Beiträge von tldev

    Naja, ganz ehrlich - das halte ich jetzt für nicht verwunderlich!


    Eigentlich muss doch jedem, der ein virtuelles System mietet, klar sein, dass der Betreiber vollen Zugriff auf die dedizierte Hardware dahinter hat und damit auch Zugriff auf Festplatte, RAM, etc pp des virtuellen Servers!
    Meiner Meinung nach ist das keine News wert sondern müsste jedem, der einen virtuellen Server betreibt, schon von Anfang an klar gewesen sein! Das ist auch keine Sicherheitslücke, sondern einfach ein unabdingbarer Kompromiss, den man eingehen muss wenn man Hardware virtualisiert.


    Witzigerweise gibt es Menschen, die Ihre virtuellen Maschinen verschlüsseln - solange die Kiste an ist sind auch die Schlüssel im RAM der Hostmaschine auffindbar.


    Man darf sich allerdings auch mal überlegen was netcup davon hätte hier systematisch RAM ihrer virtuellen Server auszulesen --> ganz davon abgesehen, dass die Anreize fehlen könnte der Betreiber ja auch direkt auf die Festplatten der virtuellen Server zugreifen, wieso also Datenströme belauschen wenn man doch den virtuellen Server sogar komplett klonen könnte!
    Sollte irgendein Anbieter irgendetwas in der Richtung machen wäre das sein sicherer Tod! Sollte jemals so etwas bei einem Anbieter rauskommen wäre er innerhalb kürzester Zeit vom Markt verschwunden!

    Schreib mal was über dein Setup auf dem Server - welches Betriebssystem, irgendein Verwaltungspanel, falls ja welche Version? Wie wird PHP aktuell benutzt (fastcgi, php-fpm, Apache2-Modul?


    Bezieht sich die Frage uberhaupt auf einen Server?



    Der Post über meinem bezieht sich nur auf Liveconfig ;)

    Verschlüsselung ist ein muss in jeder weiße aber die problematik bei verschlüsselung ist das man sie richtig implementieren muss. Das bringt einige Nachteile, hat man einen reinen SHA2 + 256bit Verschlüsselden Webserver können nur IE, Safari, (glaube auch Chrome) damit umgehen. Somit schliesse ich einge User aus. Dann wenn man HSTS einsetzt und dabei was kaputt geht muss gewartet werden bis der timeout eintritt. Dann gibt es ja das schöne Keypinning das genau so wie HSTS beim Defekt aussperrt.


    Das hat komplett nur mit Verbindungssicherheit zu tun. Es ist durchaus möglich TLS sinnvoll zu konfigurieren, sodass die Daten bestmöglichst übertragen werden. Ansätze hierzu liefert der Test von SSLLabs: SSL Server Test (Powered by Qualys SSL Labs)
    HSTS macht Probleme, wenn das Zertifikat abgelaufen ist - "was dabei kaputt geht" ist ziemlich einfach ausgedrückt! TLS ist prinzipiell sehr stabil und auch die Webserver arbeiten sehr stabil. Ich betreue einige Server und hatte bisher nie Probleme - trotz aktiviertem HSTS! Allerdings muss man sich sehr wohl darum kümmern, dass die Zertifikate rechtzeitig ersetzt/verlängert werden.



    Das Thema Sicherheit ist so ein komplexes Thema in der IT... besonders bei Virtuellen Maschinen wo ja eine Firewall lokal auf der VM reingarnichts bringt


    Eine Firewall bringt auch bei virtuellen Maschinen noch Vorteile! Zwar lässt sich gegen (D)DOS nichts mehr unternehmen, da das Hostsystem da schon die Schwachstelle ist - um Portscans bzw. allgemein das versehentliche Öffnen von Ports zu verhindern ist eine lokale Firewall in einer VM sinnvoll, wichtig und empfehlenswert!




    als Fazit sage ich jetzt mal SSL ist für mich ein burchteil von dem was man tun könnte.


