Glorf.it

Glorf IT

Bedenkliches aus dem IT-Alltag

Seiten
Kategorien
Archiv
Kalender
Mai 2012
M D M D F S S
 123456
78910111213
14151617181920
21222324252627
28293031  
Suchen
SQL Server Security
SQL Security
Microsoft SQL Thinking
Microsoft SQL Thinking
Top 15 Postings
BlogWart
  • BlogHaus Blogger-Karte
  • Bloggeramt.de
1. Mai 2012 um 10:47

Sicherheitslücken in Software und die Verschwiegenheit

Von Thomas

Es ist gängige Praxis, dass Entdecker von Sicherheitslücken sich an den Hersteller wenden und vorerst nicht über die Lücke informieren, damit davon keine Gefährdung für die Kunden ausgeht. Erst nach dem die Lücke geschlossen wurde, stellen die Entdecker ihre Infos online. Leider kann das schon mal einige Zeit dauern.

Das kann dann auch schief gehen, wie man bei Heise.de nachlesen kann:

Nach dem letzten Patchday erklärte Oracle eine schwerwiegende Lücke der Oracle Datenbank für gefixt. Der Entdecker veröffentlichte daraufhin konkrete Details mit denen man die Lücke an seinen eigenen Systemen nachvollziehen kann. Doch obwohl nahezu alle produktiven Oracle-Installationen gefährdet sind, gibt es für die gar keinen Patch – viele Oracle-Systeme stehen somit sperrangelweit offen.
Die von Oracle vermeldeten Sicherheits-Fixes bezogen sich ausschließlich auf das noch nicht veröffentlichte Oracle 12; aktuell verfügbar ist derzeit Oracle Database 11.2.0.3.

Dabei geht es um eine sehr schwerwiegende Lücke, die ein Angreifer nutzen kann, um sich Admin-Zugriff zum Oracle-System zu verschaffen. Die Lücke wurde im Jahre 2008 gemeldet und ist noch immer offen. Leider gibt es nur wenige umständliche oder teure Möglichkeiten sich dennoch zu schützen, wenn man Oracle-Nutzer Load-Balacing benötigen. Daher dürften bis zum Fix durch Oracle wohl sehr viele Systeme weiterhin anfällig für diese Angriffe sein.

Bei Heise-Security wird die Situation als sehr ernst eingeschätzt:

Alexander Kornbrust, Experte für Oracle-Sicherheit bei Red-Database-Security schätzt diese Sicherheitslücke als besonders ernst ein, "weil ein Angreifer remote und ohne Kennung auf dem Datenbankserver den Netzwerkverkehr der Datenbank über einen eigenen Server umleiten und danach mitlauschen kann. Lediglich die Oracle SID beziehungsweise Oracle Servicenamen muss ihm bekannt sein."

Das ist schon irgendwie blöd, dass die Schwachstelle öffentlich wurde. Aber muss es wirklich sein, dass Oracle nach vier Jahren immer noch keinen Fix liefert. Ist es nicht wahrscheinlich, dass inzwischen auch noch Andere diese Lücken entdeckten und professionelle Hacker längst darüber Bescheid wussten? Laut dem Finder Joxean Koret besteht die kritische Lücke vermutlich bereits seit 13 Jahren…

Details:

Update 2.5.2012: Auf Heise-Security wird berichtet, dass Oracle das Problem und einen Workaround nun auch beschreibt.

In Kategorie Security, SQL-Talk | Noch keine Kommentare | (Der Artikel wurde 48587 mal abgerufen)
1. Mai 2012 um 10:10

Dienst für ausgefallene Fotoprodukte

Von Thomas

Da wir uns einen neuen Fotoapparat angeschafft haben, kam mir ein Hinweis auf den Foto-Online-Shop prentu.de recht gelegen. Ich bekam ein Produkt umsonst, wenn ich darüber berichte. Das Angebot habe ich doch glatt angenommen.
Bislang habe ich meist die Dienste der nahe gelegenen Drogerieketten genutzt (Müller oder dm). Im Prinzip ist die Qualität der Bilder dort OK, die Sonderartikel wie Foto hinter Glas aber eine Katastrophe. Bei dm musste ich eine komplette Bestellung Fotos hinter Glas zurück schicken, weil zwischen Foto und Glas kleine Staubkörner waren. Auch bei der Ersatzlieferung waren von drei nur eines fehlerfrei. Außerdem komme ich mit der sehr ähnliche Bedienung der beiden Shops nicht gut klar. Daher waren die Erwartungen an Prentu klar… 😉

