IT-Sicherheit

Jarlsberg: Server mit absichtlich eingebauten Sicherheitslücken

Zu Schulungszwecken: Ein löchriger Server und ein Tutorial zu den Lücken: http://www.heise.de/newsticker/meldung/Googles-Jarlsberg-Server-loechrig...

Google veröffentlicht Sicherheitsscanner für Web-Anwendungen

Skipfish

Secure password schemes

Thomas Ptacek: Enough With The Rainbow Tables: What You Need To Know About Secure Password Schemes

Direkt unterstütztes chroot für sftp

http://www.debian-administration.org/articles/590
Die neue Option ist offenbar erst ab Version 4.8p1 unter Linux verfügbar.
Die gute Nachricht: Debian Lenny ist neu genug: 5.1p1-5

Cross Site Tracing ist ein Angriff auf Web-Anwendungen, der es durch Ausnutzung der eigentlich zu Debug-Zwecken vorhandenen HTTP-Methode TRACE z.B. erlaubt, Cookies anderer Domänen auszulesen, deren Web-Server die TRACE-Methode angeschaltet haben. Das Opfer muss lediglich eine beliebige präparierte Seite aufrufen.

Hashwerte online nachschlagen (u.a. MD5)

http://www.md5cracker.org/
http://hashcrack.com/index.php
http://opencrack.hashkiller.com/
http://www.freerainbowtables.com/
(via heise.de)

Top 500 worst passwords

http://www.whatsmypass.com/?p=415

Supply-Chain-Attacke: Kartenterminals schon ab Fabrik mit Spionagechip

Einige Kartenterminals sind schon vor der Auslieferung an Einzelhändler in Europa so manipuliert worden, dass sie bei normaler Bezahlung im Laden die Kartendaten inklusive der eingetippten PIN wegspeichern und per Mobilfunknetz an die Verbrecher schicken: http://www.lz-net.de/dossiers/itlogistik/pages/protected/show.php?id=3428

(via Fefe)

Heiko Sakurai: Telekom und Datenschutz

Die Datenschutzpannen bei der Telekom sind mit etwas Phantasie durchaus noch steigerungsfähig.

Codinghorror on Cross-Site Request Forgery

Jeff Atwood from codinghorror.com writes about Cross-Site Request Forgery (CSRF)

War es wirklich?