entwickler.com

Virtualisierung hat sich unter anderem im Zusammenhang mit Kostensenkung und höherer Flexibilität zu einem wichtigen Trend entwickelt. Wir sprachen mit Vishal Sikka, Chief Technology Officer bei SAP über die Sicht seines Unternehmens auf diesen Bereich. Wie sieht SAP das Thema Virtualisierung? Vishal Sikka: Wir sehen in der Virtualisierung eine Schlüsseltechnologie, die …

Ein neuer Trojaner nutzt Multimedia-Dateien in verschiedenen Formaten, um sich auf Windows-Systemen einzuschleichen. Die Dateien werden so präpariert, dass sie beim Abspielen im Windows Media Player zum Nachladen eines Codecs auffordern. Folgt der Benutzer dieser Aufforderung, wird statt eines Codecs der Trojaner auf seinem Rechner installiert. Der setzt dann u.a. einen Registry-Schlüssel, und bei weiteren Abspielversuchen unterbleibt …

Die meisten Schritte bei der Suche nach persistenten Cross-Site-Scripting-Schwachstellen wurden in About Security #162 und #163 bereits beschrieben, in dieser Folge werden die noch fehlenden Punkte vorgestellt. Aktion abgebrochen, alles zurück auf Null? Was passiert eigentlich, wenn eine in mehrere Schritte aufgeteilte Aktion nicht abgeschlossen wird - werden die Daten eventuell in einem Zwischenspeicher abgelegt, der nicht sofort gelöscht wird? …

Vor vielen Jahren lauschte ich im Autoradio einem herrlich sinnfreien Lied, dessen Text in etwa so ging: Im Sommer gibt’s ein Sommerloch, ein Sommerloch, ein Sommerloch ... Wenn ich mich recht erinnere, bestand dieser Hit tatsächlich nur aus dieser sich permanent wiederholenden Passage. Und auch wenn ich das Lied seitdem nicht noch einmal gehört habe, …

Diesmal geht es vor allem um die von Dan Kaminsky gefundene Schwachstelle in der DNS-Spezifikation, außerdem gibt es einen Hinweis auf einen Patch, dessen Installation einen Fehler behebt, der die Installation von Patches verhindert. Identische DNS-Schwachstellen bei verschiedenen Herstellern Microsofts Security-Bulletin zu den DNS-Schwachstellen sah eigentlich ganz harmlos aus. Um Cache-Poisoning zu erschweren, wurden zusätzlich zufällig wechselnde Quellports …

Die ersten Schritte bei der Suche nach persistenten Cross-Site-Scripting-Schwachstellen wurden in About Security #162 beschrieben: Für jeden Parameter wird ein Testmuster eingegeben, danach in der gesamten Webanwendung nach dessen Auftreten gesucht. Dabei muss insbesondere auch der Administrationsbereich untersucht werden, sofern einer vorhanden ist. Das Gleiche gilt für alle Bereiche, die erst nach einer besonderen Authentifizierung zugänglich sind. …

Am Juli-Patchday wurden von Microsoft wie angekündigt 4 Security Bulletins veröffentlicht, die alle als 'wichtig'/'important' eingestuft wurden. Es wurden 10 Schwachstellen behoben, davon waren nur 2 zuvor öffentlich bekannt. DNS-Spoofing Das Security Bulletin MS08-037 beschreibt zwei Schwachstellen im DNS-Client und -Server von Windows 2000, XP, Server 2003 und Server 2008, die Spoofing-Angriffe erlauben. Mangelhafte Entropie erlaubte klassische Cache-Poisoning-Angriffe (CVE-2008-1447), vom 'Security …

Im Finale des weltweit größten Technologiewettbewerbs "Imagine Cup 2008" konnte das deutsche Team in der Kategorie "Software Design" einen Platz auf den vorderen Rängen ergattern. Der Cup selbst ging an Australien, die Plätze 2 und 3 belegten die Slowakei und Ungarn. Für die deutschen Studenten aus Esslingen, die sich im nationalen …

In einem Webcast hat Oracle-President Charles Philipps betont, dass die Aufnahme der BEA-Produkte ins Oracle-Portfolio pragmatisch vollzogen werde, sodass keine übereilte technische Integration zu befürchten sei. Auch werde man weder Oracle- noch BEA-Kunden zwingen, zügig auf andere Produkte zu migrieren. Die gesamte BEA-Produkt-Roadmap, von BEA noch vor der Übernahme angekündigt, bleibe …

Sechs Teams aus der Kategorie "Software Design" sind am gestrigen Sonntag in die Endausscheidung des internationalen Technologiewettbewerbs "Imagine Cup" gewählt worden: Australien, Brasilien, China, Ungarn, Portugal und die Slowakei wurden in Paris von der Jury auserkoren. Das deutsche Sieger-Team aus Esslingen am Neckar konnte sich mit seinem Projekt "PoinT" im weltweiten …

Diese Woche im "Standpunkt Sicherheit": Eine wenig aussagekräftige Studie über die Verbreitung von Webbrowsern, ein Security-Advisory für einen nicht sicherheitsrelevanten Vorfall und ein Ausblick auf den kommenden Patchday von Microsoft. Studie mit fragwürdigen Daten An der ETH Zürich ist eine Studie mit dem schönen Titel 'Understanding the Web browser threat: Examination of vulnerable online Web browser populations and …