Hier die Ergebnisse aus meinem ersten Test:

Bedienung:

  • Die Bedienung ist *einfach*!
  • Man sieht rechts am Rand immer die Möglichkeiten und den kompletten Preis (inkl. Bearbeitungsgebüren und Porto)
  • Man kann alles rückgängig machen, auch mehrere Schritte und daher einfach mal Dinge ausprobieren.
  • Man kann seine Entwürfe abspeichern und später weiter machen. Das war klasse, weil ich ein paar Alternativen mit meiner Liebsten durchsprechen wollte. Dazu konnte ich erst mal ein paar Entwürfe machen und dann in einem Aufwasch die fertigen Alternativen präsentieren.
  • Was hat mir nicht gut gefallen hat: Meine Tochter kam rein als ich gerade etwas zusammenstellte und war begeistert. 45min hat sie unbedingt alles durchprobieren wollen, dann habe ich sie rausgeworfen. Zum Glück hatte ich vorher gespeichert… 😉
  • Ich habe Dank des Speicherns vergessen, dass man am Anfang bei Bild auf Leinwand (Klasse!!!) das Format auswählen muss. Man kann später nicht mehr ändern, ob man hochkant oder quer haben will. Sonst ist die Bedienung wirklich klasse.

Bestellabwicklung:

  • Die Zahlungsmöglichkeiten sind zeitgemäß: Lastschriftverfahren (dort "ELV" genannt) ist möglich, aber "Sofort Überweisung" ist die Voreinstellung. Weil man dabei PIN und TAN rausrücken muss, würde ich doch lieber Paypal, Giropay oder Zahlung per Kreditkarte empfehlen, was alles ebenfalls möglich ist.
  • Man kann immer nur einen Artikel zugleich bestellen und daher keine Bestellkosten sparen. Wenn ich also ein Bild im Rahmen und ein Bild auf Leinwand bestelle, dann sind das zwei Bestellungen. Schade, hier kann Prentu noch zulegen.

Kommunikation:

  • Ich hatte eine Frage, die sehr schnell per Mail beantwortet wurde. Klasse.
    Die Frage drehte sich übrigens um den Rand bei Bildkollagen, den man in der Vorschau sieht: den muss man selber abschneiden. Man sieht exakt was man bekommt. Das finde ich vorbildlich, weil man dann keine Überraschungen erlebt.
  • Nach den Bestellung erhielt ich bei jedem Schritt eine Mail: Bestellbestätigung und Versand. So erwartet man das heute.

Ware:

  • Das bestellt Bild im Rahmen kam schnell und wie angekündigt an. Bestellung war am 23.4., Versand am 24.4. und Lieferung am 25.4.2012. Da kann man nicht meckern.
  • Das Bild war sehr gut verpackt. Komischerweise waren im Rahmen die Verschlüsse offen (hinten wo man die Rückwand am Rahmen fest macht), aber das war leicht beseitigt.
  • Die Qualität ist sehr gut, nur am oben Rahmen ist eine Schramme. Aber weil man es da eher nicht sieht, habe ich das nicht reklamiert, sonst könnte ich auch berichten wie das klappt… 😉
  • Leider sind Staubkörner zwischen Bild und Glas (siehe Foto), aber hier lässt sich das sicher leicht entfernen. Ich bin bloß noch nicht dazu gekommen. Möglicherweise ist das die Folge davon, dass das Bild hinten nicht verschlossen war.

Mein Resümee:

  • Die Preise sind angemessen, also weder billig noch teuer. Das Foto war sehr gut, daher preislich wohl angemessen.
  • Was ich gerne mal ausprobieren möchte ist Foto auf Leinwand. Auch das Fotobanner 76 x 220 cm spricht mich extrem an. Es kostet knappe 40 Euro, was mir günstig erscheint. Nur der Ständer ist teuer – braucht man den unbedingt? Leider kann ich so ein Banner gar nicht gebrauchen. Aber vielleicht später mal als Gag für eine Party.
  • Die Bedienung des Online-Shops ist richtig, richtig gut. Jedenfalls im Vergleich zu dem, was ich bisher kannte.

Nach dem ersten Test kann ich Prentu.de trotz kleiner Abzüge in der B-Note auf jeden Fall empfehlen.

In Kategorie Erlebt | Noch keine Kommentare | (Der Artikel wurde 45667 mal abgerufen)
|

Glorf IT is powered by WordPress | Using Tiga theme with a bit of Ozh