WordPress Sicherheit: sicheres Login

Veröffentlicht am von
Kommentar

Die sicherste Methode seinen Block zu schützen vor unerlaubten Login ist die Verwendung einer .htpasswd Authentifizierung.

Die Standard Login Seite von WordPress ist nicht sicher, weil Hacker Programme besitzen, die wahrlos Passwörter ausprobieren. Wenn dann noch der Login Namen bekannt ist, weil bei WordPress der Namen des Authors unter den meisten Blog Posts steht, sollte man Wert auf Sicherheit legen.

Ich empfehle einen .htpasswd Schutz für das /wp-admin/ – Verzeichnis anzulegen.

Die .htaccess Datei gehört auch in das /wp-admin/ – Verzeichnis, bspw:

AuthName "backend"
AuthType Basic
AuthUserFile Root-Pfad/wp-admin/.htpasswd
require valid-user

Der notwendige Root-Pfad kann folgender Maßen bestimmt werden:

echo getcwd();

In die .passwd kommen Login und passwort in gehachter Form. Am besten den htpasswd Generator dafür benutzen und die Daten vorher notieren.

Die Leserechte sollten auf 0444 gesetzt werden für diese beiden Dateien, damit Sie nicht überschrieben oder gelöscht werden können.

Sinnvoll ist auch die Leserechte für kritische Dateien und alle php-Dateien einzuschränken in der “Haupt” .htaccess:

<FilesMatch "(|liesmich\.html|readme\.html\.htaccess|\.htpasswd|wp-config\.php)">
 order deny,allow
 deny from all
</FilesMatch>

PHP einfacher Textvergleich

Veröffentlicht am von
Kommentar

Man kann mittels PHP einfach einen Prozentsatz berechnen, wie gleich 2 Texte bzw. Dateien sind. Dabei wird ein Wert von 0 bis 1 berechnet, mit 1 = Texte sind gleich und 0 für keine Ähnlichkeiten.  Ab PHP4 verfügbar.

$stringOk = file_get_contents("file1.dat");
$stringNotOk = file_get_contents("file2.dat");
if(strlen($stringOk))
{
echo  similar_text($stringOk, $stringNotOk)/  strlen($stringOk);
}

Java Corba Client Server Kommunikation

Veröffentlicht am von
Kommentar

Corba (Common Object Request Broker Architecture) ist vergleichbar mit RMI, nur komplizierter und umfänglicher, was auch der Grund ist, warum es in der Praxis nur eine kleine Nische einnimmt.

Aufbauend auf einer Middleware (ORB – Object Request Broker), die die Service verwaltet und für die Authentifikation der Benutzer zuständig ist, kann der Benutzer Services nutzen, die auf einem anderen PC laufen. Das System hat folgende Vorteile:

  • betriebsystemunabhängig
  • programmiersprachenunabhängig, durch die IDL (Interface Definition Language), mit dieser Schnittstelle können die Benutzer mit der Middleware kommunizieren
  • skaliebar, Dienste können problemlos repliziert und Ressourcen (Server) hinzugefügt werden, lose Bindung der Services
  • migrierbar, da der ORB die Dienste über den Namen und nicht über die IP verwaltet, was bei URLs natürlich genauso ist
  • nebenläufig, Prozesse laufen in eigenen Threads
  • robust, durch zentrales Failure Handling
  • verbindungslos, Service kann zu einem beliebigen Zeitpunkt genutzt werden, beliebig oft

Continue reading “Java Corba Client Server Kommunikation” »

swdirekt.de Bewertung Erfahrungsbericht

Veröffentlicht am von
Kommentar

Gerade habe mir einen höhenverstellbaren Tisch gekauft bei swdirekt.de und wurde bitter enttäuscht vom Kundenservice.

  1. Beim Kaufvorgang des Tisches ist mir eine PHP Fehlermeldung angezeigt worden mit Root Pfad und allem, was ein Einfallstor für Hacker darstellt und mich über die Sicherheit meiner Daten zweifeln lässt.
  2. Nach kurzem hinsehen habe ich erkannt, das der Shop eine xt:Commerce Version von 2004 nutzt, inkl. aller Sicherheitslücken, die seit dem aufgetreten sind.
  3. Beim Kauf habe ich Zahlung auf Rechnung ausgewählt, weil ich kein Vertrauen in einen solchen Laden hatte.Der Abschluss lief ohne Probleme. Daraufhin hat mich ein Mitarbeiter angerufen und mir gesagt, dass Zahlung auf Rechnung nicht möglich sei für Neukunden und doch bitte vorher überweisen sollte. Klingt schon irgendwie unseriös, ist ja nicht so schwer programmieren so was. Naja, Paypal hat ja Käuferschutz, also Geld geschickt. Der Käufer hat mir bei schneller Zahlung eine Lieferung innerhalb einer Woche versprochen, also schnell das Geld hin. Daraufhin kam erstmal nichts und erst auf Nachfrage nach 2 Wochen die Message: Geld ist da , wird organisiert.
  4. Nächstes Ding war dann, dass mein  echt teurer Tisch (über 600€) per Spedition zu mir versendet werden sollte. Als die Spedition anrief, habe ich erfahren, dass der Shop so nett war, den billig Versand bis vor die Tür zu ordern. Was für mich heißt gut 50kg Tisch in den 5ten Stock zu heben.
  5. Auf Nachfrage beim Shop auf diesen Missstand war nur zu hören, das steht in den AGBs drin. Die Dame meinte frech zu mir, sie würde immer die AGBs lesen, wenn sie etwas bestellt, wieso ich das nicht machen würde. Selbst das Argument, ich hätte mich für die Zahlung per Vorkasse breitschlagen lassen, hat nicht gefruchtet. Am Ende musste ich meinen Tisch selber hochtragen.

Fazit: Ich bestelle nichts mehr bei swdirekt.de.

Amazon Product Advertising API nach AWS Products API Migration

Veröffentlicht am von
Kommentar

Die nächste Änderung der Amazon Product Advertising API steht an, nachdem der wdsl Dienst abgeschaltete werden wird, wird im Ende August 2012 auch die Amazon Product Advertising API ganz abgeschafft und durch den neuen Dienst ersetzt:  AWS Products API.

Diese ist im Paket der neuen AWS Dienste entahlten, die Bibliothek kann hier bezogen werden. Ein Migrationsguide gibt es hier, auch wichtig die API Dokumentation.

Man kann grob sagen, dass die neue API stärker untergliedert ist und man mehr Requests über einen Artikel absetzen muss als mit der alten API, um dieselben Informationen zu bekommen.

 

Blackberry Android Apps in Eclipse testen

Veröffentlicht am von
Kommentar

Das Blackberry Playbook bietet die Möglichkeit Android Apps zu starten. Über Eclipse ist ein einfaches Testen im Simulator möglich.

  1. Als erstes muss VMware und der der PlayBook Simulator installiert werden. Anleitung. Dazu muss unfreundlicherweise ein Installer Programm zusätzlich installiert werden (Akami NetSessions).
  2. Code Signing Keys beantragen/registrieren bei Blackberry (kann bis zu 2 Stunden dauern)
  3. Zertifikate in Eclipse anlegen mit Hilfe der Keys.
  4. Debug Token installieren auf dem Simulator
  5. Projekt in Android Api 2.3.3 ändern und Blackberry Struktur hinzufügen
  6. Hoffen, dass es läuft :)