WordPress mit TLS Client Authentication absichern
27.04.2015 yahe administration code legacy security wordpress
Vor einiger Zeit hatte ich einmal gezeigt, wie man WordPress gegen eine größere Menge von Zero-Day-Exploits absichern kann, indem man verschiedene Datenbanknutzer einführt. Dadurch verwenden normale Webseitenbesucher einen Datenbanknutzer mit geringeren Privilegien und Nutzer des Backends einen Datenbanknutzer mit höheren Privilegien. Bei Softwarefehlern, die schreibenden Zugriff auf die Datenbank ermöglichen, können so Schreibversuche unterbunden werden.
Leider ist den Entwicklern von WordPress nicht sonderlich daran gelegen, die Datenbank so zu strukturieren, dass bestimmte Datenbankzugriffe für gewisse Nutzer nicht notwendig sind.
PushOver.net: Scriptgesteuerte Push-Notifications für iOS und Android
30.10.2014 yahe administration code legacy linux
Letztens durfte ich einen relativ langwierigen Download via SFTP vornehmen. Da ich allerdings nicht vor dem Rechner sitzen bleiben und auf die Beendigung warten wollte, bin ich immer wieder an den PC gegangen, um den aktuellen Status zu sehen. Dabei kam mir die Idee, dass es doch toll wäre, einen Dienst zu haben, den man per einfacher REST-API ansprechen könnte, um einen Status mitzuteilen. Der Dienst könnte es dann ermöglichen, diesen Status z.B. über einen Browser abzurufen. @servicecase18 hatte jedoch einen viel besseren Tipp
PHP Scripte: Chrooten und Privileges droppen
28.10.2014 yahe code legacy linux security
Derzeit bin ich dabei, ein Synchronisationsscript zu schreiben, das, je nach synchronisiertem Ordner mit unterschiedlichsten Dateirechten arbeiten können. Die Synchronisation selbst habe ich in PHP geschrieben. Allerdings war es mir zu heikel, die Synchronisation durchgehend als Root auszuführen. Deshalb habe ich mir mal angesehen, ob PHP in der Lage ist, innerhalb eines Skripts Privilegien zu droppen und sich eventuell sogar Chrooten zu lassen.
Behandlung depublizierter Artikel in WordPress
03.09.2014 yahe administration code legacy wordpress
Vor kurzen wurde ich von einem Auftraggeber vor eine spannende Aufgabe gestellt: Eine Seite musste eine ganze Menge alter Artikel depublizieren. Die Besucher dieser Artikel sollten jedoch nicht einfach von einer 404-Fehlerseite abgefangen werden, sondern ihnen sollte mitgeteilt werden, weshalb der Fehler aufgetreten ist und sie sollten möglichst automatisch auf die Startseite umgelenkt werden.
Dabei gab es mehrere Hindernisse.
Wikipad: Etherpad-Lite mit DokuWiki synchronisieren
17.04.2014 yahe code legacy linux update
Vor einiger Zeit habe ich mir ein Etherpad-Lite installiert, um verteilt und auch unterwegs Texte verfassen zu können, die ich anschließend veröffentliche oder anderweitig nutze. Das ist soweit toll, doch die Veröffentlichung war in meinen Augen unpraktischer, als sie sein müsste, da ich den Text kopieren, irgendwo anders einfügen und neu formatieren musste. Meine Idee war es deshalb, die Veröffentlichung direkt aus dem Etherpad-Lite heraus erledigen zu können, zum Beispiel bei kleineren Texten, die ich anderen zur Verfügung stellen möchte. Die Frage war nur, über welche Plattform die Veröffentlichung stattfinden sollte.
Wordpress mit verschiedenen Datenbanknutzern absichern
28.02.2014 yahe administration code legacy security wordpress
WordPress ist nicht gerade ein Stück Software, das für sein herausragendes Sicherheitskonzept bekannt ist. Viele Dinge muss man erst mühsam im Alleingang nachbessern. So hat es mich schon immer gestört, dass Nutzer, die sich meinen Blog ansehen, im Hintergrund den gleichen Datenbanknutzer verwenden, wie ich als Administrator, der die Seite konfiguriert und neue Bloginhalte bereitstellt. Wenn es möglich wäre, wenigstens für diese zwei stark gegenteiligen Nutzungsszenarien verschiedene Datenbanknutzer zu verwenden, wäre schon viel erreicht.
Software-Reset aus dem Arduino Leonardo herauspatchen
19.12.2013 yahe arduino code hardware legacy security
Der Arduino Leonardo, der nun seit etwa einem Jahr auf dem Markt ist, besitzt dank seines ATmega 32u4 direkt die Möglichkeit, eine USB-Verbindung mit dem PC aufzubauen. Auf dem Arduino Uno war dafür ein separater Mikrocontroller zuständig. Durch diese Änderung hat sich jedoch auch die Art, wie Resets über den USB-Anschluss angestoßen werden, geändert. Dieser Reset ist inzwischen eine reine Software-Routine und kann falls nötig herausgepatcht werden.
calc.pw: Der Open-Source Hardware-Passwortberechner
22.05.2013 yahe arduino calcpw code hardware legacy security
Es ist vollbracht! In den letzten Wochen und Monaten habe ich einige Zeit mit der Arduino-Plattform verbracht und mich Stück für Stück in unterschiedliche Themenbereiche eingearbeitet. Ziel war es, calc.pw zu entwickeln.
Arduino: Spaß mit Sensoren
08.05.2013 yahe arduino code hardware legacy
Nachdem ich ganz am Anfang meiner Arduino-Reise mal ein paar lustige Experimente gemacht hatte, habe ich mich in letzter Zeit sehr auf mein ernstes Projekt konzentriert. Das habe ich heute mal ein wenig aufgelockert.
Arduino und x86: Crosskompilation trotz PROGMEM
07.05.2013 yahe arduino code hardware legacy
Bei meinem derzeitigen Projekt lege ich viel Wert darauf, dass die eigentliche Codebasis nicht nur auf dem Arduino, sondern auch auf normalen PCs mit x86- und x64-Architektur läuft. Bisher war das relativ einfach, da ich Plattformspezifika vermeide. Dieses Mal war das jedoch nicht möglich und eine Zwischenschicht musste her.
