Instagram: Sicherheitsforscher beharkte erfolgreich Admin-Panel
(Bild: dpa, Karl-Josef Hildenbrand/Symbol) Über Schwachstellen in der Admin-Oberfläche von Instagram stößt ein Kryptologe unter anderem auf Fotos von Nutzern und SSL-Zertifikate inklusive privater Schlüssel. Facebook prangert die Vorgehensweise des Sicherheitsforschers an. Die Admin-Oberfläche von Instagram war verwundbar und erlaubte so den Zugriff auf Interna von Instagram und Facebook, dem Entwickler des Online-Dienstes. Bei seinen Untersuchungen findet der Sicherheitsforscher Wesley Weinberg von Synack eine Lücke, über die er Code aus der Ferne ausführen konnte. Dabei stieß er eigenen Angaben zufolge unter anderem auf Fotos von Nutzern, SSL-Zertifikate inklusive privater Schlüssel und den Source Code von Instagram. Während seiner Prüfung fand Weinberg heraus, dass die Sensu-Admin-Oberfläche einen hartkodierten Schlüssel aufweist und die zum Einsatz kommende Ruby-3.x-Version für eine Remotecodeausführung anfällig ist. Um erfolgreich auf die Oberfläche zugreifen zu können, baute er eigenen Angaben zufolge einen vertrauenswürdigen Session Cookie. Nachdem der Server diesen abnickte, konnte er Code ausführen und Nutzerdaten auslesen. Mittlerweile ist der Zugang auf diesem Weg nicht mehr möglich, erläuterte Weinberg. Einblicke in Instagram-Interna Während des Übergriffs konnte Weinberg verschiedene Datenbanken einsehen. Dort fand er unter anderem Log-in-Daten von Facebook- und Instagram-Angestellten. Weinberg gibt an, mit dem Tool bcrypt rund ein Dutzend schwache Passwörter geknackt zu haben. Ein Sicherheitsforscher erlangte über Lücken im Admin-Panel Zugriff auf Interna von Facebook und Instagram. Nun werden unberechtigte Zugriffe geblockt. Bild: Wesley Weinberg Er hatte eigenen Angaben zufolge auch Zugriff auf Amazons S3 Cloud-Speicher, den Instagram in Anspruch nimmt. Dort fand er weitere Interna vor. Etwa den Source Code von Instagram, Schlüssel zum Signieren von Android- und iOS-Apps und SSL-Zertifikate inklusive privater Schlüssel. Mit diesen Informationen könne man Weinberg zufolge etwa bösartige Webseiten aufsetzen, denen Webbrowser vertrauen. Das könnten Angreifer für Man-in-the-Middle-Attacken ausnutzen. Zudem sei es vorstellbar, mit einfachen Mitteln auf alle Nutzer-Accounts zuzugreifen. Sicherheitschef von Facebook schaltete sich ein Weinberg gibt an, Facebook Ende Oktober dieses Jahres kontaktiert zu haben. Das Unternehmen bedankte sich für die Meldung der Schwachstellen, teilte Weinberg mit. Er habe sich aber aufgrund des Zugriffes auf die Interna für die Teilnahme am Boug-Bounty-Programm disqualifiziert. Den Gesprächsverlauf hat Weinstein in einem Blogeintrag veröffentlicht. Anfang Dezember trat dann der Sicherheitschef von Facebook Alex Stamos mit Weinbergs Arbeitgeber Synack in Kontakt, erläuterte der Sicherheitsforscher. Stamos soll Weinbergs Chef ausgehorcht und gebeten haben, dass Weinberg alles, was mit dem Fall zu tun hat, löscht und nichts davon veröffentlicht. Stamos soll dabei auch erwähnt haben, dass er die Rechtsabteilung von Facebook nur ungern einschalten würde. Weinberg geht mit dem Verhalten von Facebook nicht konform. Er sieht sich als Entdecker der Lücken und ist sich keiner Schuld bewusst. Aufgrund der Reaktionen von Facebook hat er sich dafür entschieden, über die Lücken zu berichten. Stamos wirft Weinberg in einem Blogeintrag wiederum vor, unnötig tief in die Infrastruktur eingedrungen zu sein. [UPDATE, 21.12.2015 14:45] Ergänzenden letzten Absatz hinzugefügt. (des) News...
