Seit dem 12.07. ist die neue Version 2.16 des beliebten KeePass Password Safe verfügbar. Das Open-Source Passwort-Manager Tool KeePass ist eines der besten Passwort Manager die es kostenlos gibt. Ich persönlich nutze den Passwort-Manager KeePass Password Safe schon schon seit 2006. Auch auf einem USB-Stick kann man den KeePass Password Safe Portable nutzen und somit überall mit hin nehmen. Zuletzt hatte ich ein Update auf KeePass Password Safe 2.14 durchgeführt.

Man kann alle seine Passwörter in einer Datenbank, die mit einem Master-Schlüssel gesichert ist, speichern. So muss man nur ein einziges (sicheres) Master-Passwort wissen um die gesamte Datenbank zu entsperren. Die Datenbanken werden verschlüsselt unter Verwendung der besten und sichersten Verschlüsselungsalgorithmen (AES und Twofish) die derzeit bekannten sind.

Ich speichere dort Passwörter für jegliche Art von Online-Zugängen wie Online-Shops, Foren und Blogs, für E-Mail-Konto und Zugangsdaten für Facebook und Twitter. Die Liste ist einfach endlos.

Irgendwie schon erschreckend wo man sich Online so alles schon mal angemeldet hat…

So habe ich für fast jeden Zugang ein eigenes, langes und dadurch besonders sicheres Passwort. Sehr wichtig für mich ist es immer unterschiedliche Passwörter zu verwenden. Denn wenn man überall nur ein Passwort verwenden würde und jemand bekommt das Passwort heraus, hat man ein echt ernstes Problem.

In der neuen KeePass Version 2.16 wurden wieder einige neue Features eingearbeitet, einige Überarbeitungen vorgenommen und kleinere Bugs behoben. Weitere Informationen zu den einzelnen Änderungen und Neuerungen gegenüber der Version 2.15 kann man auf der original Webseite nachlesen. Unter anderen können nun Kaspersky Password Manager 5.0 XML Dateien importiert werden.

Also speichere auch Du deine Passwörter auf eine sicheren Art und Weise und verwalte deine Passwörter übersichtlich in Gruppen

Mehr Sicherheit durch die Verwendung des PayPal Sicherheitsschlüssels erreichen. Sicherheit hat bei Online Aktivitäten immer einen hohen Stellenwert. Der Sicherheitsschlüssel wird bei PayPal zusätzlich beim Einloggen in das PayPal Konto verwendet und erhöht somit die Sicherheit des eigenen Kontos.

Für jedes Login in das PayPal-Konto wird einfach ein neuer Sicherheitscode (sechsstelliger Zahlencode) erzeugt. Dieser muss beim Einloggen in das PayPal Konto zusätzlich mit angegeben werden. Somit kann man sich immer darauf verlassen, dass wirklich kein anderer auf das Konto zugreifen kann. (weiterlesen …)

Vor zwei Tagen haben die Entwickler von WordPress das erwartete Wartungs- und Sicherheitsrelease 2.8.1 freigegeben. Neben der Schließung eines Sicherheitslochs, wurden auch viele Bugs aus 2.8 behoben. Du kannst die ganze WordPress 2.8.1 DE-Edition herunter laden oder nur das Upgradepaket für 2.8 auf 2.8.1. Via: WordPress 2.8.1 (inkl. Sprachdatei & DE-Edition).

Neu in der Rubrik Sicherheit & Privatsphäre ist im Firefox 3.5 die kleine Funktion “Diese Website vergessen”. Mit Hilfe dieser kleinen Funktion kann man eine bestimmte Domain aus der gesamten Verlaufshistorie entfernen. Hat man also im nachhinein noch einmal über den Besuch einer Website nachgedacht und möchte nun das die Spuren für diese eine Domain aus der Verlaufshistorie entfernt werden soll, kann man dies nun tun.

