calc.pw: Reimplementation Kick-Off
07.04.2022 yahe calcpw code hardware raspberry security update
About a decade ago I presented a hardware-based password calculator called calc.pw which generates passwords based on a single strong password and a service-dependent information, thus allowing you to use individual passwords for each of your services without having to care for a password database. I even presented it at a few conferences.
In the meantime much better microcontrollers have become available and my understanding of cryptography and password generation have improved as well. That is why I have kicked-off the reimplementation of calc.pw! 😃
Nextcloud-Tools: Working with the Nextcloud Server-Side Encryption
02.12.2019 yahe administration code security update
At the beginning of the year we ran into a strange problem with our server-side encrypted Nextcloud installation at work. Files got corrupted when they were moved between folders. We had found another problem with the Nextcloud Desktop client just recently and therefore thought that this was also related to synchronization problems within the Nextcloud Desktop client. Later in the year we bumped into this problem again, but this time it occured while using the web frontend of Nextcloud.
.local, .home.arpa and .localzone.xyz
11.11.2019 yahe administration update
35 years ago the IETF defined special IPv4 addresses in RFC 1597 to be used solely in private intranets and with that created the separation between internal networks and the internet. 5 years later they proceeded to define special-use top-level domains like .example, .invalid and .test in RFC 2606. However, the IETF did not reserve a top-level domain to be used within the private intranets that they had introduced before. This lead to confusion with administrators that still persists to the current day.
Bug in Login With Ajax Plugin erstellt Nutzeraccounts
29.08.2014 yahe legacy security update wordpress
Anfang dieser Woche hatte ich über ein Plugin informiert, mit dem ein Angreifer ungefragt neue Nutzer anlegen kann. Damit ist das vorgestellte Plugin leider nicht allein. Denn auch das Login With Ajax Plugin hat diese unschöne Sonderfunktion.
Bug in Form Builder Plugin ermöglicht vollständige Kompromittierung
21.08.2014 yahe legacy security update wordpress
Und wieder einmal ist mir ein besonders fieser Bug über den Weg gelaufen. Dieses mal habe ich ihn im Form Builder Plugin gefunden.
Wikipad: Etherpad-Lite mit DokuWiki synchronisieren
17.04.2014 yahe code legacy linux update
Vor einiger Zeit habe ich mir ein Etherpad-Lite installiert, um verteilt und auch unterwegs Texte verfassen zu können, die ich anschließend veröffentliche oder anderweitig nutze. Das ist soweit toll, doch die Veröffentlichung war in meinen Augen unpraktischer, als sie sein müsste, da ich den Text kopieren, irgendwo anders einfügen und neu formatieren musste. Meine Idee war es deshalb, die Veröffentlichung direkt aus dem Etherpad-Lite heraus erledigen zu können, zum Beispiel bei kleineren Texten, die ich anderen zur Verfügung stellen möchte. Die Frage war nur, über welche Plattform die Veröffentlichung stattfinden sollte.
Angry Birds verärgert Nutzer
17.06.2011 yahe legacy review update
Das Spiel Angry Birds ist wohl eins der wenigen Spiele, von dem so ziemlich jeder Smartphone-Nutzer schon einmal gehört hat. Die meisten davon werden es selbst auf ihrem Handy haben.
Vor einer Weile wurde bekannt, dass das Spiel sensible Daten ausgelesen und an Dritte weitergereicht haben soll. Der Hersteller Rovio dementierte die Weitergabe an Dritte, gab jedoch die Sammlung der Daten zu. Heute nun ist für Android ein neues Angry Birds Update veröffentlicht worden. Wenn man nicht einfach blind das Update absegnet, wird man erstaunt feststellen, dass durch die App nun plötzlich weiterreichende Rechte angefragt werden.
Hallimash ist genauso schlimm wie Trigami
08.08.2010 yahe legacy security thoughts update
Nachdem ich mir letzes Mal Trigami angesehen habe, soll es heute um deren Konkurrenten "Hallimash" gehen. Denn auch deren Webseite enthält "CSRF"-Lücken (Cross-Site Request Forgery)
Trigami kann angegriffen werden
16.06.2010 yahe legacy security thoughts update
Heute geht es einmal um den Werbevermittlungsdienst "Trigami", in deren Nutzereinstellungsseiten sich mehrere "CSRF"-Lücken (Cross-Site Request Forgery) befinden. Das Problem ist hier vor allem, dass Trigami inaktive Nutzer nicht automatisch ausloggt. So ist die Wahrscheinlichkeit hoch, dass Trigami-Nutzer unbedarft in die Falle laufen könnten.
Flattr-Manipulation ist möglich!
04.06.2010 yahe code legacy security thoughts update
Gestern habe ich darüber berichtet, dass ich mir nun auch einen der Beta-Accounts der neuen Micropayment-Plattform Flattr geholt habe. Am Ende des Artikels hatte ich eine mögliche Angriffsfläche erwähnt, die auch schon bei Twitter ausgenutzt worden ist. Wie ich nun durch eigene Tests herausgefunden habe, ist es tatsächlich möglich, Besucher einer Seite dazu zu bringen, völlig unbekannte Seiten zu flattrn.
