Schlagwort-Archiv: sicherheit

Facebook Sicherheit XY hat eine/n von dir vorgeschlagene/n FreundIn hinzugefügt …

Von Facebook wird man ja bei jedem Update mit E-Mails versorgt. Heute habe ich aber eine E-Mail bekommen die mir etwas Bauchschmerzen bereitet. In der E-Mail mit Betreff „XY hat eine/n von dir vorgeschlagene/n FreundIn hinzugefügt“, findet sich im Antwort-An-Header (Reply-to) die richtige E-Mail Adresse von XY.

Ich finde es sehr befremdlich, dass Facebook so offen mit den richtigen E-Mail Adressen seiner Mitglieder umgeht. Unter Umständen möchte ja nicht jeder, dass seine E-Mail Adresse auf diesem Wege preis gegeben wird. Vielleicht ist einem ja auch seine E-Mail Adresse vor Geschäftspartnern, mit denen man via Facebook Kontakt hält peinlich (da irgendwann mit 14 Jahren registriert)?

Update: Die E-Mail heißt Facebook-Intern übrigens friend_suggestion_accepted (siehe X-Facebook-Notify-Header)

E-Mail bei PHP Fehlern auf Livesystemen

Leider treten auch bei gut getesteten Webanwendungen immer wieder irgendwelche Laufzeit-Fehler auf. Üblicherweise sollte man diese Fehler nicht dem Benutzer der Anwendung anzeigen. Der Benutzer könnte aus den Fehlern möglicherweise Rückschlüsse über den Aufbau der Anwendung ziehen und dadurch potentielle Sicherheitslücken erkennen und ausnutzen. Die einfachste Variante das zu verhindern ist wohl das PHP Error Log erst einmal komplett mit display_errors = Off auszuschalten.

Ein erster Schritt ist damit getan, aber damit sieht nicht nur der Endanwender die Fehler nicht, sondern auch der Entwickler der diese – hoffentlich gerne – beheben würden (so die Zeit es denn zulässt…). Nungut, dafür gibt einem PHP schon mal die Möglichkeit mit log_errors = On mitzuschreiben. Mit error_log = /tmp/phperrors_apache.log kann die Datei ausgewählt werden. Man sollte dabei je nach Webserver-Konfiguration auch darauf achten, dass der PHP-User (meistens der User der den Webserver auch ausführt) die Datei auch schreiben kann. Der Einfachheit halber habe ich dafür /tmp gewählt, das klappt in jedem Fall.
Um die Fehler aber nicht nur mit zu schreiben, sondern auch regelmäßig per E-Mail zugestellt zu bekommen, nutze ich ein kleines E-Mail Skript von James Caws. Das Skript habe ich leicht modifiziert, sodass ich die Logdatei und das Subject als Parameter beim Aufruf mit angeben kann. Für einfache Setups ist das aber nicht nötig. Hat man die Konfiguration oben im Skript angepasst, kann man einen Eintrag in seiner Crontab vornehmen die das Skript z.B. minütlich ausführt.
Der Eintrag kann dann beispielsweise so aussehen:
* * * * * php /root/error_log_sender.php.

Schon bald dürften dann die ersten E-Mails ankommen :-).

PS: Bei sehr vielen E-Mails empfiehlt es sich ein gemeinsames IMAP-Postfach für alle Entwickler zu erstellen. Möglicherweise auch auf einem separaten E-Mail Server ohne irgendwelche aufwendigen Filterungen, damit die E-Mails auch schnell ankommen.

E-Mail bei anstehenden Debian/Ubuntu-Updates gefällig?

apticron sendet einem automatisch eine E-Mail zu, sobald Aktualisierungen anstehen. DIe Installation ist denkbar einfach, einfach apticron über apt-get install apticron installieren.

Als Standard-Empfänger ist root ausgewählt. Um sich die E-Mail weiterleiten zu lassen, kann man in /root/.forward mit dem Texteditor seiner Wahl die eigene E-Mail Adresse eintragen. Der Server wird dann bestmöglich versuchen die E-Mail zuzustellen. Ob vom Server aus das E-Mail senden klappt, kann man mit einem Einzeiler überprüfen: echo „test“ | mail -s „test“ [email adresse]. Wenn das nicht klappt, sollte man mal seine Systemkonfiguration überprüfen.

Die E-Mails von apticron enthalten außerdem einen Hinweis darauf, wie wichtig die Aktualisierung wohl ist. Für Serveradministratoren ist dieses Tool also überaus praktisch!

Gefunden habe ich apticron übrigens über das Wiki von Thomas Krenn.