Category: update

calc.pw: Reimplementation Kick-Off

07.04.2022 yahe calcpw code hardware raspberry security update

About a decade ago I presented a hardware-based password calculator called calc.pw which generates passwords based on a single strong password and a service-dependent information, thus allowing you to use individual passwords for each of your services without having to care for a password database. I even presented it at a few conferences.

In the meantime much better microcontrollers have become available and my understanding of cryptography and password generation have improved as well. That is why I have kicked-off the reimplementation of calc.pw! 😃

Read more »


Cryptographic Vulnerabilities within the Nextcloud Server Side Encryption

16.11.2020 yahe publicity security update

Nearly a year ago I wrote that I had an extensive look into the server side encryption that is provided by the Default Encryption Module of Nextcloud. I also mentioned that I have written some helpful tools and an elaborate description for people that have to work with its encryption.

What I did not write about at that time was that I had also discovered several cryptographic vulnerabilities.

Read more »


Nextcloud-Tools: Working with the Nextcloud Server-Side Encryption

02.12.2019 yahe administration code security update

At the beginning of the year we ran into a strange problem with our server-side encrypted Nextcloud installation at work. Files got corrupted when they were moved between folders. We had found another problem with the Nextcloud Desktop client just recently and therefore thought that this was also related to synchronization problems within the Nextcloud Desktop client. Later in the year we bumped into this problem again, but this time it occured while using the web frontend of Nextcloud.

Read more »


.local, .home.arpa and .localzone.xyz

11.11.2019 yahe administration update

35 years ago the IETF defined special IPv4 addresses in RFC 1597 to be used solely in private intranets and with that created the separation between internal networks and the internet. 5 years later they proceeded to define special-use top-level domains like .example, .invalid and .test in RFC 2606. However, the IETF did not reserve a top-level domain to be used within the private intranets that they had introduced before. This lead to confusion with administrators that still persists to the current day.

Read more »


Bug in Login With Ajax Plugin erstellt Nutzeraccounts

29.08.2014 yahe legacy security update wordpress

Anfang dieser Woche hatte ich über ein Plugin informiert, mit dem ein Angreifer ungefragt neue Nutzer anlegen kann. Damit ist das vorgestellte Plugin leider nicht allein. Denn auch das Login With Ajax Plugin hat diese unschöne Sonderfunktion.

Read more »


Bug in Form Builder Plugin ermöglicht vollständige Kompromittierung

21.08.2014 yahe legacy security update wordpress

Und wieder einmal ist mir ein besonders fieser Bug über den Weg gelaufen. Dieses mal habe ich ihn im Form Builder Plugin gefunden.

Read more »


Wikipad: Etherpad-Lite mit DokuWiki synchronisieren

17.04.2014 yahe code legacy linux update

Vor einiger Zeit habe ich mir ein Etherpad-Lite installiert, um verteilt und auch unterwegs Texte verfassen zu können, die ich anschließend veröffentliche oder anderweitig nutze. Das ist soweit toll, doch die Veröffentlichung war in meinen Augen unpraktischer, als sie sein müsste, da ich den Text kopieren, irgendwo anders einfügen und neu formatieren musste. Meine Idee war es deshalb, die Veröffentlichung direkt aus dem Etherpad-Lite heraus erledigen zu können, zum Beispiel bei kleineren Texten, die ich anderen zur Verfügung stellen möchte. Die Frage war nur, über welche Plattform die Veröffentlichung stattfinden sollte.

Read more »


Angry Birds verärgert Nutzer

17.06.2011 yahe legacy review update

Das Spiel Angry Birds ist wohl eins der wenigen Spiele, von dem so ziemlich jeder Smartphone-Nutzer schon einmal gehört hat. Die meisten davon werden es selbst auf ihrem Handy haben.

Angry Birds im Android Market

Vor einer Weile wurde bekannt, dass das Spiel sensible Daten ausgelesen und an Dritte weitergereicht haben soll. Der Hersteller Rovio dementierte die Weitergabe an Dritte, gab jedoch die Sammlung der Daten zu. Heute nun ist für Android ein neues Angry Birds Update veröffentlicht worden. Wenn man nicht einfach blind das Update absegnet, wird man erstaunt feststellen, dass durch die App nun plötzlich weiterreichende Rechte angefragt werden.

Read more »


Hallimash ist genauso schlimm wie Trigami

08.08.2010 yahe legacy security thoughts update

Nachdem ich mir letzes Mal Trigami angesehen habe, soll es heute um deren Konkurrenten "Hallimash" gehen. Denn auch deren Webseite enthält "CSRF"-Lücken (Cross-Site Request Forgery)

Read more »


Trigami kann angegriffen werden

16.06.2010 yahe legacy security thoughts update

Heute geht es einmal um den Werbevermittlungsdienst "Trigami", in deren Nutzereinstellungsseiten sich mehrere "CSRF"-Lücken (Cross-Site Request Forgery) befinden. Das Problem ist hier vor allem, dass Trigami inaktive Nutzer nicht automatisch ausloggt. So ist die Wahrscheinlichkeit hoch, dass Trigami-Nutzer unbedarft in die Falle laufen könnten.

Read more »


Search

Links

RSS feed RSS feed

Categories

administration (45)
arduino (12)
calcpw (3)
code (38)
hardware (20)
java (2)
legacy (113)
linux (31)
publicity (8)
raspberry (3)
review (2)
security (65)
thoughts (22)
update (11)
windows (17)
wordpress (19)