PCFreak Logo (c) Der PCFreak

Archive for the 'Homepage' Category


Get A+ rating on Apache by ssllabs.com with a free cert from StartSSL Kommentare deaktiviert für Get A+ rating on Apache by ssllabs.com with a free cert from StartSSL

Bild

It is very easy to get an A+ rating at https://www.ssllabs.com with Apache for your website by using a free SSL certificate from https://www.startssl.com/ if you correctly generate the servers private key and add some simple configurations to your ssl.conf file. I tested this on Apache/2.2.15 running on CentOS 6.6.

Generate public/private key
First of all generate a private key with 4096 bits for your server. Let’s call it server2015.key

openssl genrsa -out server2015.key 4096

 

Generate the certificate signing request for a sha512bit certificate (CSR)
openssl req -sha512 -new -key server2015.key -out server2015.csr

Give CSR to startssl and receive certificate(s)
You will receive your certificate from startssl (let’s assume it is named server2015.crt. Please make sure you also download the sub.class1.server.ca.pem intermediate certificate from startssl. Don’t use their bundle (ca-bundle.pem), it contains some certificates with „weak“ algrorithms!

Place the certicates in the correct folders

server2015.crt –> /etc/pki/tls/certs/
sub.class1.server.ca.pem –> /etc/pki/tls/certs
server2015.key –> /etc/pki/tls/private <— DIFFERENT FOLDER !!!

Generate symbolic links
I recommend using symbolic links for the certificates so you can easily change them (next year) just by changing the symbolic links and reloading Apache.

cd /etc/pki/tls/certs
ln -s sub.class1.server.ca.pem current-ca-chain.pem
ln -s server2015.crt current.crt

Configure the use of the certificates in /etc/httpd/conf.d/ssl.conf
The following configuration paramters in ssl.conf will use the above certificates (symbolic links)

SSLCertificateFile /etc/pki/tls/certs/current.crt
SSLCertificateChainFile /etc/pki/tls/certs/current-ca-chain.pem
SSLCertificateKeyFile /etc/pki/tls/private/current.key

Change cipher suites (remove weak ciphers) from ssl.conf
Set the following in ssl.conf to only use strong ciphers

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ALL:!RC4:!MD5:!ADH:!EXP:!SSLv2:!LOW:!IDEA:RSA:+HIGH:+MEDIUM

Hint:
If you want to know which ciphers are used with the above configuration, just enter the string from „SSLCIpherSuite“ into openssl for an output of all ciphers:

openssl ciphers -v ‚ALL:!RC4:!MD5:!ADH:!EXP:!SSLv2:!LOW:!IDEA:RSA:+HIGH:+MEDIUM‘

With this configuration you should already get an „A“ at https://www.ssllabs.com

Enable HSTS for A+
If you enable HSTS on your site, a client (browser) that visited your site once via https will automatically switch to https even if it tries to connect via http. (works with Firefox and Chrome but not IE). This is needed to get an „A+“ rating!

Place the following lines in ssl.conf inside the <VirtualHost>…</VirtualHost> directive
The max-age is in seconds. In the example below it is 340days

#/etc/httpd/conf.d/ssl.conf
# enable HSTS (client will automatically choose https in the future if once connected via https
<IfModule headers_module>
Header always set Strict-Transport-Security „max-age=29376000“
</IfModule>

Sample ssl.conf (without comments)