MehrDisclosure-Drama bei Facebook
(Bild: dpa, Rolf Vennenbernd) Ein Forscher meldet Facebook eine schwere Sicherheitslücke, fühlt sich dabei ungerecht behandelt und das Drama nimmt seinen Lauf. Ein Security-Researcher findet eine heftige Schwachstelle in Instagram, die er bei Facebooks Bug-Bounty-Programm meldet. Er bekommt eine Belohnung und sie wird gefixt. Das könnte es auch schon gewesen sein. Doch irgendwo in der Kommunikation gab es offenbar gewaltige Missverständnisse. Als Resultat folgte ein Blog-Posting, in dem der Security-Researcher massive Vorwürfe gegen Facebook erhebt, bis hin zu der Anschuldigung, Facebook habe ihm mit Klagen gedroht. Als Antwort erklärt dann Facebooks Security-Chef Alex Stamos, selbst ein renommierter Security-Researcher, seine Sicht der Dinge, in der er dem Forscher vorwirft, unnötig tief in Facebooks AWS-Infrastruktur eingedrungen zu sein. Wie häufig bei intensiv geführten, persönlichen Auseinandersetzungen sind klare Schuldzuweisungen schwierig. Wer also Spaß an einem Remote-Code-Execution-Bug in Ruby on Rails mit viel Drama hat, liest das ganze am besten selbst nach: (ju) Lesen Sie...
MehrWinterurlaub im ?Weißen Ring?
Der Arlberg blickt auf eine traditionsreiche Geschichte der Skifahrt zurück. Heute ist der Pass eine Marke für Wintersportgebiete. Die zusammenhängenden Skigebiete auf drei Bergen rund um die Orte Lech und Zürs sind als ?Der Weiße Ring? bekannt. Zusammen mit den Arenen auf den Bergen Gampen, Kapall, Valluga, Galzig und dem Rendlgebiet bildet dieser ein Skiressort mit 86 Liftanlagen, 276 km präparierten Pisten und 180 km Tiefschneeabfahrten. Dank letzteren ist der Arlberg eines der wichtigsten Freeride-Zentren in der Alpenregion. Auf Snowboarder warten neben den Off-Road-Pisten auch aufwändig gestaltete Funparks, die zu spektakulären Tricks animieren. Skiurlaub in Zürs am Arlberg Eines der schönsten Reiseziele für einen Skiurlaub am Arlberg ist der zur Gemeinde Lech gehörende Wintersportort Zürs, der auf einer Höhe von 1717 m liegt. Eine Besonderheit der Gemeinde Lech ist, dass Stammurlauber nach 10, 15, 25, 35, 45 und 55 aufeinander folgenden Jahren mit einem Aufenthalt von mindestens 7 Tagen eine Ehrennadel verliehen bekommen. Im Winter verkehren Shuttle-Services von den nahe gelegenen Flughäfen nach Lech, so dass das beliebte Wintersportgebiet einfach und schnell zu erreichen ist. Zum ersten Mal fand im Jahr 1846 ein Gasthof ?Zürsch? in den Schriften Erwähnung. Dieser wurde wieder geschlossen und 1856 unter dem Namen ?Edelweiß? wiedereröffnet. Weitere Gasthäuser wie das ?Haus Alpenrose? folgten. Als der Skipionier Viktor Sohm 1906 die ersten Skikurse für Einheimische im Zürs gab, entdeckten bald darauf Wintersportbegeisterte aus aller Welt den Arlberg als vorzügliches Skigebiet. Im Winter 1923/24 wurde der erste Gruppenskikurs für Urlauber angeboten und der Tourismus blühte auf. Mit der Gründung der ersten Skischule durch Albert Mathies und der Errichtung des ersten Schlepplifts für Skifahrer in Österreich am Übungshang in Zürs 1937 etablierte sich der Ort als Wintersportgebiet. 1938 zählte Zürs am Arlberg bereits 500 Gästebetten. In den 1950er Jahren folgte die Erschließung des Wintersportgebiets durch Sessellifte. Als 1957 die Kabinenbahn Rüfikopf ihren Betrieb aufnahm, verband diese die Skigebiete Zürs und Lech. Berühmtheit erlangte der Arlberg durch die fast 22 km lange Skirunde ?Der Weiße Ring?, auf der seit der Saison 2005/06 das längste Skirennen der Welt stattfindet. Abenteuerliche Aktivitäten am Arlberg Das sportliche Angebot ist aber nicht nur auf Snowboard und Ski fahren begrenzt. Ein Highlight sind die Trendsportarten Heliboarding und Heliskiing. In Zürs bietet das dort heimische Flugunternehmen Wucher die Möglichkeit zu einem spektakulären Abenteuer. Zusammen mit einem erfahrenen Heliguide starten Sie von Zürs aus mit dem Helikopter Richtung Mehlsack oder Schneetäli. Der Gipfel ist Startpunkt Ihrer Adrenalin steigernden Abfahrt mit Skiern oder Snowboard durch unberührten Tiefschnee. Wohin zum Après Ski in Zürs? Nach der abenteuerlichen Heliboarding oder Heliskiing Abfahrt ist eine Einkehr ins ?Flexenhäusl? sehr zu empfehlen. Von der Skihütte am Arlberg wird gesagt, das dort das beste Fondue weit und breit serviert wird. Wenn Sie danach satt und zufrieden ins Hotel zurückkehren, möchten Sie vielleicht gerne noch einen Drink an der Bar nehmen und ein wenig plaudern oder in der Sauna neue Energien tanken. Sie können all diese Annehmlichkeiten mit traditioneller Hotellerie verbinden, wenn Sie im Skihotel Edelweiss einkehren. Das erste Gasthaus von Zürs hat...
