Softwareentwickler und Webdesigner
Durch das Anhängen von /?author=1, /?autor=2 etc oder auch /?blabla&author=1 etc bekommt ein Angreifer den/die aktiven Benutzernamen in der URL zu sehen – das ist schon die halbe Information für einen Hacker-Angriff. Wie das leicht über die .htaccess-Datei verhindert werden kann, steht hier beschrieben:
RewriteCond %{QUERY_STRING} author=\d
RewriteRule ^ /? [L,R=301]Can I prevent enumeration of usernames on my wordpress site? I can see users at the moment using the WPScan tool.
Offen zugängliche SVN-Systeme gibt es nicht wie Sand am Meer. Ein bekanntes von Google wurde nun (Mitte 2015) geschlossen. Eine sehr gute Alternative fand ich vor einer Weile bei rioux.com. Dort gibt es 4 Projekte a 50 MB für dauerhaft Null Euro als Grundausstattung. Mehr bekommt man durch Spenden via PayPal, wobei man sich Platz und Projektanzahl „kauft“. Eine einfache Team-Verwaltung mit Rechte-Verwaltung gehört natürlich auch dazu.
RiouxSVN is a free Subversion Hosting website. It allows developers to store source code and collaborate with their team through Subversion version control.
In seinem Blog beschreibt Shahar Evron eine Methode, mit einem Einzeiler den Fehler zu beseitigen, der bisher bei mir täglich in den Mails an root gemeldet wurde. Hier ist der Fehler:
/etc/cron.daily/logrotate:
error: error running shared postrotate script for
'/var/log/mysql.log /var/log/mysql/mysql.log /var/log/mysql/mysql-slow.log
/var/log/mysql/error.log '
run-parts: /etc/cron.daily/logrotate exited with return code 1Hier ist der Einzeiler:
echo "SET PASSWORD FOR 'debian-sys-maint'@'localhost' = PASSWORD('`sudo cat /etc/mysql/debian.cnf | grep password | head -n 1 |</code></div>
<div class="line number2 index1 alt1"><code class="plain plain">awk -F= '{ gsub(/[ \t]+/, "", $2); print $2 }'`');" | mysql -u root -pVerwirrend? Verstehen muss ich das ja nicht…
Quelle: arr.gr/blog/2014/06/fixing-logrotate-errors-and-other-mysql-issues…
Ich habe es ausprobiert und es funktioniert. Der Fehler war unbewusst entstanden – wie im Blog beschrieben -, weil ich das Betriebssystem neu aufgespielt und dann die alte DB-Sicherung zurückgeholt habe. Dabei bekommt der Systemuser „debian-sys-maint“ von mySQL das falsche (zufällig generierte) Passwort. Das wird mit dem obigen Einzeiler korrigiert.
Danke, Shahar Evron!
Wichtig für die Einrichtung eines Anrufmonitors auf dem PC (janrufmonitor.de oder anderes) mit einer Fritz!Box 6490 (auch ähnlicher Typen?) ist die Freischaltung ihres Port 1012! Sonst funktioniert die Überwachung nicht. Im Manual der Fritz!Box werden der Port und dessen Freischaltung nicht erwähnt. Wichtig ist, dass ein Telefon an die Fritz!Box angeschlossen und registriert ist (ISDN oder analog)!
Damit die „FRITZ!Box-Fon“-Hardware mit jAnrufmonitor oder einer anderen externen Software kommunizieren kann, muss die Ziffernfolge #96*5* auf einem Telefon, das an die FRITZ!Box angeschlossen ist, gewählt werden. Die FRITZ!Box schaltet nun für die Überwachung frei und es sollte ein positiver Bestätigungston zu hören sein.
Quelle:
Wie schalte ich die Überwachung bei AVM FRITZ!Box Fon Geräten frei?
Ergänzung 13.1.2022:
Nach dem Update des OS für meine Fritz!Box 6490 auf Version 7.29 startete jAnrufmonitor mit der Fehlermeldung, dass die Verbindung mit der Box nicht geglückt sei. Recherchen haben ergeben, dass es anscheinend nun notwendig ist, sich als entfernte Anwendung jetzt mit Username und Passwort anzumelden! Bisher gabe es die Auswahl „nur Passwort“. Dazu ist es notwendig, in der Box einen oder mehrere neue Benutzer anzulegen, d.h. für jede jAnrufmonitor-Installation im Netz einen separaten. Dazu geht man in den Routereinstellungen unter System / Benutzer und verfährt weiter wie hier beschrieben.