    Ich finde man muss hier unterscheiden zwischen Datensicherheit/Serversicherheit (Daten auf dem Server & das System allgemein) und Verbindungssicherheit (Übertragung der Daten zum Kunden).
    Bei der Verbindungssicherheit ist SSL Pflicht - spätestens nun mit letsencrypt! Bei der Serversicherheit sind Dinge wie eine Firewall (ufw für Debian-basierte Systeme) empfehlenswert. Da gibt es in beiden Fällen aber noch weitaus mehr zu beachten.


    Um zu einer eigentlichen Frage zurück zu kommen:

    • du solltest phpmyadmin direkt in einen anderen Ordner verschieben oder den Ordner umbenennen. Den Pfad kannst du in Froxlor anpassen. Dadurch finden die typischen Bots/Crawler den Pfad nicht mehr direkt - du/deine Kunden ihn aber noch über Froxlor
    • du solltest die komplette Froxlor-Installation (also den Pfad /froxlor) mit htaccess absichern. Vor nicht allzu langer Zeit gab es eine Sicherheitslücke, durch die sämtliche mysql-Zugangsdaten im Klartext angezeigt wurden. Details findest du über die Forensuche ;) Das Passwort muss nicht gut sein - es soll einfach nur das Grundrauschen (Bots, ...) filtern.
    • Du könntest auch den kompletten Froxlor-Ordner direkt per Apache/nginx-Config nur über eine Subdomain erreichbar machen (z.B. bob.[einedomain].de. Hintergrund ist genau das gleiche wie bei Punkt 1 - die Crawler, die nach Scripten in verwundbaren Versionen suchen finden es so nicht ;) Die Subdomain sollte natürlich nicht admin,froxlor etc. sein, sondern wirklich etwas nicht-triviales.
    • Wie schon beschrieben solltest du sämtliche Adminbenutzer (root,admin) durch eigene User ersetzen (z.B. dein Vorname, Nick, etc.). Auch das hilft gegen die meisten Standardangriffe.
    • Du könntest phpmyadmin auch automatisch per Shell-Script aktualisieren. Ich benutze z.B. ein Script, das alle 3 Tage die aktuelle Version von github zieht und die alte damit ersetzt. Es gibt mehrere Ansätze dazu im Internet (google einfach mal nach "phpmyadmin update script").


    Zum Vorschlag von Mainboarder: recaptcha klingt gut bis nervig (von der Usability her, von der Sicherheit her natürlich auch ein Gewinn) - von adminer würde ich dir allerdings abraten. Insbesondere wenn du noch nicht 100% fit bist was SQL angeht ist phpmyadmin doch übersichtlicher und einfacher zu bedienen.


    Ansonsten solltest du (falls noch nicht getan) fail2ban installieren und entsprechend konfigurieren - ich bin mir allerdings nicht ganz sicher ob das nicht über Froxlor schon irgendwie mitkommt.


    Ich hoffe dir damit geholfen zu haben ;)

    Mich würde mal interessieren, wie Sie auf Serverlux gestoßen sind. Wir tun ja viel um keinen direkten Zusammenhang hier herzustellen ;)


    Natürlich kann ich nicht für killerbees19 sprechen, aber vom Impressum abgesehen (das ja auch von Google etc.) erfasst wird gibt es einen Deal bei mydealz ;)


    Viele Grüße

    Bezügl. Serverlux:


    Zitat


    §7 Werbung
    Der Nutzer stimmt ausdrücklich zu, dass von serverlux.de Werbung auf seiner Internetseite angezeigt bzw. durch serverlux.de aufgeschaltet wird. Der Nutzer stimmt zu, dass die Inhalte seiner Internetseiten über eine globale Suchmaske auf der serverlux.de recherchierbar gemacht werden können. Der Einsatz von Techniken seitens des Nutzers, die die Einblendung von Werbung beim Aufruf von Subdomains gezielt unterdrücken oder stören, ist nicht zulässig.


    Wird das denn angewand? Oder steht das nur da um sich abzusichern, sodass man im schlimmsten Fall keine roten Zahlen schreibt.

