nebenbei die kenianische Kultur tiefer verstehen ? eine Erfahrung, die für EuropäerInnen durchaus eine Möglichkeit sein kann, sich neu zu orientieren. Abenteuer und Nachhaltigkeit erleben. Das Mit-Reiseprojekt ?As Friends toKenya? wirkt über die Dauer der Reise hinaus: Unsere Kooperationspartnerinnen, die Gastgeberinnen, erwirtschaften sich durch das Mit-Reiseprojekt ein Einkommen, das sie in den Aufbau und die Weiterentwicklung nachhaltiger Projekte investieren, wie ihre Gesundheitsstation. Die ?Friends? aus Europa wiederum nehmen aus den Erfahrungen in der kenianischen Familie ein tieferes Verständnis für eine andere Kultur mit nach Hause, das auf wohltuende Weise nachhaltig nachwirken kann. So Susanne Ebeling:?Für mich war es eine völlig neue Erfahrung, als Fremde in einer anderen Kultur so aufgenommen zu werden. Wie sie uns so in ihre Arme und ihre Mitte nehmen, hatte ich mir zwar erhofft, aber niemals erwartet.? Leben mitten in kenianischer Natur.Mit der Begegnungsreise tauchen die ?Friends?in ein Leben mitten in der Natur ein. Unsere Gastgeberinnen leben in der Nähe des Viktoriasees, fast 2.000 m hoch. Hier kann der Blick weit über grünes Land und rote Erde schweifen und die warme, erdige Luft in tiefen Zügen eingeatmet werden. Spätestens beim gemeinsamen Besuch mit den Gastgeberinnen in einen Nationalpark, beim Picknick am idyllisch gelegenen Viktoriasee und dem Genuss sonnengereifter Früchte, geerntet auf dem Feld hinter dem Haus, ober beim Spaziergang auf dem Äquator rückt die westliche Welt in den Hintergrund. Verbindende Gemeinsamkeiten Ein Wandel in der Betrachtungsweise innerhalb der Reisegruppe ist nicht nur Frau Ebelingsondern auch den anderen Mit-Reisenden deutlich geworden: Zu Beginn waren wir vor allem darauf bedacht, möglichst viel über die kenianische Gesellschaft, kulturelle Besonderheiten der Luos und darauf basierende Unterschiede zu unseren Lebensweisen in Deutschland auszumachen. Bei vielfältigen Ausflügen, im Austausch mit unterschiedlichen sozial engagierten Kenianerinnen und Kenianern und in sehr persönlichen Gesprächen mit unseren Gastgeberinnen haben wir sehr viel darüber erfahren. Je länger...
MehrSamsung Galaxy J3 Duos: Günstiges Dual-SIM-Handy im Test
Testfazit: Das müssen Sie wissen Samsungs J-Serie ist günstig und erinnert an ältere Galaxy-S-Modelle. Das schlichte, robuste Plastik-Gehäuse ermöglicht den Wechsel des Akkus. Das 5-Zoll-Display zeigt sich scharf genug, kontrastreich und hell. Der Speicher ist allerdings winzig, die Kamera mäßig. Pro Robustes Gehäuse Wechselbarer Akku Tolles Display Dual SIM Kontra Wenig Speicherplatz Mäßige Kameraleistung Testnote der Redaktion 2,56 befriedigend Nutzerwertung Jetzt bewerten Die nackten Fakten: 5-Zoll-Display, schnödes Kunststoffgehäuse und ein schon etwas angestaubtes Android 5.1 ? man könnte das Galaxy J3 (2016) Duos mit einem Achselzucken schlicht als ein weiteres Mittelklasse-Smartphone abtun. Doch weit gefehlt: Denn das J3 (2016) ist aus mehreren Gründen etwas Besonderes. Warum das so ist und ob das günstige J3 (2016) ein Preistipp ist, zeigt der Test. Endlich ein billiges Galaxy ? mit Dual-SIM Mit einem Preis, der bereits kurz nach dem Marktstart auf unter 150 Euro gefallen ist (Stand: Mai 2016), steigt Samsung erstmals wieder im Einsteiger- und Niedrigpreis-Segment ein ? mittlerweile ist mit dem Galaxy J1 sogar ein weiteres günstiges Galaxy angekündigt. Weitere Neuerung: Die Duos-Variante des J3 (2016) ist das erste Dual-SIM-Smartphone, das Samsung in Deutschland auch ganz offiziell verkauft. »50 Dual-SIM-Handys im Vergleich Gehäuse und Verarbeitung Beim Design fühlt man sich sofort an alte Zeiten erinnert. Wie einst das Galaxy S3 oder S4 steckt auch das Galaxy J3 (2016) in einem schnöden, recht passabel verbauten Kunststoffgehäuse. Die Rückseite ist nur minimal aufgerauht, wirkt eher billig. Vorteil des altbackenen Designs: Der Deckel lässt sich abnehmen, der Akku einfach austauschen. Mit 10 Stunden und 28 Minuten erreichte das J3 eine passable Akkulaufzeit, hält bei intensiver Nutzung dank der genügsamen Hardware immerhin länger durch als das Galaxy S7. Galaxy J3 (2016) Duos: Die ersten Eindrücke 14 Bilder Zur Bildergalerie Tarifrechner Die besten Handy-Tarife finden! Galaxy J3-Display im Test: Mit Super-AMOLED Das J3 (2016) bietet ein Display in der beliebten 5-Zoll-Klasse. Groß genug, um bei Videos, Spielen oder im Internet Spaß zu machen. Dabei wirkt es noch nicht unhandlich. Für die Preisklasse ist die Display-Qualität ordentlich: Der Bildschirm ist etwa so hell wie der des iPhone 5S (546 Candela/m2) und nutzt die früher nur in der Galaxy-S-Klasse übliche Super-AMOLED-Technik für enorm kontrastarke Farbdarstellung. Für ein knackscharfes Full-HD-Display hat es nicht gereicht, doch die einfache HD-Auflösung (1280×720) reicht im Alltag meist aus. Arbeitstempo und Speicher Für die Preisklasse überzeugen Rechengeschwindigkeit und Bedienung, obwohl der Arbeitsspeicher mit 1 Gigabyte (GB) etwas knapp bestückt ist. Ein Schwachpunkt ist aber die Speicherausstattung. Ab Werk sind intern nur 4,83 Gigabyte (von nominell 8 GB) frei, Apps lassen sich nur auf Umwegen auf eine optionale Speicherkarte verschieben ? wer viele Apps nutzt oder via WhatsApp oft Fotos und Videos lädt, gerät schnell an Grenzen. Immerhin: Im Test funktionierte auch eine große 200 Gigabyte große MicroSDXC-Karte. Android ist in der schon etwas älteren Version 5.1.1 vorinstalliert. Mobilfunk und Internet Ein Highlight des J3 (2016) Duos ist die Dual-SIM-Funktion. Gut: Auch wenn man zwei SIM-Karten einlegt, ist noch ein weiterer Steckplatz für die (dringend empfohlene) MicroSD-Speicherkarte frei. Für schnelles Internet unterwegs ist LTE...
Mehr