Beiträge von rugk

Wie der Guardian und heise berichten hat ein Sicherheitsforscher ein Skript geschrieben, welches alle möglichen Telefonnummern eines Landes generiert und diese an eine Facebook-API schickt. Diese wiederum gibt die Facebook-User-ID zurück, mit welcher sich wiederum die privaten Daten von tausenden Facebook-Nutzern abrufen lassen, inklusive Profilbild. So können die Daten von bis zu 1,4 Millarden Facebook-Nutzern (so viel hat das soziale Netzwerk aktuell) innerhalb von Minuten abgerufen werden.
Facebook sagte darauf, dass sie API-Abrufe überwachen und missbräuchliche Benutzung der API verhindern.
Der Nutzer kann die abrufbaren Informationen außerdem einschränken, indem er die Sichtbarkeit seiner Informationen auf Freunde oder Freunde von Freunden beschränkt.

Original Blogpost: Facebook security loophole could put the personal data of its 1.44 billion users at risk

Ja du musst auch bedenken - gestern war Dienstag. Ist eben Patchday bei Microsoft.

Wie genau hast du es hochgeladen?
Eigentlich kannst du Drag & Drop nutzen oder bei Datei hochladen -> Durchsuchen eine Datei hochladen. Dies geht eigentlich ziemlich schnell und dementsprechend ist da kein Fortschrittsbalken erforderlich.
Wen die Datei größer ist wird oben rechts ein Ladesymbol angezeigt während des Uploads:

Was bei dir jedoch fehlt, ist die Toolbar:

Was für einen Browser nutzt du denn aktuell? Und hast du irgendwelche Add-ons oder Userskripte aktiv, die die Seitendarstellung irgendwie verändern könnten?
Wenn du auf "Weitere Einstellungen" klickst, siehst du dann die Toolbar?

@SAPISU Ich habe dass Zitat bei dir mal entsprechend umgewandelt.

Seit einigen Tagen ist die Stagefright-Lücke in Android bekannt. Es lassen sich so gut wie alle Android-Versionen bis zur neusten Version 1.5 angreifen. Es handelt sich um eine Lücke im Android-Multimedia-System, welches für die verschiedensten Aktionen genutzt wird.
Die Smartphones sind dabei nicht nur beispielsweise über heruntergeladene Videos oder Bilder, sondern auch über MMS, über per NFRC ausgetauschte Visitenkarten, Bluetooth und andere angeblich auch andere Nachrichtendienste wie WhatsApp oder Facebook.
Vom Entdecker wurde sie "die Mutter aller Android-Schwachstellen" genannt. Exploits dafür sind schon entwickelt wurden.
Das Problem an dem Exploit ist, dass der Mediaserver, der den Stagefright-Code enthält, auf verschiedenen Geräten mit verschiedenen Rechten läuft. Bei etwa der Hälfte der vom Entdecker getesteten Geräte soll er dabei mit System-Rechten laufen. Dies führt dazu, dass ein Exploit so gut wie alles am System ändern kann - vom Installieren von Apps bis hin zum Ändern der Rechte einzelner Apps.
Gepacht ist die Schwachstelle derzeit nur in CynagonMod Version 11 und 12. Für andere Geräte wird an Patches gearbeitet und Google hat eine Liste mit versprochenen Updates für verschieden Smartphone-Modelle veröffentlicht.
Samsung, Google und LG wollen sogar einen monatlichen Patchday einführen, an dem Sicherheitsupdates ausgeliefert werden. Zum Testen ob das eigene Android-Gerät attackierbar ist, findet man bei Google Play außerdem ein Test-Tool.
Zumindest einen Angriffsvektor kann man etwas verhindern: Der automatische Download von MMS lässt sich in den meisten Apps, auch Google Hangout, verhindern. Telekom hielt dies offensichtlich auch für eine gute Idee und schaltete die MMS-Auslieferung um, sodass der Empfänger jetzt eine SMS mit einem Link bekommt.

In der Version 39.0.3 für Firefox wurde eine kritische Sicherheitslücke im internen PDF-Viewer gefixt. Diese erlaubt die Ausführung von Javascript in lokalem Kontext, wodurch der Angreifer Zugriff auf auf dem System gespeicherte Dateien erhält.
Das Update wurde wahrscheinlich vor allem deswegen so schnell veröffentlicht, da bereits ein Exploit dafür im Umlauf ist. Nach Angaben von Mozilla soll dieser bereits in einer schädlichen Werbeanzeige genutzt wurden sein.
Der Exploit sucht dabei Mozillas Angaben zufolge nach folgenden Daten in verschiedenen Betriebssystemen nach Konfigurationsdaten um an Passwörtern und Zugangsschlüssel zu gelangen:

• Windows: subversion, s3browser, Filezilla, .purple, Psi+ und Konfigurationsdateien von 8 weiteren populären FTP-Clients
  
• Linux: /etc/passwd, .bash_history, .mysql_history, .pgsql_history, .ssh, remina, Filezilla, Psi+, alle Textdateien mit "pass" oder "access" im Dateinamen und alle Shell-Skripte
• Mac-Nutzer werden aktuell nicht von dem Exploit angegriffen, allerdings könnte der Exploit jederzeit modifiziert werden oder ein anderer entwickelt werden, der die Schwachstelle auch bei Mac OS ausnutzt.