Dazu öffnet man die Chronik (Verlaufshistorie) des Browsers zum Beispiel über den Menüpunkt Chronik>>Gesamte Chronik anzeigen. Dort sucht man dann einen Eintrag der gewünschten Website und entfernt alle Einträge der Domain per Rechtsklick auf den Eintrag mit “Diese Webseite vergessen”. (weiterlesen …)

Ein neues, kleines Sicherheits-Feature möchte ich diesmal kurz ansprechen. Nach einer neuen Installation von WordPress 2.8 wird man nun auf dem Dashboard darauf hingewiesen, dass man als Admin mit einem automatisch generiertem Passwort arbeitet und dies könnte ein Sicherheitsrisiko darstellen. Daher wird empfohlen ein neues Passwort zu vergeben.

Zum ändern des Passwortes wird man nach der Anmeldung solange auf dem Dashboard hingewiesen, bis man das Passwort ändert oder den Hinweis für immer abschaltet.

Mein Fazit

Sicherheit ist immer gut, doch leider wurde dieses Sicherheits-Feature nicht durchgängig implementiert, sondern nur für den Blog-Administrator. Ist es zum Beispiel erlaubt sich direkt als ein neuer Benutzer an einem Weblog anzumelden, bekommt man auch ein automatisch generiertes Passwort zugewiesen und per E-Mail zugesendet. Meldet der neue Benutzer sich dann das erste Mal am Blog an bekommt er die oben gezeigte Hinweis-Meldung nicht angezeigt. Ich Denke da muss und kann noch etwas nachgebessert werden.

Kann ich die Software KeePass Password Safe mobile benutzen? Benötige ich für KeePass unter XP oder Vista Adminrechte? Kann ich KeePass auch auf einem USB-Stick nutzen? Diese und andere Fragen habe ich mir gestellt, da ich meine Passwörter auch auf anderen Rechner verwenden wollte, ohne überall gleich die Software KeePass zu installieren.

Die Antwort ist ja, es gibt eine mobilen Version von KeePass, das sogenannte KeePass Password Safe Portable. KeePass Password Safe Portable kann mit einer deutschen Übersetzung und somit einer deutschsprachigen Benutzeroberfläche auf einem USB-Stick installiert werden. Somit kann KeePass auf einem beliebigen Datenträger mitgenommen und per USB auf jedem Windows-PC genutzt werden. Denkbar sind da zum Beispiel der USB-Stick, eine externe Festplatte oder sogar ein MP3-Player oder Handy. (weiterlesen …)

Wie ich gerade in Perun’s Weblog gelesen habe, hat Jan Tißler eine Abmahnung bekommen, da er auf seinem Weblog das WordPress Plugin “Subscribe to Comments” nutzte, das es einem Besucher bzw. Kommentator ermöglicht, die Kommentare eines Beitrages via E-Mail zu verfolgen.

Das Problem bei dem Plugin ist jedoch, dass es kein rechtssicheres  Double-Opt-In-Verfahren beherrscht, also ein Verfahren mit dem zuerst eine Bestätigungsmail zur Identifizierung des Benutzers geschickt und dann durch die Bestätigung der Benutzer identifiziert wird. Wird dieses sogenannte Double-Opt-In-Verfahren nicht angewendet, kann Subscribe to Comments auch für fremde E-Mail Adressen aktiviert werden.

Die Kommentatoren können somit jede beliebige E-Mail in das entsprechende E-Mail Feld eintragen, um dann eine Benachrichtigung bei weiteren Einträgen zu aktivieren. Diese Adresse wird von Subscribe to Comments nicht überprüft. In einigen Fällen können die dann vom Plugin verschickten E-Mail-Benachrichtigungen als Spam gewertet werden. Dafür reicht es aus, dass das betreffende Blog gewerblich betrieben wird. Gewerblich kann man schon eingestuft werden, wenn man Adsense Werbung auf seinem Blog platziert hat.

Nun wird natürlich heiß diskutiert, ob es notwendig ist, das Plugin erst einmal zu deaktivieren, bis es vielleicht das Double-Opt-In-Verfahren beherrscht. Mehr zu dem Thema kannst du hier, hier oder hier nachlesen.

Die Alternative mit dem vielerorts zitierte CommentMailer24 Plugin scheint zur Zeit auch nicht empfehlenswert zu sein, da es angeblich mehrere gefährliche Sicherheitslücken aufweist. Auch das WordPress Magazin weist auf die Sicherheitslücken des oben genannte Plugin’s hin.