MehrOculus Rift benötigt vier USB-Anschlüsse
Die kommende Virtual-Reality-Brille Oculus Rift wird vier USB-Anschlüsse benötigen. Die Systemanforderungen für das kommende Virtual-Reality-Headset Oculus Rift wurden geändert. Statt zwei USB-Anschlüssen, werden nun vier benötigt. Gründe dafür wurden keine genannt, man geht aber davon aus, dass noch mehr Tracking-Hardware und Kamera-Sensoren angeschlossen werden müssen. Wer mit dem Gedanken spielt, sich im kommenden Jahr das Virtual-Reality-Headset Oculus Rift zu kaufen, der muss schauen, dass er auch genug Anschlüsse an seinem PC frei hat. Drei USB-3.0-Anschlüsse für Oculus Rift Bisher besagten die Systemanforderungen der VR-Brille, dass zwei USB-3.0-Ports und ein HDMI-1.3-Ausgang nötig seien, neben einer Nvidia Geforce GTX 970 oder eine AMD Radeon R9 290 sowie einer CPU, welche mindestens die Leistung eines Intel Core i5 4590 bietet und einem mindestens 8 GByte großen Arbeitsspeicher. Daneben wird zudem noch mindestens Windows 7 mit Service Pack 1 benötigt. Allerdings wurden diese Systemanforderungen jetzt ohne Ankündigung geändert. Statt zwei USB-3.0-Ports werden nun drei USB-3.0- sowie ein USB-2.0-Anschluss benötigt. Es wird aber nicht genannt, wofür man diese Anschlüsse verwenden will. Drei USB-3.0-Anschlüsse könnten den einen oder anderen PC-Besitzer vor ein kleines Problem stellen, da gerade etwas ältere Mainboards nicht gerade üppig mit diesem Standard ausgestattet sind. Hier werden wohl viele nicht drumrum kommen, sich eine USB-3.0-Karte in den PC einzubauen, um genug Anschlüsse für die VR-Brille zu haben. Es wird nun spekuliert, wofür die Oculus Rift denn so viele Anschlüsse benötigt. Offenbar muss doch mehr Tracking-Hardware sowie Kamera-Sensoren angeschlossen werden, als man ursprünglich dachte. Auch für Audio-Ausgabe könnte ein separater USB-Anschluss nötig sein. Hat man die Hardware des Headsets eventuell wieder geändert, sodass es nötig sein könnte, noch zusätzliche Dinge anzuschließen? Noch schweigt sich das Unternehmen dazu aus. Oculus Rift soll allerdings im ersten Quartal 2016 erscheinen, sodass man in nächster Zeit mal mit genaueren Angaben – unter anderem auch zum Preis – herausrücken sollte. Es hat allerdings den Anschein, dass VR-Gaming ein teures Vergnügen werden wird. /ab Bild-Quellen: Oculus VR News Redaktion am Freitag, 18.12.2015 15:00 Uhr Tags: usb 3.0 oculus rift virtual reality Weitere interessante News Auf diesen Link...