Mozilla rät Windows und Linux-Nutzern alle Passwörter und Schlüssel zu ändern, die in den aufgezählten Konfigurationsdateien zu finden sind. Außerdem hinterlässt der Exploit keine Spuren auf den lokalen Maschinen und Nutzer von Adblockern könnten von dem Exploit geschützt gewesen sein, je nach verwendeter Software und Filtern.
Für die ESR-Version von Firefox wurde ebenfalls ein Patch mit der Version 38.1.1 bereitgestellt.

Quellen:

• Firefox 39.0.3 / ESR 38.1.1: Mozilla behebt Sicherheitslücke in PDF-Betrachter - soeren-hentzschel.at
• Firefox exploit found in the wild | Mozilla Security Blog

Da sollte es einige geben.

Blacklist-Tracking
Normale Tracking-Blocker (wie zum Beispiel auch eine Firefox-eigene Funktion) verhindern das Nachverfolgen von Nutzern über Drittanbieterseiten, meistens über eine Blacklist, also eine Liste mit bekannten Trackern, die blockiert werden sollen. Dies funktioniert auch ganz gut - allerdings gibt es nach Angaben der Ersteller des Add-ons "Privacy Badger" trotzdem viele Tracker, die ohne spezielle Konfiguration solcher Add-ons erlaubt werden.

Intelligentes Tracking-Blocking
Das von der amerikanischen Bürgerrechtsorganisation Electronic Frontier Foundation entwickelte Add-on, das heute in der ersten stabile Version (also Version 1.0) veröffentlicht wurde, verhindert Tracking dagegen auf eine ganz andere Art. Es analysiert das Verhalten von Seiten von Drittanbietern und entscheidet auf Grundlage dieser Analyse, ob und wie die Webseite blockiert wird. Dabei unterscheidet es zwischen einer kompletten Blockierung der Domain oder nur einer Tracker- bzw. Cookie-Blockierung. Dies wird mit verschiedenen Listen realisiert, für welche jeweils unterschiedliche Kriterien gelten. Allerdings kann diese Entscheidung für jede Domain vom Benutzer geändert werden.
Dies soll eine universelle Tracker-Blockierungslösung sein, die neben Cookies auch das Tracking mit Super-Cookies im lokalen Speicher und Canvas-Fingerprinting verhindern soll. Cookies, die den Nutzer jedoch nicht Tracken - sondern beispielsweise nur einige Einstellungen (wie die ausgewählte Sprache) speichern, werden dabei nicht blockiert.

Dazulernendes Open-Source-Addon
Das Add-on kann über die EFF-Webseite für Firefox oder Chrome heruntergeladen werden, wo es ebenfalls eine FAQ-Seite für weitere Informationen gibt. Das Add-on an sich ist Open-Source - der Quellcode kann bei GitHub eingesehen werden.
Am Anfang soll Privacy Badger noch wenig Tracker blockieren, aber mit der Zeit - nach Besuchen mehrerer Webseiten - dazulernen.
Bei Social Media-Buttons besitzt das Add-on außerdem eine Funktion, diese mit statischen Bildern zu ersetzen, sodass die Buttons wenn gewünscht trotzdem zum Teilen in sozialen Netzwerken benutzt werden können.

Zitat von Steffen

Wie war noch mal die Seite um zu prüfen auf welchen Geräten / Browser die Webseite läuft ?

Da gibt es einige - aber die konzentrieren sich meist auf die Anzeige wie die Webseite dann auf dem jeweiligen Gerät aussieht. Ob die auch den Verbindungsaufbau und co realistisch machen ist da etwas ganz anderes.
Deswegen am Besten gleich auf dem Gerät testen.

Wird eine Fehlermeldung angezeigt? Wenn ja welche?

Der Sicherheitsforscher Code White hat mit insgesamt 6 Lücken dem Buisness-AV Symantec Endpoint Protection ein ganzes Netzwerk übernommen. Benutzer sollten möglichst schnell die neue Version 12.1-RU6-MP1 installieren. Wer noch Symantecs Endpoint Protection Version 12.1 oder früher einsetzt ist den Sicherheitslücken schutzlos ausgesetzt.

