Bug in WP RSS Aggregator erlaubte XSS

11.08.2014 yahe legacy security wordpress

Am Freitag fand ich einen bemerkenswerten Fehler im WordPress-Plugin WP RSS Aggregator. Dieses Plugin ist eigentlich dafür gedacht, RSS-Feeds in den eigenen Blog zu integrieren. Das Plugin ermöglichte es aus mir unbekannten Gründen, beliebigen Text auszugeben, der im POST-Parameter "wprss-sysinfo" übergeben wurde.

Read more »

TeamViewer: Ein Konzept macht noch keine Sicherheit

01.07.2014 yahe legacy security thoughts

Heute hatte ich das Vergnügen, die Bekanntschaft mit dem TeamViewer zu machen, einem Tool, das es ermöglicht, VPN-Verbindungen durch restriktive Firewalls hindurch aufzubauen. Das ganze funktioniert mit einer User-ID und einem Passwort, was gerade dazu einlädt, diese einfache Lösung zu verwenden. Aber wie genau funktioniert das dann? Und wie sicher ist der Verbindungsaufbau und die darüber übertragenen Daten?

Read more »

TLS-Client-Authentication mit NGINX und PHP-FPM

18.06.2014 yahe administration legacy linux security

Seit ich es bei StartSSL gesehen habe, habe ich mich gefragt, wie ein Login über TLS-Client-Zertifikate funktionieren kann. So schwierig, wie man es sich im ersten Moment vorstellt, ist es eigentlich gar nicht.

Read more »

PHP-FPM chroot + Zend OpCache = Problem

22.04.2014 yahe administration legacy linux security

Ich habe testweise einmal den Zend OpCache ausprobiert, der seit PHP 5.5.0 direkt enthalten ist und war eigentlich ziemlich zufrieden. Der Speicherverbrauch bei der Ausführung von WordPress war auf 1/5 geschrumpft. Allerdings haben sich Probleme gezeigt, bei denen ich noch nicht genau weiß, wie ich sie beheben soll.

Read more »

Wikipad: Etherpad-Lite mit DokuWiki synchronisieren

17.04.2014 yahe code legacy linux update

Vor einiger Zeit habe ich mir ein Etherpad-Lite installiert, um verteilt und auch unterwegs Texte verfassen zu können, die ich anschließend veröffentliche oder anderweitig nutze. Das ist soweit toll, doch die Veröffentlichung war in meinen Augen unpraktischer, als sie sein müsste, da ich den Text kopieren, irgendwo anders einfügen und neu formatieren musste. Meine Idee war es deshalb, die Veröffentlichung direkt aus dem Etherpad-Lite heraus erledigen zu können, zum Beispiel bei kleineren Texten, die ich anderen zur Verfügung stellen möchte. Die Frage war nur, über welche Plattform die Veröffentlichung stattfinden sollte.

Read more »

Wordpress mit verschiedenen Datenbanknutzern absichern

28.02.2014 yahe administration code legacy security wordpress

WordPress ist nicht gerade ein Stück Software, das für sein herausragendes Sicherheitskonzept bekannt ist. Viele Dinge muss man erst mühsam im Alleingang nachbessern. So hat es mich schon immer gestört, dass Nutzer, die sich meinen Blog ansehen, im Hintergrund den gleichen Datenbanknutzer verwenden, wie ich als Administrator, der die Seite konfiguriert und neue Bloginhalte bereitstellt. Wenn es möglich wäre, wenigstens für diese zwei stark gegenteiligen Nutzungsszenarien verschiedene Datenbanknutzer zu verwenden, wäre schon viel erreicht.

Read more »

Arduino als Tastaturcontroller verwenden

30.01.2014 yahe arduino hardware legacy

Manchmal dauert es eine ganze Weile, bis man die richtige Idee für die Lösung eines Problems hat, in diesem Fall habe ich für die richtige Idee fast ein halbes Jahr gebraucht. Und zwar ging es darum, wie ich es hinbekommen könne, das Tastaturfeld einer gekauften Tastatur mit einem Arduino zu verbinden.

Read more »

calc.pw beim 30C3

06.01.2014 yahe arduino calcpw hardware legacy publicity security

Das Ende des letzten Jahres hatte es in sich: Ich durfte auf dem 30C3 einen Vortrag zu calc.pw halten.

Screenshot vom 30C3

Im Vortrag selbst habe ich die Idee hinter calc.pw vorgestellt, was ich mir für eine Lösung ausgedacht habe, welchen Problemen ich bei der Implementierung begegnet bin, wie ich diese gelöst habe und welche Pläne ich für die kommende Zeit habe.

Vortragssaal Vortragssaal

Wer sich das ganze ansehen mag, kann sich die MP4-Datei direkt beim CCC herunterladen.

Software-Reset aus dem Arduino Leonardo herauspatchen

19.12.2013 yahe arduino code hardware legacy security

Der Arduino Leonardo, der nun seit etwa einem Jahr auf dem Markt ist, besitzt dank seines ATmega 32u4 direkt die Möglichkeit, eine USB-Verbindung mit dem PC aufzubauen. Auf dem Arduino Uno war dafür ein separater Mikrocontroller zuständig. Durch diese Änderung hat sich jedoch auch die Art, wie Resets über den USB-Anschluss angestoßen werden, geändert. Dieser Reset ist inzwischen eine reine Software-Routine und kann falls nötig herausgepatcht werden.

Read more »

Zwei Arduinos miteinander verbinden

18.12.2013 yahe arduino hardware legacy

Derzeit arbeite ich mal wieder ein wenig an calc.pw, da der vorhandene Code für ein Arduino allein inzwischen zu umfangreich wird. Deshalb sehe ich mir derzeit an, wie ich den Programmcode auf zwei Arduinos verteilen kann. Es bestünde natürlich die Möglichkeit, auf ein anderes Mikrocontroller-Board zu wechseln, das ist jedoch mit höheren Aufwänden verbunden.

Read more »

Search

Links

RSS feed RSS feed

Profiles

Github yahesh

Mastodon @yahe@chaos.social

Categories

administration (45)
arduino (12)
calcpw (3)
code (38)
hardware (20)
java (2)
legacy (113)
linux (31)
publicity (8)
raspberry (3)
review (2)
security (65)
thoughts (22)
update (11)
windows (17)
wordpress (19)