Web Security für alle: X-Frame-Options

Veröffentlicht am Freitag, 23. September 2016 04:00 in Programmieren & Security

Ich erinnere mich an eine Zeit, in der es ein Katz- und Maus-Spiel gab zwischen Seitenbetreibern und fragwürdigen "Diensten" im Internet, die fremde Seiten in iFrames eingebettet angezeigt haben - man sprach von "frame busting"-Techniken, um dieses ungebetene Einbetten der eigenen Inhalte loszuwerden. Irgendwann wurde erkannt, dass dieses Einbetten nicht nur inhaltliche Aspekte hat, sondern auch ein ernsthaftes Sicherheitsproblem darstellt: Clickjacking kann dazu genutzt werden, Mausklicks und Tastatureingaben unbemerkt und ungewollt umzuleiten, etwa um Passwörter und ähnliche sensible Daten zu stehlen. Vorhandene Cheat-Sheets zu dem Thema zeigen schon, wie komplex dieses scheinbar einfache Thema ist, und wie wirkungslos viele Versuche, sich dagegen zu wehren.

Web Security für alle: HSTS

Veröffentlicht am Donnerstag, 22. September 2016 04:00 in Programmieren & Security

Neben der eigentlichen Funktionalität für den Redirect zu https aus dem letzten Post gibt es eine ganze Reihe sicherheitsrelevanter Header, die man für seine Webseite umsetzen muss sollte kann. Die konkreten Maßnahmen hängen ganz von den persönlichen Ansprüchen, der Rolle der eigenen Seite und natürlich den verfügbaren Ressourcen und Fähigkeiten ab. Mozilla gibt in seinen Guidlines ein Cheat Sheet vor, das nicht nur eine sinnvolle Reihenfolge für die Umsetzung von Maßnahmen vorzugeben versucht, sondern auch den zu erwartenden Benefit aufführt. Ich beginne bei der Umsetzung mit dem http strict transport security-Header, oder kurz und einfach von der Zuge gehend: HSTS.

Web Security für alle: Redirect to https

Veröffentlicht am Mittwoch, 21. September 2016 04:00 in Programmieren & Security

Da wir nun ein glitzerndes Hochglanz-Zertifikat für den SSL-Betrieb der Webseite haben, mit dem die eigene Seite per https angesteuert werden kann und von den Browsern mit mehr oder weniger grünen Vorhängeschlössern präsentiert wird, ist ja alles in bester Ordnung - oder? Hmm..., mal sehen, was der Sicherheits-Check von Mozilla dazu sagt.

Never gonna give you up

Veröffentlicht am Dienstag, 20. September 2016 20:18 in Satire & User Experience

So gut der technische Unterbau von Azure sein mag, so schlecht sind doch viele Aspekte der zugehörigen Account-Verwaltung. Seit Jahren beschreien empörte Nutzer, dass man beispielsweise lediglich Subscriptions kündigen kann, nicht aber den eigentlichen Account schließen. Auch über die extrem langsame Verwaltungsseite für Subscriptions, auf der jeder Klick zur Geduldsprobe wird, schimpfe ich schon lange. Hinterlegte Zahlungsmittel, die sich nicht löschen lassen, obwohl sie in keiner aktiven Subscription mehr genutzt werden, gesperrte Felder mit Informationen, die man augenscheinlich nirgends ändern kann - all das kann Grund für Ärger und Aufregung sein. Was ich allerdings heute sah, ließ mich eher einen Scherz vermuten.

SSL-Zertifikate mit Let's Encrypt

Veröffentlicht am Dienstag, 20. September 2016 04:00 in Security & Tools

Schon seit einiger Zeit beobachte ich die Entwicklung, die sich im Bereich der SSL-Zertifikate ergeben hat. Was früher eine kostspielige und aufwändige, nicht selten auch hakelige Sache war, ist inzwischen großflächig kostenlos und sehr bequem zu haben. Dies ist natürlich in weiten Teilen der Initiative "Let's Encrypt" zu verdanken, die die Verbreitung von kostenlosen SSL-Zertifikaten entscheidend mit vorangetrieben hat. Nach dem Umzug auf einen eigenen Server war die Erstellung eines zugehörigen Zertifikats einer der ersten Schritte. Und obwohl ich mich im Vorfeld schon schlau gemacht hatte, war ich doch noch darüber erstaunt, wie einfach und schnell das Ganze dann wirklich von statten ging.

