calc.pw: Der Open-Source Hardware-Passwortberechner
22.05.2013 yahe arduino calcpw code hardware legacy security
Es ist vollbracht! In den letzten Wochen und Monaten habe ich einige Zeit mit der Arduino-Plattform verbracht und mich Stück für Stück in unterschiedliche Themenbereiche eingearbeitet. Ziel war es, calc.pw zu entwickeln.
Kryptographie für Arduino
17.04.2013 yahe arduino code hardware legacy security
Nachdem ich letztens meinen kleinen Arduino-Speichermanager fertig gestellt habe, geht es nun darum, etwas produktives damit anzufangen. In meinem Fall lag das erste Hauptaugenmerk auf kryptographischen Algorithmen, sprich das Verschlüsseln und Hashen. Dabei muss ich natürlich immer den Speicher im Auge behalten.
Speichermanagement für Arduino
15.04.2013 yahe arduino code hardware legacy security
Derzeit laufe ich mich ein wenig warm für die Entwicklung meines eigentlich angestrebten Arduino-Projekts. Eine Sache, die ich dort brauchen werde, sind Strings bzw. Zeichenketten. Dafür verwendet man normalerweise einfach "unsigned char"-Arrays und speichert sich die Länge irgendwo noch mit ab. Ich wollte das ganze allerdings ein bisschen handlicher haben, also schrieb ich mir eine kleine API, die mir gut nutzbare Strings bastelt.
Restriktive Firewalls und Proxys durchbrechen
20.02.2013 yahe administration legacy linux security
Habt ihr schon einmal in einem Hotelzimmer gesessen, mehrere Euro für eine Stunde WLAN bezahlt und konntet den Internetzugang trotzdem nicht ordentlich nutzen, weil der Hotelbesitzer die Verbindung zugenagelt hat? Glücklicherweise gibt es eine Möglichkeit, das ganze zu umgehen.
DNS-Lookups für gechrootetes PHP-FPM
02.02.2013 yahe administration legacy linux security
Wenn man PHP chrootet, funktionieren mitunter die grundlegendsten Dinge nicht mehr, was jedoch erst dann auffällt, wenn ein Codeabschnitt eine bestimmte Funktion benötigt. Bei mir war das vor kurzem die DNS-Auflösung, die ich bisher nicht gebraucht hatte.
fbPGP - Facebook mit GnuPG
24.02.2012 yahe code legacy security
Wie ihr letztens wahrscheinlich gelesen habt, hat sich ein Amtsrichter aus Reutlingen dazu entschieden, in einem Einbruchsfall den Facebook-Account eines Angeklagten zu beschlagnahmen. Die Idee dahinter: Der Angeklagte soll dem Einbrecher via Facebook einen Tipp gegeben haben, wie dieser am besten einbrechen könne. Mit Hilfe der Beschlagnahmung versucht das Gericht nun, an die privaten Facebook-Nachrichten des Angeklagten zu kommen. Aber was würde es denn bedeuten, wenn das Gericht hier tatsächlich Einblick in die privaten Nachrichten erhalten würde? Es würde bedeuten, dass private Nachrichten bei Facebook nicht dem gleichen Schutz wie private Briefe unterliegen. Darüber hinaus würde es aber auch bedeuten, dass zukünftig wegen jeder Bagatelle die intimsten Nachrichten Gegenstand eines Prozesses werden könnten.
Um dem ein bisschen entgegen zu wirken, wäre es sinnvoll, über Facebook versendete Nachrichten einfach verschlüsseln zu können, sodass nur der tatsächliche Empfänger sie lesen kann. Leider ist so etwas oft sehr umständlich.
Exec() in PHP chroot-Umgebung
23.02.2012 yahe administration legacy linux security
Manchmal ist die Verwendung einer chroot-Umgebung für PHP mehr Fluch als Segen. Auf der einen Seite ist es ein wirklicher Sicherheitsgewinn. Aber auf der anderen Seite findet man immer wieder Kleinigkeiten, die einen eine ganze Weile aufhalten, bevor man bestimmte Funktionen nutzen kann.
NGINX: Verstecke Dateien und Ordner nicht ausliefern
16.09.2011 yahe administration legacy linux security
Eine eigentlich typische Anforderung: Versteckte Dateien und Ordner, denen unter Linux ein Punkt (".") vorangestellt wird, sollen nicht über den Webserver abrufbar sein. Wie man das beim Apache löst, hatte ich vor einiger Zeit bereits gezeigt. Für den Wechsel zu NGINX musste ich dieses Feature nun natürlich auch umsetzen.
mod_rewrite und die falsche SSL-Sicherheit
10.03.2011 yahe administration legacy linux security windows
Immer wieder kommt es mir unter die Augen: Administratoren, die sich mit der von ihnen betreuten Software nicht auskennen und SSL für eine Anwendung benötigen, die überhaupt nicht für die Verwendung von SSL ausgelegt ist. Häufig wird in solchen Situationen beherzt und völlig ahnungslos auf eine Lösung auf Basis des Apache-Moduls mod_rewrite zurückgegriffen.
SSL-Modus für WordPress-Blogs
01.03.2011 yahe administration code legacy security wordpress
Ich persönlich mag SSL sehr, denn es ist eine einfache Methode, um ein wenig Übertragungssicherheit zu gewährleisten. Aus diesem Grund baue ich meine Angebote gerne so, dass ich SSL nutzen kann, wenn ich möchte. Leider hat WordPress damit so seine Probleme. Man kann eine Seite zwar generell via SSL aufrufen, beim Klick auf den nächsten seiteninternen Link wird man dann jedoch wieder auf eine unverschlüsselte Seite weitergeleitet.