Quelle und mehr Infos: Symantec Endpoint Protection: Gefährlicher Sicherheitslücken-Cocktail | heise Security

Zitat von BrollyLSSJ

Die Passwörter wurden in Klartext gespeichert.

:eek:

Windows 10 sollte man aber auf jeden Fall nicht mit der "Express-Installation" installieren. Da ist nämlich so gut wie jede Datensammlerei von Microsoft standardmäßig aktiviert.
Und auch die Telemetrie-EInstellung, die sich in "normalen" Windows 10-Versionen eigentlich nicht vollständig ausstellen lässt, kann man über einen Registry-Tweak wohl auch abschalten.

Bitte beachtet, dass alle eure Daten beim Umzug auf den neuen Server von Maestro übertragen werden. Wir halten dabei strengste Sicherheitsvorkehrungen ein und der neue Server wird selbstverständlich bestmöglich vor unerlaubten Zugriffen abgesichert.
Wer sein Konto dennoch löschen möchte, kann dies natürlich jederzeit tun indem er einem Admin aus dem Forum-Team eine PM schickt. Wir werden dieser Löschanfrage dann schnellstmöglich nachkommen.
Falls ihr dies nicht macht akzeptiert ihr den Umzug eurer Daten auf den neuen Server.

Das Update habe ich auch bemerkt.

Hier ein längerer Artikel mit etwas Kontext dazu: Kompatibilität von ESET mit Windows 10 | Computer Security Community
Das Update wird natürlich auch erwähnt.

ESET hat bekanntgegeben, dass sowohl die Heimanwender-Produkte als auch die Buisness-Produkte von ESET mit Windows 10 kompatibel sind. Dies sind sogar jeweils zwei Versionen: Version 7 und 8 für Heimanwender und Version 5 und 6 für Buisness-Kunden.
Unabhängig davon ist es allerdings natürlich immer ratsam, die neuste Version des jeweiligen Produktes zu verwenden.

Versionen vor Version 7 von ESS und NOD32 müssen somit allerdings beim Upgrade auf Windows 10 auf eine neuere Version geupgradet werden. Passiert dies nicht vor dem Windows 10-Upgrade weist das jeweilige Programm mit einem entsprechenden Hinweis nach dem Upgrade darauf hin.
Weitere Erläuterungen zum eventuell erforderlichen Produktupgrade kann man in einem KB-Artikel nachlesen.

Auf der eigens eingerichteten Seite für Windows 10 sind mehr Informationen und weitere Anleitungen enthalten.

Gleichzeitig wurde jedoch heute ein Update für ESS und EAV v8 veröffentlicht (Version 8.0.319), welches neben kleinen Änderungen - wie zum Beispiel des Einbindens der letzten VSD-Updates, was sicherlich das unnötige Nachladen von Updates insbesondere bei Windows 10-Upgrades verhindern soll, - auch die Kompatibilität mit dem Windows 10 Build 10240, also dem der an OEMs verteilt wurde, hinzufügt.
[DOUBLEPOST=1438185568][/DOUBLEPOST]Gerade hat ESET noch ein "Alert" veröffentlicht indem es dann doch heißt, dass sie es "dringend empfehlen" vor dem Upgrade auf Windows 10 auf die neuste Version des jeweiligen ESET-Produktes upzugraden.

Neue Promo: Ashampoo Snap 7 gratis:
[HIDE]Ashampoo® Snap 7 - Übersicht[/HIDE]

Zitat von xfire09

Weil Steffen nie wollte/will, dass User hier was hoch laden und weil ich abload.de immer verwende.

Wenn dies so gesagt wurde,, dann muss ich dies jetzt revidieren.
Aktuell haben wir ausreichend Speicherplatz und ein Hochladen auf externe Bildhoster, die nicht HTTPS unterstützen, ist eher kontraproduktiv, da damit im Browser nur Mixed Content-Warnungen erscheinen.
Wie schon im HTTPS-Post erwähnt, solltet ihr somit entweder Hoster nutzen, die HTTPS unterstützen oder die Bilder mit der Forum-internen-Funktion hochladen.

Danke für die Info.
Hier noch ein paar Link dazu, die ich finden konnte:
Computer-Händler Atelco aus Möhnesee ist zahlungsunfähig | Möhnesee
Computerhändler Atelco meldet Insolvenz an | heise online

Der Artikel ist höchst wahrscheinlich komplett erfunden.
Es keine Belege für diese Geschichte. Andere Medien haben dies auch nur von Chip.de abgeschrieben.
Mehr Infos: Stell dir vor, es droht Krieg, und nur chip.de berichtet darüber — BILDblog