LoadModule ssl_module modules/mod_ssl.so
Listen 443
SSLPassPhraseDialog builtin
SSLSessionCache shmcb:/var/cache/mod_ssl/scache(512000)
SSLSessionCacheTimeout 300
SSLMutex default
SSLRandomSeed startup file:/dev/urandom 256
SSLRandomSeed connect builtin
SSLCryptoDevice builtin
<VirtualHost _default_:443>
ErrorLog logs/ssl_error_log
TransferLog logs/ssl_access_log
LogLevel warn
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ALL:!RC4:!MD5:!ADH:!EXP:!SSLv2:!LOW:!IDEA:RSA:+HIGH:+MEDIUM
<IfModule headers_module>
Header always set Strict-Transport-Security „max-age=29376000“
</IfModule>
SSLCertificateFile /etc/pki/tls/certs/current.crt
SSLCertificateKeyFile /etc/pki/tls/private/current.key
SSLCertificateChainFile /etc/pki/tls/certs/current-ca-chain.pem
<Files ~ „\.(cgi|shtml|phtml|php3?)$“>
SSLOptions +StdEnvVars
</Files>
<Directory „/var/www/cgi-bin“>
SSLOptions +StdEnvVars
</Directory>
SetEnvIf User-Agent „.*MSIE.*“ \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
CustomLog logs/ssl_request_log \
„%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \“%r\“ %b“
</VirtualHost>

Voila, you have an A+ rating at absolutely no cost! – Nice!

If you don’t get an A+ rating, please check the following part at https://www.ssllabs.com

Bild

Animatron – HTML5 Animator Kommentare deaktiviert für Animatron – HTML5 Animator

Animatron ist eine leistungsstarke und benutzerfreundliche Webanwendung, mit der man direkt im Browser HTML5 Animationen erstellen kann.

z.B. Bob and the Cat

Bob and the Cat HTML5 Animation

http://animatron.com/project/42e8fb52a95aaead5b0b8feb

Logstalgia – Website Access Log Visualization Kommentare deaktiviert für Logstalgia – Website Access Log Visualization

Logstalgia visualisiert Website-Traffic. Es gibt die entsprechenden Log-Eintraege als „Pong-Schlacht“ zwischen dem Webserver und dem Client aus. Anfragen erscheinen als farbige Kugeln (in der gleichen Farbe wie der Host), die sich dann über den Bildschirm bewegen um auf der entsprechenden Seite anzukommen. Erfolgreiche Requests (200) werden vom Schläger getroffen während nicht erreichbare (404) durchfallen.

Logstalgia benögtigt eine OpenGL-taugliche Grafikkarte und sollte deshalb logischerweise nicht auf dem Webserver, sondern auf einer etwas stärkeren Workstation mit OpenGL ausgeführt werden.

Die „Wiedergabegeschwindigkeit“ kann zwischen 0.1 und 30 variiert werden. Für wirklich schöne Effekte sollte man aber das Logfile einer gut besuchten Seite auswerten. (einige 100 Hits/Minute)

Logstalgia Screenshot

Folgende Log-Formate werden unterstützt:

NCSA Common Log Format (CLF)
    „%h %l %u %t \“%r\“ %>s %b“

NCSA Common Log Format with Virtual Host
    „%v %h %l %u %t \“%r\“ %>s %b“

NCSA extended/combined log format
    „%h %l %u %t \“%r\“ %>s %b \“%{Referer}i\“ \“%{User-agent}i\““

NCSA extended/combined log format with Virtual Host
    „%v %h %l %u %t \“%r\“ %>s %b \“%{Referer}i\“ \“%{User-agent}i\““

Desweiteren kann man auch eigene Formate definieren.

Die Logdateien von Apache und Nginx werden natürlich sauberst unterstützt.

 

Hier gibts Logstalgia zum Download https://code.google.com/p/logstalgia/ oder direkt über das AUR (Arch Linux).

Initiative-S Kommentare deaktiviert für Initiative-S

you-have-been-hacked-self-made

Mit dem Seiten-Check von Initiative-S (gefördert durch das Bundesministerium für Wirtschaft und Technologie im Rahmen der Task Force „IT-Sicherheit in der Wirtschaft“) kann man seite Webseite bequem und kostenfrei prüfen und monitoren lassen.

Schwerpunkt ist hierbei Sicherheitslücken oder bereits stattgefundene Modifikationen (z.B. an WordPress etc.) festzustellen und per E-Mail zu melden.

Für die Anmeldung muss eine der folgenden E-Mail-Adressen für die entsprechende Domain eingerichtet werden.

info@domain.tld

webmaster@domain.tld

abuse@domain.tld

initiative-s@domain.tld

Einfach unter folgendem Link beim „Seitencheck“ anmelden: https://www.initiative-s.de

Natürlich bietet „Initiative-S“ den Dienst für Firmen auch käuflich an und man erhalt dann sogar ein Sicherheits-Siegel.

