War es wirklich?

Bruce Schneier about the special way of thinking about things that security professionals (should) have.

Heise hat einen Artikel zu den diversen Sicherheitseinstellungen von PHP und dazu, wie die großen Webhoster damit umgehen. Siehe auch diese Tabelle mit einem direkten Vergleich. Auffällig: Sie sind alle noch auf PHP4.

Oh Mann, jetzt gibt es schon ein Trojanisches Pferd, das den Nutzer des gekaperten Rechners Captchas lösen lässt.

Das ist nochmal eine Stufe unter dieser Aktion: Mietsklaven in Billiglohnländern Captchas lösen lassen.
Hier ein Bildschirmfoto für den Fall, dass der Link plötzlich nicht mehr funktioniert:

Hier steht u.a. erklärt, warum man eine externe IP-Adresse pro Domäne braucht, die man per SSL sichern will. Jedenfalls wenn man nicht will, dass die Browser der Nutzer Warnungen aufpoppen lassen.

Crosswater Systems liefert eine Menge Material zu (potentiellen) Problemen von Monster. Dabei kommen auch ausführlich die Personalwechsel der letzten Zeit und das Thema jobpilot zur Sprache. Alles in allem sehr nett.

Leider ist der Abschnitt über angebliche Sicherheitsprobleme bei Monster durch die *hüstl* eingeschränkte technische Kompetenz des Autors in diesem Bereich belastet. Tut mir leid, dass ich das so hart sagen muss. Oder es ist schlicht Wunschdenken, weil es gerade so schön zu seiner vorgefassten Meinung passt. Ich habe den Eindruck, dass er mal auf einem Seminar den Begriff "segration of duty" gehört hat. Dass er sich deshalb dazu befähigt fühlt, aus ein paar Beobachtungen Schlüsse über die technischen Fakten und Abläufe bei Monster zu ziehen, ist sehr schade.

Von Monster.com wurden mit Hilfe von Trojanern über gesammelte Rekruter-Zugangsdaten persönliche Daten von Stellensuchenden abgezogen.

CrypTool, ein Lernprogramm für Kryptographie. Derzeit leider nur für Windows. Version 2.0 soll eine in Java geschriebene Multiplattformanwendung werden.

Static Code Analysis Using Google Code Search by Aaron Campbell

I just learnt that Jos van den Oever has been applying the fuzzing tool zuuf to his software Strigi(*). This is excellent news as a full text indexer has to process lots of different types of files, and some of them may come from unknown/untrusted origins, for example email attachments. Spending some extra effort into making indexing rock-solid will hopefully help avoid exploits via the indexing daemon.