    Tracke mal mit der Entwicklerkonsole deines Browsers ganz genau mit, ob der Referrer übertragen wurde oder nicht.


    Einfach unter network schauen ob in den request headern was dazu steht.

    Moin,


    ich würde hier gerne mal Struktur reinbringen: was genau tust du mit dem Link? Wenn du einen einfachten Link auf deine Webseite setzt lässt sich der Referrer abfragen.


    In deinem Fall sieht es (nachdem ich alle Posts gelesen habe) aber eher so aus als würdest du da irgendwas mit PHP automatisiert verarbeiten wollen. Das ist nichtmehr nur ein normaler Link. Oder machst du die Automatisierung im Browser über irgendwelche Scripte?


    Gib uns mal bitte dein exaktes Problem und die Umgebung - wie also was warum von was aufgerufen und verarbeitet wird!
    Dann finden wir hier sicher eine Lösung :)

    Vorallem hat mein iPad ne Auflösung von 2048x1536 damit bin ich so oder so ganz weit von 960 entfernt... Dazu wird mir ja Netcup auch als Desktop Site ausgeliefert und nicht Mobile optimiert.



    Es kommt auch nicht auf die echte Auflösung des Displays an, sondern auf die, die dein Betriebssystem/Browser weitergibt. Und da wird ordentlich skaliert, da bei der hohen Pixeldichte sonst alles winzig wäre ;)

    Bist du evtl auf der mobilen Webseite? Musst schon am PC sein und dann auf netcup.de gehen - dort auf den normalen Seiten (nicht den Einzelseiten der Produkten) musst du suchen ;)

    Moin,


    Frohe Ostern zusammen! :)


    Was habt ihr denn bisher so an Rootserver-Angeboten (KVM) gefunden?


    Root-Server Ostern 2016 für 7,49€
    Root-Server L SSD v6 1M free - Root-Server L SSD v6 mit einem Monat geschenkt
    Root-Server XL SSD v6 3M free - Root-Server XL SSD v6 mit drei Monaten geschenkt


    Sind das alle oder gibt es noch mehr? Ich hätte Interesse an einem wie den vom Advent 2015 ;)

    Um etwas Klarheit zu schaffen: Prinzipiell können bis zu 150 Domains/Subdomains über ein letsencrypt-Zertifikat laufen.


    Die lassen sich prinzipiell also problemlos generieren - die Frage ist nur ob und wie du sie in Plesk reinbekommst und dort automatisch verlängern kannst. Mangels Plesk kann ich dir bei dem Punkt aber leider nicht weiterhelfen.

    hm..joa, das ist leider nicht ganz einfach.


    Nach x86 Boards hab ich auch schon ne Weile gesucht und folgende gefunden:
    - Jaguarboard: JaguarBoard: x86-based Single Board Computer by Jaguar Electronic HK Co., Ltd. —
    Kickstarter

    - Minnowboard: MinnowBoard Wiki


    Ansonsten kannst du mal hier schauen: Comparison of single-board computers - Wikipedia, the free encyclopedia
    Einfach bei der größeren Tabelle nach Architektur sortieren. Die werden teils dann aber schon gut teuer (100-400€) und sind damit nicht mehr wirklich mit einem Raspberry Pi vergleichbar.


    Was du dir auch noch anschauen könntest sind diese Intel Compute Sticks (um mal zwei Beispiele zu nennen: von Intel, von Lenovo). Prinzipiell gibts da zig mehr oder weniger namhafte Reseller/Hersteller, die aber mehr oder weniger alle die gleiche CPU verbauen.


    Wenn es wirklich groß werden soll und die 20W auch überschritten werden dürfen (da sind wir aber natürlich auch nicht mehr so im Bastelbereich) könntest du dir noch einen HP Microserver anschauen: HP ProLiant MicroServer: Amazon.de: Computer & Zubehör
    Den gibts auch noch einige Euro günstiger, sofern zu Student bist - einfach mal im HP Store für Studenten registrieren. Dürfte aktuell nochmal 25-50€ günstiger werden ;)