Subscribe to Comments wird in vielen deutschen Blogs eingesetzt, da WordPress eben keine eigene, integrierte Abo-Funktion für Kommentare zu einzelnen Artikeln hat. Ob nun wirklich eine Gefahr für hunderte deutsche Blogger besteht, wage ich zu bezweifeln. Jedoch stellt sich mir nun die Frage entweder auf das Plugin gänzlich zu verzichten oder eine Alternative zu suchen, die das Double-Opt-In-Verfahren kennt.

Mein Fazit

Ich habe das Plugin “Subscribe to Comments” erst einmal deaktiviert und werde die Entwicklung abwarten.

Als alternative Möglichkeit meine Kommentare zu beobachten könnt Ihr erst einmal den RSS-Feed für einzelne Artikel benutzen. Den entsprechenden Link findet Ihr immer am Ende eines Artikels.

Wer das Freeware Tool KeePass zur Verwaltung seiner Passwörter nicht benutzt sollte es tun. Und wer KeePass schon einige Zeit verwendet sollte nun die seit gestern dem 01.09.2007 zum download bereitstehende neue Version 1.08 von KeePass installieren.

Es wird empfohlen das Update auf die Version 1.08 auf jeden Fall durchzuführen. Die KeePass Version 1.08 ist mit allen älteren Versionen kompatibel und somit sollte es keine Probleme bei der Installation mit älteren Passwortdateien geben. Bei mir hat die Installation ohne Probleme funktioniert!

Neben einigen Bugfixes wurden einige Änderungen gegenüber der Vorgängerversion 1.07 von KeePass vorgenommen. So wurde zum Beispiel ein komplett neuer Passwort-Generator implementiert. Hier einmal eine Gegenüberstellung des alten Passwortgenerators (links) zur neuen Version (rechts):
(weiterlesen …)

Die Mozilla-Entwickler haben ein bekanntes Loch im Passwort Manager von Firefox & Co behoben und doch einen Weg für den Missbrauch offen gelassen. Der eingebaute Firefox Passwort Manager speichert auf Wunsch Benutzername und Passwort und füllt die entspr. Formularfelder beim nächsten Besuch automatisch wieder aus.

Was als praktisch erscheint, ist jedoch fatal, wenn sich eine böswillige Seite auf dem gleichen Server befindet. Denn das ausfüllen der Felder geschieht nicht nur auf der Seite, auf der man das Passwort gespeichert hat, sondern auch auf jeder anderen Seite auf dem gleichen Server, die ein ähnliches Formular enthält. Somit könnte jemand die Benutzer/Passwort Kombination ausspionieren.

Gelesen habe ich das ganze in dem Heise Artikel: Löchriger Firefox Passwort Manager. Ich habe die aktualisierte Browsercheck-Seite gleich einmal aufgerufen und das Problem nachgestellt.

Und was lernen wir wieder einmal daraus? Man sollte wichtige und kritische Passwörter nicht im Browser speichern. Dies gilt übrigens für jeden Browser. Passwörter haben auf einem Rechner nichts verloren!

Meine Altanative lautet: KeePass Password Safe. Ich benutze das Freeware Tool KeePass um die meisten meiner Passwörter zu speichern und dann wenn benötigt halt per Hand in das Browserformular zu kopieren. Dies hat sich bei mir sehr bewährt.

Da probiere ich gerade einige Zeit mit der neuen Drupal 5 Version herum und verpasse doch glatt das Update auf die Drupal 5.1 Version. Neben kleineren Bugs wurde eine Sicherheitslücke behoben – ein Update wird dringend empfohlen.

Einen Erfahrungsbericht über Drupal 5 und die Schwierigkeiten für Einsteiger und Umsteiger wird es wahrscheinlich demnächst hier geben. Im Moment versuche ich gerade meine private Webseite http://www.brandt-net.de/ auf Drupal 5 umzustellen. Ob es mir gelingen wird oder ob ich mich nicht doch noch für ein anderes CMS System wie Typo 3 entscheiden werde kann ich zum jetzigen Zeitpunkt noch nicht sagen.

Weitere Drupal Links

• Die deutschsprachige Drupal Community
• Internationale Drupal Community
• Drupal Module
• Drupal Sites