Mit Safari 5.0.1 (bzw. 4.1.1) behebt Apple die Sicherheitslücke in Safari 4 & 5, welche es ermöglichte, alle Informationen der persönlichen Adressbuch-Visitenkarte bei einem Webseiten-Besuch automatisiert auszulesen.
Ich bin gerade über einen interessanten und zugleich “erschreckenden” Blogbeitrag gestolpert: Jeremiah Grossman: I know who your name, where you work, and live Safari v4 & v5.
Es geht darum, dass in Apple’s Safari Version 4 und 5 standardmässig eine Option aktiviert ist, dass Forumlarfelder automatisch mit den Daten meiner persönlichen Adressbuch-Visitenkarte ausgefüllt werden können.
Das ist zwar ganz nett, um sich beim Ausfüllen von Formularen ein paar Sekunden Zeit zu sparen - ist aber zugleich eine sehr personenbezogene Sicherheitslücke, da diese Werte ganz einfach, automatisiert ausgelesen werden können.
Nicht vorzustellen? Dann sollte man sich das selber mal im Proof of Concept veranschaulichen lassen!
Also liebe Leute: schnell in die Safari-Einstellungen gehen, und im Register “Automatisch Ausfüllen” die Option “Informationen meiner Adressbuch-Visitenkarte übernehmen” deaktivieren…
Ich bin gerade dabei, einen Mac neu aufzusetzen. Dabei orientiere ich mich ein wenig an der kürzlich erschienenen, zweiten Ausgabe des Mac OS X Leopard Security Configuration Guide (PDF, 3.5 Mb, Englisch). Und beim durchlesen bin ich auf etwas gestossen, was ich schon lange gesucht habe: Passwort Policies (Regelungen) für die angelegten Benutzer definieren.
Hier ist der Auszug aus dem Security Configuration Guide, zum Thema “Setting Global Password Policies”:
25C3 (25. Chaos Communication Congress) is over. Pics are available on Flickr. A short view on the event has been published by ZDF (I was standig just next to the cam in the last scene where you see a MikroKobter in action).
Yes, you had to watch out not to be hacked by someone, for example over a custom built GSM Network…
(My recommendation: disable your iPhone at the congress – or at least activate Airplane mode)
Dieses Jahr hab ich mein Vorhaben wahr gemacht, die Reise nach Berlin an den 25C3 (25. Chaos Communication Congress) anzutreten. Flug und Hotel sind gebucht, morgen gehts los, im Moment bin ich noch an den letzten Vorbereitungen.
Wies aussieht wurde eine bekannte Deutsche Video Streamingseite für Böse Zwecke defaced (verunstaltet) – wobei es eigentlich eher eine Phishing Attacke ist.
Mein Kollege Silas hat einen lesenswerten Artikel gebloggt. Das Thema ist aus meiner Sicht sehr relevant und top aktuell. Ich habe das Gefühl, dass in den letzten Monaten das “Erstellen von Accounts” irgendwie zugenommen hat. Den Hauptgrund sehe ich im Boom der Web 2.0 Applikationen, welche tatsächlich oft eine Registrierung verlangen – und sich Services wie z.B. OpenID leider noch nicht weit genug verbreitet haben.
Ohne nochmals alles, was Silas bereits geschrieben hat, zu wiederholen, möchte ich einfach hervorheben, dass ich selber bereits auf eine “Sie müssen sich registrieren”-Täuschung reingefallen bin.
Continue reading