Cartoons ueber Internetsicherheit Kommentare deaktiviert für Cartoons ueber Internetsicherheit


Ich bin gerade auf eine sehr nette Seite gestoßen, auf der es wunderschöne Cartoons zu den Themen

  • Spoofing
  • Malware
  • Phishing
  • Pharming
  • Passwords
  • Politics
  • Fightback

gibt. Die Cartoons sind in Englisch und eignen sich sehr gut, um Sicherheitsprobleme im Internet mit ein paar Bildern zu erklären. Das aktuellste Cartoon kann man auch in die eigene Homepage, z.B. mit folgendem HTML-Code einbinden:

<script src="http://www.securitycartoon.com/today.js"></script>

wobei man natürlich immer vorsichtig sein sollte, wenn man externe Javaskripte einbindet. Ich habe mir mal das RSS-Feed von SecurityCartoon.com in meinen Newsreader eingetragen.

fixedorbit.com Kommentare deaktiviert für fixedorbit.com

In meinem Lieblingspodcast „SecurityNow“ wurde heute von der Seite „http://fixedorbit.com/“ gesprochen. Ich finde die Seite und vor allem auch die dort verlinkten Seiten sehr gut. Mit Fixedorbit.com kann man z.B. starten, wenn man nur eine IP-Adresse hat und möchte diese zurückverfolgen. Weitere gute Sites die dort gelistet sind:

http://www.fixedorbit.com
http://www.internettrafficreport.com/

http://www.whattimeisit.com/
http://www.hostcount.com/
http://www.webscale.com/

Schaut doch selber mal vorbei und probiert die Seiten aus. Wirklich interessant!

Mehrere Websites mit IIS 5.x unter Windows XP hosten Kommentare deaktiviert für Mehrere Websites mit IIS 5.x unter Windows XP hosten

Wer schon mal das Problem hatte, der versteht, wovon ich rede. Der eingebaute Webserver in Windows XP (IIS 5.x) unterstützt nur 1 „Site“. Ab und an möchte man doch als Entwickler verschiedene Sites testweise hosten. Das grafische Administrationswerkzeug lässt uns hier im Stich, da es wie gesagt nur 1 Site unterstützt. Was können wir tun?
In den Standardinstallationsdateien im Ordner C:\Inetpub\AdminScripts gibt es ein Skript mit dem Namen „adsutil.vbs„. Mit diesem Skript kann man auf der Kommandozeile den IIS administrieren und – man errät es schon – auch weitere Sites anlegen.
  C:\Inetpub\AdminScripts>

Websites enumerieren
  cscript.exe adsutil.vbs enum /p W3SVC

Website anlegen
  cscript.exe adsutil.vbs create_vserv W3SVC/2
 
Website löschen
  cscript.exe adsutil.vbs delete W3SVC/2
 
Website W3SVC/1 kopieren nach W3SVC/2
  cscript.exe adsutil.vbs copy W3SVC/1 W3SVC/2

Wenn man unterschiedliche Ports/Hostheader für die Seiten verwendet, kann man wunderbar mehrere Sites betreiben und der lokalen Websiteentwicklung steht nichts im Weg. In meinem Fall war die Ursache für die Notwendigkeit ganz anders, ich musste ein Zertifikat für einen IIS 5.1 unter Windows XP erneuern was so direkt nicht geht, weil der Renewal-Prozess einige Info nicht mitliefert, die der Zertifikatsaussteller benötigt. Der Workarround war eine zweite Site anzulegen und dort ein neues Zertifikat zu beantragen, was ja normal nicht geht, aber wie wir nun wieder einmal wissen: Es gibt immer eine Lösung.