MehrNanoservices ? kleiner als Microservices
Microservices lassen sich von getrennten Teams ohne größeren Kommunikations-Overhead entwickeln. Das ermöglicht große Projekte mit einer schlanken Organisation. Es gibt zudem technische Vorteile: Microservices lassen sich unabhängig skalieren, und der Ausfall eines Service beeinflusst die anderen nicht. Je kleiner er ist, desto größer der Vorteil ? aber wo liegt die Grenze für die Größe eines Microservice? Für noch kleinere Nanoservices sind einige Kompromisse notwendig. In der Vergangenheit war die Modularisierung eines Softwaresystems meistens nur für Entwickler relevant ? schließlich sollten sie die Module getrennt weiterentwickeln. Später wird die gesamte Anwendung auf einmal in den Betrieb überführt: Sie ist also ein Deployment-Monolith. Microservices teilen Anwendungen auch beim Deployment in kleine Einheiten auf. Das Besondere ist, dass sie sich einzeln in Produktion bringen lassen. Ein Beispiel: Eine E-Commerce-Anwendung hat jeweils Module für den Bestellprozess, für die Produktsuche oder für Empfehlungen. Sind diese Fachlichkeiten als Microservices implementiert, können neue Versionen einzeln in Produktion gebracht werden. Jede dieser Fachlichkeiten lässt sich außerdem in mehrere Microservices aufteilen. Aufteilung eines Systems in Microservices (Abb. 1) Microservices sind in virtuelle Maschinen oder Docker-Container verpackt: So können sie Bestandteile wie eine eigene Datenbank oder einen Webserver mitbringen und dennoch einzeln deployt werden. Dadurch lassen sich Microservices praktisch in jeder Programmiersprache und auf jeder Plattform implementieren. Im Beispiel kann also jeder Microservice einen Teil der Oberfläche für die Kunden beisteuern. Microservices haben einige Vorteile, etwa die Entkopplung der Entwicklung durch unabhängige Deployments. Beispielsweise kann ein Team den Bestellprozess eigenständig weiterentwickeln, ohne dass dazu viel Interaktion mit anderen Teams notwendig ist. Schließlich lassen sich für jeden Microservice unterschiedliche Technologien nutzen, sodass ihre Koordination im gesamten Projekt nicht unbedingt notwendig ist. Außerdem kann das Team Änderungen am Microservice ausrollen, ohne das mit den anderen Teams zu koordinieren. Diese Eigenschaften ermöglichen es, dass auch in einem großen System kleine Teams ohne großen Overhead viele neue Features parallel entwickeln und in Produktion bringen. Aber es gibt noch ganz andere Gründe für Microservices. Beispielsweise sind sie gegeneinander isoliert. Wenn ein Service abstürzt, beeinflusst das die anderen nicht. Ganz anders beim Deployment-Monolithen: Hat ein Modul ein Speicherleck, reißt es beim Absturz das gesamte System mit sich und damit auch alle anderen Module. Die Größe eines Microservice Für Microservices gilt eigentlich, dass kleiner besser ist: Ein Microservice sollte von nur einem Team weiterentwickelt werden. Daher darf ein solcher Service auf keinen Fall so groß sein, dass mehrere Teams an ihm entwickeln müssen. Microservices sind ein Modularisierungsansatz. Entwickler sollten einzelne Module verstehen können ? daher müssen Module und damit Microservices so klein sein, dass alle Entwickler sie noch verstehen. Schließlich soll ein Microservice ersetzbar sein. Ist er nicht mehr wartbar oder soll beispielsweise eine leistungsfähigere Technologie genutzt werden, lässt er sich durch eine neue Implementierung austauschen. Microservices sind damit der einzige Ansatz, der bereits bei der Entwicklung die Ablösung des Systems oder zumindest von Teilen davon betrachtet. Die ideale Größe von Microservices (Abb. 2) Die Frage ist nun, warum man die Microservices nicht möglichst klein baut. Dafür gibt es mehrere Gründe: Verteilte Kommunikation zwischen Microservices über...
MehrKostenloser Eintritt in den Everglades und Biscayne Nationalpark
0 von 5 Sternen(0 Bewertungen) Kategorie: Amerika Fauna Natur Naturschutz Outdoor Reisen Veröffentlicht am Donnerstag, 17. Dezember 2015 Geschrieben von Meltem Erdogan Zur Feier des 100. Geburtstages des US-Nationalpark-Service (NPS) können Reisende in Florida für 16 Tage den kostenlosen Eintritt in den Everglades und den Biscayne National Park nutzen. Neben dem offiziellen NPS-Geburtstag am 25. August, kann im Jahr 2016 an zahlreichen Tagen der kostenlose Eintritt für den Besuch eines der faszinierenden US-Nationalparks genutzt werden. Bis zum Mai 2016 verkehrt zwischen Homestead im Süden Miamis und dem Everglades sowie Biscayne National Park ein kostenloseer Trolley-Bus. Die Fahrt mit dem Bus ermöglicht ebenfalls einen kostenlosen Eintritt in beide Nationalparks. Auch auf eigene Faust können Wanderungen und Radtouren durch die beiden Parks durchgeführt werden. Wer im Rahmen der ?Find your Park?- Kampagne innerhalb von einem Jahr entweder eine Distanz von zehn Meilen für zehn Jahrzehnte NPS zu Fuß oder hundert Meilen für hundert Jahre per Rad zurücklegt, enthält Sachpreise und nimmt automatisch an der Verlosung eines Jahrestickets mit Eintritt in alle US-Nationalparks teil....
Mehr