ownCloud: Bug Bounty Program

Für die wohl am meisten genutzte Open Source Cloudlösung wurde ein Programm ins Leben gerufen, welches Sicherheitsforschern die Möglichkeit einräumt gefundene Fehler an das ownCloud-Projekt zu melden.

ownCloud_Logo

Hierzu bedient man sich der Plattform HackerOne um die eingegangenen Meldungen zu verwalten und die Auszahlung (sollte der Hinweis Zustimmung finden) vornehmen kann.

Die Höhe der Belohnung richtet sich dabei nach einem drei-stufigen Impact-Modell:

  • Critical: $250-$500
  • Medium: $50 – $250
  • Low: $0 – $50

Verglichen mit Google, Dropbox und Co. handelt es sich zwar um vergleichsweise niedrige Beträge, angesichts der starken Verbreitung von ownCloud ist die Installation des Bug Bounty Program aber dennoch zu begrüßen.

GPS-Probleme beim Nexus 7 behoben

Google hat gestern damit begonnen, die aktuelle Version seines Nexus 7 Tablets mit einem Update zu versorgen. Damit sollen unter anderem Probleme mit dem GPS-Empfänger behoben werden.

Diese traten vor allem dann auf, wenn mit mehreren Apps auf das Ortungssystem zugegriffen wurde. Nach wenigen Minuten quittierte das System daraufhin seinen Dienst. Nur durch einen Neustart war die Weiterverwendung des GPS-Moduls möglich.

Darüber hinaus soll mit dem Patch auch ein Fehlverhalten des Touchscreens ausgemerzt werden. Viele Benutzer berichteten von Doppel-Tipps oder sog. Phantom-Berührungen, bei denen an der falschen Stelle des Bildschirms eine Eingabe registriert wurde.

Die 2013er Version des Nexus 7 soll ab Ende nächster Woche im deutschen Handel erhältlich sein.

Microsoft warnt Windows XP-User

Am 8. April 2014 endet offiziell der Support für Windows XP. In diesem Zusammenhang warnt Microsoft sämtliche Benutzer des seit 2001 im Gebrauch befindlichen Betriebssystems vor einer Verwendung von XP über diesen Termin hinaus.

XP-Logo

Denn ab diesem Zeitpunkt werden für das über Jahre hinweg beliebte Betriebssystem seitens Microsoft keine Security-Updates und Patches mehr bereitgestellt. Im Microsoft Security Blog wurde daher ausführlich über die Risiken informiert. Zudem endet sowohl der kostenfreie, als auch der kostenpflichtige Support durch das Redmonder Unternehmen.

Angreifer könnten sich diese Zero Day-Verwundbarkeit zu Nutze machen, indem sie ab diesem Tage veröffentlichte Sicherheits-Updates intensiv untersuchen und die so erhobenen Informationen noch gezielter gegen Benutzer einsetzen, die immer noch mit Windows XP unterwegs sind.

Es wird daher dringend empfohlen, bereits vor diesem Termin mindestens auf Windows 7 oder sogar Windows 8 umzusteigen.

ownCloud auf einem Raspberry Pi beschleunigen

Ist euch auch schon aufgefallen, dass ownCloud auf einem Raspberry Pi häufig langsam und träge reagiert? Dann solltet ihr die folgenden beiden Punkte unbedingt ausprobieren!

ownCloud_Logo

Schon mit wenigen Handgriffen kann man durch das Deaktivieren nicht benötigter Apps einen spürbaren Geschwindigkeits-Zuwachs verzeichnen. Reduziert also die aktiven Apps auf das persönlich notwendige Minimum.

Ein weiterer Performance-Schub ist durch das Erstellen eines Cronjobs möglich. Während standardmäßig mittels AJAX eine Aufgabe pro geladener Seite ausgeführt wird, bietet das Administrator-Menü als dritten und letzten Auswahlpunkt Cron an.

Hiermit sagt ihr ownCloud, dass die cron.php nunmehr durch einen lokalen Cronjob aufgerufen wird. Dies verschlankt die Abläufe im Browser enorm.

Doch dieser Cronjob muss zunächst definiert werden. Hierfür öffnen wir die Konsole und geben den folgenden Befehl ein:

sudo crontab -e

Damit gelangen wir mittels nano-Editor in die Task-File. Mit Strg+V scrollen wir bis ans Ende der Datei und fügen folgende Zeile ein:

*/1 * * * * php -f /var/www/cron.php

Den Pfad zur cron.php müsst ihr unter Umständen noch an eure lokalen Gegebenheiten anpassen.

Jetzt beenden wir den Editor mit Strg-X und bestätigen die Abfrage mit Y und Datenfreigabe. Wenn alles erfolgreich verlaufen ist, sollte die cron.php einmal pro Minute aufgerufen werden. Sofern aktiviert, kann man sich im Cron-Log davon überzeugen.

Das war es auch schon. Wenn ihr euch nun das nächste mal bei ownCloud einloggt, werdet ihr merken, dass alles viel zügiger vonstatten geht.

Website-Einbindung in iFrame verhindern

Als ich mir heute die Server-Logfiles angesehen habe, ist mir direkt ein sehr merkwürdiger Referrer aufgefallen. Ein solcher Referrer ist schlicht und einfach ein Hinweis darauf, von welcher (fremden) Seite die eigene Website aufgerufen wurde. Diese Information wird – sofern man die Funktion nicht deaktiviert hat – automatisch vom Browser an den Webserver übermittelt.

Beim Besuch dieser verweisenden Seite musste ich jedoch mit Erstaunen feststellen, dass man startapp.de dort einfach als iFrame eingebunden hat. Meines Erachtens ein No-Go.

Gut, dass ich auf selfhtml.org etwas gefunden habe, womit man genau dies verhindern kann. Die Antwort lautet: Javascript. Es ist eigentlich ein alter Hut, aber so wie es scheint immer noch ein probates und unverzichtbares Mittel, damit der eigene Internetauftritt im gesamten Browserfenster dargestellt wird.

Wenn auch ihr verhindern möchtet, dass eure Seite oder euer Blog in einem iFrame geladen wird, fügt einfach den folgenden Code-Schnipsel in den Header-Bereich eurer Website ein:

<script type=“text/javascript“>
if (top != self)
top.location = self.location;
</script>

Wichtig ist, dass diese Anweisung vor dem abschließenden </head> eingebunden wird.