Bloggen mit Microsoft® Word® 2007 Kommentare deaktiviert für Bloggen mit Microsoft® Word® 2007

012010-0925-bloggenmitm1.png

Heute habe ich bei How-To Geek gelesen, wie man direkt aus Microsoft® ord® 2007 & 2010 bloggen kann.Hier gibt es die detailierte und bebilderte Anleitung in Englisch. Natürlich wurde dieser Blogeintrag gleich mit dieser Methode erstellt, um das Ganze zu testen.

Goolag Scanner cDc Kommentare deaktiviert für Goolag Scanner cDc

Die Hackergruppe Cult of the Dead cow, kurz cDc hat ein neues Tool gebaut. Der „Goolag Scanner“ nutzt alle Features der Google Suchmaschine aus um Informationen über Websites und deren möglichen Sicherheitslöcher herauszufinden.

Der Ablauf ist in etwa so. Goolag stellt z.B. eine Suchanfrage in der Manier „intitle:index of / parent directory“ und schon kann man ermitteln, ob der entsprechende Webserver z.B. ein durchsuchbares Verzeichnis zur Verfügung stellt. Das war jetzt ein einfaches Beispiel eines sog. „Forks“. Das Tool kann viel viel mehr.

Alle Systemadministratoren sind angeraten, dieses Programm herunterzuladen und die eigene Webseite damit zu überprüfen – bevor es ein anderer tut.

Das Programm gibts hier zum Download:
Goolag.org

kostenlose Shell accounts und wie man sich das Passwort merken kann! Kommentare deaktiviert für kostenlose Shell accounts und wie man sich das Passwort merken kann!

Heute habe ich mir einen kostenlosen Shell-Account angelegt. Nun für was braucht man sowas. Man kann damit z.B. Verbindungen tunneln, wenn man in einem Netzwerk arbeitet, welches zwar den ausgehenden Port 80 erlaubt aber sonst nichts. Wie das genau geht möchte ich hier aufgrund meiner beruflichen Tätigkeit nicht weiter ausführen.

Kommen wir nun zu den Shell-Accounts. Wo gibts kostenlose Shell-Accounts?
Google: free shell accounts

Ich habe einen Gratisaccount bei visualserver.org und einen für $1 bei silenceisdefeat.org .

So und nun hat man so einen Account und ist unterwegs aber man hat mal wieder das Passwort vergessen. Tja, hier meine Lösung (aus Sicherheitsgründen etwas abgeändert.)

Man legt sich auf irgendeinem Webspace den man hat einen Subfolder an, z.B.
http://mywebspace.com/myshell

Dort plaziert man dann eine Seite, die einen auf die Homepage des Shell-Accounts weiterleitet, z.B.
http://silenceisdefeat.org/~superuser

Dort plaziert man dann ein Ascii Art, z.B. von einem Foto. In diesem Ascii Art plaziert man dann irgendwo mittendrin das Passwort für die Shell und merkt sich die Position des Passworts.

Nun hat man das Passwort – relativ sicher – immer dabei, wenn man Internet hat.

Man surft also zuerst auf die Homepage (z.B. http://mywebspace.com/myshell) dort wird man dann weitergeleitet zur Homepage der Shell (z.B. http://silenceisdefeat.org/~superuser) Dort sieht man dann folgendes (Ausschnitt):

MMMMNmXrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrr
MMMMMMNmwrrtrrtrrtrrtrrwQm4mmmmmmmmmmmmmmmyZ
 dMMMMMMNAwrrtrrtrrtrrtWMMMMMMMMMMMMMMMMMNI
  `vMMMMMMNAwrrrrrtrrrrWMMMMMMMMMMMMMMMMMMI
+.  ??MMMMMMNkrrtrrrtrrv7777?!!!!!!!!!!!!„
Oz+.  ?7MMMMMMNk

Dann ssh Tunnel zu superuser@silenceisdefeat.org:22 und das Passwort aus dem Ascii Art – Fertig

ssh anywhere, anytime and free!

Denkt Euch ggf. selbst eine Art und Weise aus, wie Ihr Euer Passwort sicher bunkert, am besten ist natürlich, Ihr habt es im Kopf!

Nächste Seite »