rene.schmidt

digital self defense and everything IT

  • File Disclosure

    Wenn man eine Sicherheitslücke dieses Kalibers entdeckt, staunt man Bauklötze… Auf dem Webserver eines Kunden habe ich folgendes Szenario vorgefunden: Dort waren zwei virtuelle Hosts eingerichtet, beispielsweise /var/www/www1.example.com/ /var/www/www2.example.com/ Anfragen an www1.example.com und www2.example.com wurden an die entsprechenden vHosts weitergeleitet. In den o.g. Verzeichnissen lagen dann das wwwroot, Datenbank-Backups, SSH-Schlüssel etc. herum. Vielleicht ist das…

  • Sensible Daten

    Kunden erhalten von mir ab und zu sensible Daten oder ich erhalte sie von ihnen — im Rahmen von Projekten und Aufträgen natürlich. Wie sollten Sie als Kunde mit solchen Daten umgehen? Hier ein paar Empfehlungen: Übertragen Sie sensible Daten ausschließlich verschlüsselt. Große Datenpakete übertragen Sie am besten als verschlüsseltes Archiv über Skype. Speichern Sie…

  • Web-“Designer”

    Mir ist gerade, aus gegebenem Anlass, eine schöne Faustregel eingefallen, mit der man grob einschätzen kann, ob ein Web-Designer oder eine Web-Designerin etwas taugt. Also: Frage: Woran erkennt man einen guten Web-Designer? Antwort: Er macht kein Print-Design. So einfach ist das — wenn man wie ich etwas provozieren möchte jedenfalls. :) Das ist die Essenz…

  • Einen Preis haben und dazu stehen

    Es kommt ab und zu vor, dass potenzielle Kunden mit völlig außer Frage stehenden Preisvorstellungen zu mir kommen. Neulich hatte ich einen schon recht außergewöhnlichen Fall, wo das Projektbudget übertrieben ausgedrückt bei fast 0 lag. Naja, schon etwas darüber.

  • Kartendienst über SSL

    Die gängigen Kartendienste wie Google Maps, Bing Maps und Yahoo Maps sind ohne Einschränkungen und kostenlos nur per HTTP nutzbar, nicht über SSL. Wenn man deren Nutzungsbedingungen wohlwollend ignoriert, geht es natürlich trotzdem. Bei Dr. Web (€) zeige ich, wie man einen Kartendienst über SSL nutzt, ohne irgendwelche Nutzungsbedingungen zu verletzen.

  • MySQL macht “Peng”…

    Heute hatte ich es wieder einmal mit einem abgeschossenen MySQL-Server zu tun, dieses Mal von einem Neukunden. Zur Abwechslung hat dieses Mal der Hoster (!) an der Maschine herumgespielt und sie ohne den Kunden zu informieren während des Betriebs neu gestartet — ohne die Dienste herunterzufahren.