Hinweis: Der Artikel ist veraltet und funktioniert mit Thunderbird 91 (Linux) nicht mehr! Eine neuere Lösung findet sich hier in meinem Artikel.
Ich habe in meinem Ubuntu einen Mailserver mit Dovecot/Postfix. Darüber kann ich mir selbst bei der Software-Entwicklung mit PHP EMails schicken. Für den Empfang der Systemmails an Root oder den User war mir nichts eingefallen – bis ich das hier fand:
[1] Quelle: How do I read local email in thunderbird?
Und ich mühe mich hier stundenlang… Manchmal sollte man das Einfache nehmen!
Bis hierher habe ich einen Mailserver, zu dem ich zum Beispiel mit der PHP-Funktion mail() testhalber eine Nachricht schicken kann. Thunderbird kann die dann abrufen und man bekommt so auch die Nachrichten, die irgendwelche Systemprozesse schicken (cron etc.). Braucht man einen richtigen SMTP-Server, auf den man zum Test auch mittels Thunderbird Nachrichten schicken kann, hilft diese ebenfalls in [1] gezeigte Konfiguration in Thunderbird:
Übrigens, Dovecot habe ich deinstalliert, das brauche ich für meine nur lokalen Belange nicht. Der obere Teil dieses Posts entstand übrigens noch mit Xubuntu 12.04 ;-), inzwischen läuft hier 20.04.
Installation des Postfix mit Konfiguration:
sudo DEBIAN_PRIORITY=low apt install postfix
Angenommen, ich möchte herausfinden, ob mein lokaler Mailserver läuft. Dann würde ich herkömmlich schreiben:
root@tux:~# telnet localhost 143 Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS AUTH=PLAIN] Dovecot ready.
Und an dieser Stelle ist Schluss – jedenfalls ich weiß immer nicht mehr, wie ich da rauskomme, zurück in die Shell oder wenigstens auf eine Telnet-Kommandozeile, denn das Escape funktioniert mit einer deutschen Tastatur so nicht: wo ist denn ‚^]‘?.
Hier las ich nun folgenden Trick:
root@tux:~# telnet -e x Telnet escape character is 'x'. telnet> open localhost 143 Trying 127.0.0.1... Connected to localhost. Escape character is 'x'. * OK [CAPABILITY IMAP4rev1 LITERAL+ SASL-IR LOGIN-REFERRALS ID ENABLE IDLE STARTTLS AUTH=PLAIN] Dovecot ready. x telnet> quit Connection closed root@tux: ~#
Es wird also vor dem Aufruf von Telnet mit -e ein anderer Escape-Code (hier x) vereinbart, der dann als Kommando zum Beenden der laufenden Verbindung genutzt wird. Cool! Danke :-).
In [1] wird beschrieben, wodurch es zu dem so oft zitierten Urteil des Landgerichtes Hamburg vom 12. Mai 1998, Aktenzeichen 312 O 85/98, gekommen ist: dem Urteil war eine Klage wegen Verleumdung im Zusammenhang mit einer bewussten Verlinkung vorausgegangen. Das Urteil wurde nicht rechtskräftig, man einigte sich anderweitig. Dennoch wird dieses fehlinterpretierte Urteil sicher auf tausenden Websites dazu benutzt, sich von einer möglichen Schuld im Voraus freizusprechen.
Da steht dann im Impressum einer beliebigen Website sowas wie:
Mit Urteil vom 12. Mai 1998 Az. 312 O 85/98 „Haftung für Links“ hat das Landgericht (LG) Hamburg entschieden, dass man durch die Anbringung eines Links, die Inhalte der gelinkten Seite ggf. mit zu verantworten hat. Dies kann, so das LG, nur dadurch verhindert werden, dass man sich ausdrücklich von diesen Inhalten distanziert.
Hiermit distanzieren wir uns ausdrücklich von allen Inhalten aller verlinkten Seiten auf unserer Homepage. Wir haben keinerlei Einfluss auf die Inhalte und machen uns die Inhalte auch nicht zu eigen.
