ITrig

Ich bin die Tage mal wieder über eine sehr praktische Erweiterung für den Firefox Browser gestolpert, die ich bisher noch nicht kannte. 

Secure Login 

Secure Login nennt sich das gute Stück und bereichert den in Firefox integrierten Passwortmanager um praktische Funktionen .

So werden hinterlegte Zugangsdaten nach der Installation automatisch in die Loginformulare eingetragen. Das heißt für einen Login über eine Eingabeformular ist nur noch das Betätigen der Enter Taste oder eines Tastaturkürzels (Strg+N) notwendig.

In den Einstellungen kann zusätzlich ein Secure Login Lesezeichen aktiviert werden, welches einen direkten Zugang aus den Favoriten heraus bietet. Zusätzlich Sicherheit bietet der ebenfalls optional angebotene Schutz vor bösartigem JavaScript-Code oder Cross-Site Scripting (XSS) Attacken.

Schlussendlich ein wirklich praktisches Add-on, das keine zusätzlichen Ressourcen benötigt, da es nur beim Login Vorgang aktiv ist. Ich kann es also nur empfehlen.

Eine erfreuliche Meldung am Rande der Sicherheitslückenflut im aktuellen Flash Player 16 (als momentan sicher gilt 16.0.0.296) wurde heute im YouTube Entwicklerblog veröffentlicht.

YouTube stellt ab sofort Videos standardmäßig mit HTML5 zur Verfügung. Bisher musste unter https://www.youtube.com/html5  auf einen anderen Player gewechselt werden. Laut dem heutigen Blogeintrag ist dies nun bei Chrome, IE11, Safari 8 und Firefox Beta hinfällig, hier wird ab sofort der <video> Tag verwendet.

Es wird also höchste Zeit Flash zu deinstallieren, denn es wird nicht mehr wirklich benötigt.

Sollte dies aus irgendeinem Grund nicht möglich sein, dann aktualisiert das Programm regelmäßig und aktiviert zumindest ClicktoPlay im Firefox.

Den Offline Installer Download des aktuellen Flash Player als Msi oder Exe Installer für Windows findet ihr hier.

Gestern war es  soweit. Die fertige Version 2.0 des Blogsystems Serendipity wurde vorgestellt.

Die offensichtlichsten Änderungen der neuen Version hatte ich bereits im Artikel zur Beta erwähnt. Wer die zahlreichen Neuerungen im Detail nachlesen möchte, der sei auf den offiziellen Blogeintrag der s9y Entwickler verwiesen.

Die Modernisierung der schon etwas betagten Blogengine war durchaus nötig und ich bin gespannt, wie sich die neue Version machen wird. Besser als Wordpress oder Ghost ist s9y aber so oder so ;)

Der Hipster Trend scheint momentan etwas abzuflauen, kann aber auch der kalten Jahreszeit geschuldet sein, dass weniger Flanellhemden gesichtet werden. Zumindest in Leipzig habe ich den Eindruck.

Der Begriff an sich lässt sich dennoch immer noch für Allerlei Cooles nutzen, warum nicht auch für einen Logo Generator.

Hipster Logo Generator

Der Online Generator von Elijah Zapien bietet die Möglichkeit ein Logo in 5 Schritten zu gestalten.

Zunächst muss ein Grundform gewählt werden, welche sich dann mit zusätzlichen Emblemen oder Schriftzügen verzieren lässt. Jedes Element kann zusätzlich individuell eingefärbt werden.

Das Endprodukt wirkt schlicht und zeitgemäß. Allerdings steht das fertige Logo nur als PNG mit 600x500 frei zur Verfügung. Für eine höhere Auflösung oder das moderne SVG werden 5 Dollar fällig. Das finale Logo kann für private oder kommerzielle Zwecke verwendet werden.

Im April läuft die Unterstützung für Java 7 aus, somit wird es langsam aber sicher Zeit auf Java 8 umzusteigen. Die neue Version 8 bringt bessere Sicherheitsmechanismen mit, welche bei Anwendungen, die auf HTTPS und somit auf Zertifikate setzen zu Fehlern führen können. Einer davon ist die Zurückweisung des Zertifikats:

 java.security.cert.CertificateRevokedException: Certificate has been revoked, reason: SUPERSEDED, revocation date: XXXXX CET 2014, authority: CN=TC TrustCenter Class 2 CA II, OU=TC TrustCenter Class 2 CA, O=TC TrustCenter GmbH, C=DE, extension OIDs: [2.5.XX.21]

at com.sun.deploy.security.RevocationChecker.checkApprovedCRLs(Unknown Source)

at com.sun.deploy.security.RevocationChecker.checkCRLs(Unknown Source)

at com.sun.deploy.security.RevocationChecker.check(Unknown Source)

at com.sun.deploy.security.TrustDecider.checkRevocationStatus(Unknown Source)

at com.sun.deploy.security.TrustDecider.getValidationState(Unknown Source)

at com.sun.deploy.security.TrustDecider.validateChain(Unknown Source)

at com.sun.deploy.security.TrustDecider.isAllPermissionGranted(Unknown Source)

at com.sun.javaws.security.AppPolicy.grantUnrestrictedAccess(Unknown Source)

........

Erklärung 

CRL 

Dabei handelt es sich um eine Zertifikatsperrliste (Certificate Revoke List -->CRL), diese wird von einer Zertifizierungsstelle geführt und enthält die Seriennummer ungültiger Zertifikate. Diese sind mit einem Zeitstempel versehen und einer Signatur geschützt. Voraussetzung für eine Prüfung durch diesen Sicherheitsmechanismus ist eine aktive Internetverbindung.

In diesem Beispiel trat dieser Fehler auf.

OCSP

Ein weiterer Schutz der unter Java 8 aktiv ist nennt sich Online Certificate Status Protocol. Dabei handelt es sich um ein Netzwerkprotokoll, das ebenfalls bei einem CA Dienst (OCSP-Responder) nach der Gültigkeit eines Zertifikats fragt. 

Sicherheitsprüfungen für Zertifikate in Java 8 ausschalten

Bei selbst signierten oder anderweitig verwendeten Zertifikaten können diese Prüfungen ausgeschaltet, bzw. eingeschränkt werden. Denn bei einer Test- oder Intranetanwendung ist es nicht immer sinnvoll die Gültigkeit bei einer CA zu überprüfen.

Darum lassen sich in den Java Einstellungen ("Systemsteuerung/Java/Erweitert") CPL und OCSP deaktivieren.

Bei dieser Einstellung wird die Prüfung nicht komplett deaktiviert, sondern auf Zertifikate des Anbieters, also des Softwareherstellers beschränkt. Das heißt, bei selbst signierten Zertifikaten dürfte nun kein Fehler seitens Java angezeigt werden, wenn die gewünschte URL auf der Whitelist ist oder dem eigenen Zertifikat vertraut wird.

Natürlich lassen sich CRL und OCSP auch komplett deaktivieren. Die Einstellungen sind dann wie folgt.

P.S. Im selben Menü könnt im gleichen Zug weiter unten die Protokolle SSL 3.0 und TLS 1.0 deaktivieren.