Benutzerlogin via SMTP überprüfen...
Ich habe zur Zeit den Fall, dass ich überprüfen muss, ob jemand Zugriff auf bestimmte Daten haben darf. Der entsprechende Personenkreis bekommt von mir allerdings einfach nur einen E-Mail-Account auf einem meiner Server zugewiesen und ehrlich gesagt habe ich keine Lust, zwei Benutzerverwaltungen mit entsprechendem Passwortabgleich oder ähnliches zu betreiben.
Deshalb habe ich mir gedacht "Warum teste ich nicht einfach, ob die Person einen gültigen E-Mail-Account bei mir hat?".
Flattr-Manipulation ist möglich!
04.06.2010 yahe code legacy security thoughts update
Gestern habe ich darüber berichtet, dass ich mir nun auch einen der Beta-Accounts der neuen Micropayment-Plattform Flattr geholt habe. Am Ende des Artikels hatte ich eine mögliche Angriffsfläche erwähnt, die auch schon bei Twitter ausgenutzt worden ist. Wie ich nun durch eigene Tests herausgefunden habe, ist es tatsächlich möglich, Besucher einer Seite dazu zu bringen, völlig unbekannte Seiten zu flattrn.
freeSSHd Security: Work in Progress
05.04.2010 yahe administration code legacy windows
Auf meinem Heimserver laufen freeSSHd und freeFTPd eigentlich ohne Probleme, wenn da nicht die Angriffe von außen wären. Allein in den letzten 1,5 Monaten wurde eine Million mal versucht, in meinen SSH-Server einzubrechen. Nochmal knapp 500.000 Einbruchsversuche gingen auf das Konto des FTP-Servers. Bisher war das noch kein Problem, aber ich würde doch gerne Gegenmaßnahmen ergreifen.
Hooking mit uallCollection
20.02.2010 yahe code legacy security windows
Ich habe die letzten Tage an einem Projekt gearbeitet, für das ich systemweit API-Aufrufe hooken können musste. Leider ist dieses Unterfangen nicht so einfach. Im Internet finden sich einige Lösungen für dieses Problem: Angefangen beim Schreiben von Systemtreibern, bis hin zum Injizieren von Threads in bereits laufende Prozesse.
RunAs für normale Dokumente anwenden
20.01.2010 yahe administration code legacy windows
Hannes hat letztens das Tool CPAU vorgestellt, das im Grunde genauso funktioniert, wie das Windows-interne runas-Programm. Wer dessen Funktionalität nicht kennt: Es ist dazu da, um eine Anwendung mit den Rechten eines anderen Benutzers ausführen zu können.
Nun ist bei ihm das Problem aufgetreten, dass es ihm nicht möglich war, MSP-Dateien auszuführen.
SelTheme: Let the User decide!
24.11.2009 Yahe code legacy wordpress
Um zu testen, wie eine WordPress-basierte Webseite mit einem anderen installierten Theme aussieht, reicht es im Normalfall aus, der URL noch ein paar Parameter anzuhängen:
?preview=1&template=[name]&stylesheet=[name]"[name]" steht hierbei für den Namen des Theme-Ordners, in dem sich das jeweilige Design befindet. WordPress-Themes befinden sich im Ordner "wp-content/themes/". Dort kann man auch nachsehen, welches Designs alles zur Verfügung stehen. Die Sache hat jedoch einen Haken. Diese Lösung funktioniert nur dann, wenn man bei dem entsprechenden Blog eingeloggt ist. Oft ist es jedoch so, dass man gern wissen möchte, was andere vom neuen Design halten. Diese müssten zur Beurteilung nun eigentlich einen Account bei dem entsprechenden Blog erhalten.
Der EIGENE lokale DNS-Server: BINDcnf
16.05.2009 Yahe administration code legacy security windows
Die Idee, einen alternativen DNS-Server zu verwenden, um der geplanten, staatlichen Internetzensur zu entgehen, ist nicht neu. Anleitungen, wie man die entsprechenden Einstellungen im System vornimmt, gibt es zur Genüge im Internet. Jedoch hat sich bisher immer die Frage gestellt, welchen DNS-Server man denn als Alternative nutzen soll, denn es gibt einige zur Auswahl und bei den meisten hat man keine Ahnung, wer diese betreibt und aus welchem Grund. Bei der Umgehung der Netzsperre sollten jedoch genau diese Informationen im Vordergrund stehen, um die eigene Sicherheit nicht zu gefährden.
POP3sync: Thunderbird-POP3-Synchronizer
01.05.2009 Yahe administration code legacy windows
Ich habe mich endlich einmal daran gemacht, eines meiner größten E-Mail-Leiden zu bekämpfen. Ich habe einen Thunderbird-POP3-Synchronizer namens POP3sync geschrieben!