Diese Erklärung gilt für alle Links auf der Seite.
(Für alle Links? Auch die innerhalb der eigenen Website? Cool.)
Abgesehen von der rechtlichen Fragwürdigkeit muss man sich mal vor Augen halten, was man damit bewirkt.
Nehmen wir an, ich betreibe als Reisebüro eine Website, auf der ich Links zu allen möglichen Veranstaltern, Fluglinien, Hotels etc. anbringe. Allen diesen Partnern misstraue ich allerdings so sehr, dass ich mich vom Inhalt derer Websites unbedingt ausdrücklich distanzieren muss. Ähm, was aber sollen jetzt meine potentiellen Kunden denken? Falls sie den Disclaimer lesen, werden sie auf keinen Fall eine Reise bei so dubiosen Unternehmen buchen!
Etwas spöttisch, aber genau treffend beschreibt das auch Spiegel Online Netzwelt [3]:
Gut gemeint verbauten eifrig Webmaster die legendäre Klausel und distanzierten sich überall und von allem und vor allem völlig wirkungslos. Denn die Hamburger Richter hatten das genau anders gemeint: Eine Klausel ist egal, es kommt auf die gesamte Seite an.
Deswegen kann der Disclaimer nämlich auch nach hinten losgehen: Baue ich Links zu Websites mit illegalem Inhalt ein, nützt mir der Disclaimer genau gar nichts, denn ich habe die Links ja bewusst eingebaut. Und das kann und wird mir dann vorgehalten werden.
Ich selbst verlinke auf Geschäftspartner, auf von mir mit erschaffene Referenz-Objekte, auf interessante Angebote. Mich gleichzeitig davon zu distanzieren, wäre grober Unfug! Mich von meiner eigenen Arbeit abzuwenden macht keinen Sinn und meine Geschäftspartner könnten das sogar als beleidigend empfinden.
Ähnlich oft und rechtlich genauso wirkungslos wird eine andere Art Disclaimer an das Ende geschäftlicher E-Mails gehängt [2] [3]. Auch hier wird ohne nachzudenken etwas gut aussehendes, etwas scheinbar wichtiges, bedrohliches und notwendiges von anderen übernommen und verwendet. Allerdings klingen diese Anhängsel eher ein wenig nach „Bitte vor dem Lesen vernichten!“. Das liest sich dann so, oft noch zweisprachig:
Diese E-Mail könnte vertrauliche und/oder rechtlich geschätzte Informationen enthalten. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtämlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail sind nicht gestattet.
Ich selbst halte es so: ist die E-Mail nicht für mich, liegt sie schon im Papierkorb; Ist sie für mich, interessiert mich dieses ulkige Anhängsel nicht. Andere sehen das vermutlich ähnlich, deshalb werde ich nicht mit einem angehängten nutzlosen Roman das Internet vermüllen. Wichtig sind lediglich die Absenderangaben unter geschäftlichen E-Mails , die das TMG vorgibt.
Ganz modern sind inzwischen die langen Texte unter vielen E-Mails, die mir vorrechnen, wieviel Holz, Wasser und CO2 der Ausdruck des Textes verschwenden würde und dass ich das doch bitte lassen möge. Ich kenne Anwender, die wirklich alles ausdrucken und archivieren- für die mag so eine Bitte sinnvoll sein. Für mich nicht.
Disclaimer in Websites und E-Mails sind nicht nur rechtlich wirkungslos, sondern bei näherer Betrachtung sogar schädlich oder lächerlich. Deswegen verwende ich sie nicht. Die Links auf meiner Website habe ich ganz bewusst ausgewählt, da sie Empfehlungen darstellen – ich distanziere mich natürlich ausdrücklich nicht davon.
Übrigens, in [4] wird das viel besser und kürzer abgehandelt als hier von mir. Trotzdem danke für’s Lesen!
[1] Kanzlei Jörg Heidrich
recht-im-internet.de/themen/disclaimer
[2] Blog der Messe Frankfurt zur Digitalisierung des Geschäftslebens
connected.messefrankfurt.com/?p=3075
[3] Spiegel Online Netzwelt
spiegel.de/netzwelt/web/web-links-das-maerchen-vom-disclaimer-a-375970.html
[4] Wikipedia
de.wikipedia.org/wiki/Disclaimer