Debuggen mit HTTPS in IIS Express

Veröffentlicht am Montag, 19. September 2016 04:56 in Programmieren & Tools

Da der von ASP.NET Core verwendete Webserver Kestrel typischerweise in einer Reverse-Proxy-Konfiguration mit altbekannten Webservern wie etwa IIS verwendet wird, übernehmen letztere diverse fortgeschrittene Themen wie etwa auch die SSL-Terminierung. Um also zur Entwicklungszeit SSL-Funktionen mittesten zu können, reicht es nicht mehr aus, nur Kestrel zu starten. Stattdessen verwendet man für gewöhnlich IIS Express, der ebenfalls SSL unterstützt und problemlos funktioniert. Normalerweise.

Wie man einen Server für ASP.NET Core einrichtet

Veröffentlicht am Montag, 19. September 2016 04:00 in Programmieren & Tools

Passend zum letzten Post folgt hier die Liste der Einzelschritte, die ich typischerweise zum Einrichten eines "frischen" (Windows-)Servers für ASP.NET Core ausführe. Insbesondere die Einrichtung von Web Deploy und der Möglichkeit, per Publish Profile neue Versionen zu veröffentlichen, ist nicht besonders gut dokumentiert. Während die offizielle Doku fürs Einrichten des Hostings noch die ein oder anderen Vorgehensweisen und Tipps bereitstellt, heißt es zum Publishing lediglich lapidar, man solle doch das vom Hoster bereitgestellte Profil importieren... hallo? Ich bin der Hoster! Was muss ich tun?

Umzug zum eigenen Server

Veröffentlicht am Sonntag, 18. September 2016 15:00 in Tools & Ankündigungen

Nach eher schlechten Erfahrungen mit reinem Hosting habe ich diese Seite vor etwa drei Jahren zu Microsoft Azure umgezogen, und ich hatte dort nie Probleme. Azure ist eine feine Sache und bietet faszinierende Möglichkeiten. Als Betreiber einer einfachen Webseite muss man allerdings eher viel für vergleichsweise wenig Gegenwert bezahlen, und in den unteren Preisklassen fehlen schlicht bestimmte Features. Azure hat eben noch immer nicht gewöhnliches Webhosting als Zielgruppe. Was mir insbesondere gefehlt hat war die Unterstützung für SSL/HTTPS, wofür man mindestens ein Basic-Paket benötigt, das selbst in der kleinsten Ausführung etwa 47€ im Monat verschlingt. Entscheidet man sich zusätzlich für ein von Microsoft verwaltetes Zertifikat, werden nochmals 59€ (und zwei Cent) pro Jahr fällig. Zeit, sich nach Alternativen umzusehen.

I'm not sexy and I know it

Veröffentlicht am Mittwoch, 14. September 2016 05:00 in User Experience

Wer zum ersten Mal vor dem Problem steht, eine einmal veröffentlichte Windows-(Phone-)App wieder aus dem Store entfernen zu wollen, muss sich vermutlich erstmal einige Zeit auf die Suche begeben. Zwar gibt es in der App-Übersicht die Option, diese "unavailable to customers" zu machen[1][1]
Diese Option macht die App nur für neue Kunden nicht auffindbar. Bestandskunden können die App weiter nutzen und erhalten z.B. sogar Updates, wenn man neue Versionen veröffentlicht, siehe auch die Erläuterungen hierzu.
, aber es gibt keine Möglichkeit, die Veröffentlichung an sich zu revidieren. Oder?

Die seltsame Welt von Android, Bluetooth und der Fitbit-App

Veröffentlicht am Freitag, 2. September 2016 06:00 in Tools

Was unter Windows Phone irgendwie immer einfach funktioniert hat, klappte bisher unter Android (Cyanogen 13, Wileyfox) auch nach tagelangen Versuchen mit Händen und Füßen so gut wie nie: Daten von meinem Tracker Surge der Firma Fitbit zu synchronisieren. Ich habe schon einige Erfahrung damit, das störrische Gerät zur Mitarbeit zu bewegen, denn am Desktop-Rechner funktioniert die Synchronisation auch nur dann, wenn wirklich kein anderes Bluetooth-Gerät und keine andere Bluetooth-Gegenstelle auch nur in der Nähe sind (ich empfehle jedem die Installation eines Faradayschen Käfigs, der über die Anschaffung eines Fitbit-Trackers nachdenkt). Aber dennoch wollte der Kontakt zum Smartphone einfach nicht zustande kommen, außer wenn ich den Tracker komplett aus meinem Account entfernt und erneut hinzugefügt habe; eine mühsame Prozedur, und im Ergebnis funktionierte die Synchronisation dann genau ein Mal. Die Lösung des Problems war einfach - und ausgesprochen widersinnig.

Blättern: 1 2 ... 24