Bisher ging es bei der Suche nach Cross-Site-Scripting-Schwachstellen im Wesentlichen um reflektiertes Cross-Site-Scripting. Diese Schwachstellen kann man recht einfach erkennen, da ein eingegebenes Testmuster sofort in der ausgegebenen Seite erscheint. Schwierig wird das bei persistenten Schwachstellen: Dort wird der eingeschleuste Schadcode bzw. das eingeschleuste Testmuster auf dem Server gespeichert und erst später, eventuell in einem ganz anderen …

Vergangenen Montag ist die Übernahme von CodeGear abgeschlossen worden. Für rund 24,5 Millionen US-Dollar übernimmt Embarcadero Technologies, eine private Investment-Gesellschaft von Thoma Cressey Bravo, CodeGear von Borland Software. Das Unternehmen wird weiterhin als private Gesellschaft unter der Führung des derzeitigen CEO von Embarcadero, Wayne Williams, stehen. Durch die Akquisition von CodeGear …

Wenn die Sommerferien im September auch in den letzten Bundesländer zu Ende gehen, beginnt für die .NET-Gemeinde eine neue Konferenz-Saison. Den Start machen von 22. bis 26. September die BASTA! und ihre Partnerkonferenz SQLCON. Die Konferenz für .NET, Visual Studio & more feiert diesen Herbst Jubiläum. Motto der 20. BASTA!-Ausgabe ist …

SQL-Injection in ASP-Seiten, neue Schwachstellen im Internet Explorer und eine Bitkom-Umfrage zu Spam - das sind die Themen dieses "Standpunkt Sicherheit". SQL-Injection, immer noch Die SQL-Injection-Angriffe gegen ASP-Seiten, bei denen die Angreifer Code zum Ausnutzen verschiedener Schwachstellen in die Websites einschleusen, laufen jetzt ja schon seit einiger Zeit. Eine erste Welle gab es im Januar, die aktuellen Angriffe …

Werden Cross-Site-Scripting-Schwachstellen (wie in About Security #158, #159 und #160 beschrieben) gefunden, müssen die natürlich behoben werden. Dazu müssen alle Eingaben vor ihrer Verwendung geprüft und ggf. verworfen oder gefiltert werden. Die entsprechenden Funktionen müssen nur einmal implementiert werden und können dann auf alle betroffenen Parameter angewendet werden. Worauf Sie dabei achten müssen, erfahren Sie in dieser Folge. Einfach, aber nicht …

Darum sagen wir Auf Wiedersehen, die Zeit mir Dir war wunderschön, es ist besser jetzt zu gehen, wir können keine Tränen sehen, schön Gruß und auf Wiedersehen. Nicht nur vielen hochkarätigen Nationalmannschaften hallt bei der Europameisterschaft derzeit ein "Auf Wiedersehen" entgegen, auch Windows XP, das viele für das beste Windows aller …

Die Eclipse Foundation wird morgen ihr jährliches, gleichzeitiges Release von Updates für 23 Open-Source-Projekte herausgeben. Das Ganymed-Release soll Verbesserungen im Kern des OSGI-basierten Komponenten-Modells und erweiterte SOA-Tools bringen. Insgesamt 23 Projekte werden mit Ganymede aktualisiert, angefangen von dem hauptsächlichen Eclipse-Projekt bis hin zu dem SOA Tools Platform Projekt (STP). Die Eclipse-Releases …

Insbesondere im Sektor der Web-Content-Management-Systeme (WCMS) gewinnt Open Source zunehmend an Momentum. Eine besonders große Rolle spielen dabei die beiden Punkte Kontrolle über die Kosten der Software Besserer Zugang zur produktspezifischen Expertise im jeweiligen Marktsegment Aufgrund dieser zunehmenden Bedeutung des WCM-Marktes insbesondere im Open-Source-Umfeld, hat sich Forrester dieser beiden Punkte angenommen und in einer …

Frankreich, Italien, Portugal und die Niederlande fielen dem großen Favoritensterben dieser EM bereits zum Opfer. Nun ja, des einen Leid ist bekanntermaßen des anderen Freud. Und vielleicht bzw. ganz sicher macht das den Reiz dieser Europameisterschaft im Speziellen und des Fußballs im Allgemeinen aus. Hoch gehandelte Top-Teams, die sich (vermeintlich) durch die Vorrunde zauberten, sind ausgeschieden, …

Diese Woche erfahren Sie im "Standpunkt Sicherheit" etwas über die Bedrohung durch USB-Sticks und andere mobile Geräte, ein Update für Microsofts Bulletin MS08-030 und eine neue Version von BackTrack. Außerdem gibt es Infos zu Schwachstellen im Internet Explorer, Safari, Mac OS X und einer Kaffeemaschine. USB ist gefährlich Wie ich bereits in About Security #4 und später dann …

Vom 11.-12. Juni 2008 fand im belgischen Antwerpen die SpringOne 2008 statt. Die Konferenz bot einen Überblick über Neuigkeiten rund um Spring und war mit etwa 420 Besuchern sehr gut besucht. SpringSource Application Platform Die SpringOne hatte insgesamt 30 Vorträge in den drei Tracks Spring Core, Spring Enterprise und Spring in Production …

Der Weg zu Open Source Java war lang und schwer. Heute wurde in dieser Hinsicht ein wichtiger Meilenstein von Red Hat angekündigt: Durch die Bemühungen der OpenJDK Community und Red Hat's IcedTea-Projekt wurde die Vision einer voll-kompatiblen, wirklich freien und offenen Java-Distribution realisiert. Wie Rich Sharples, Director of Product Management for …

In dieser Folge geht es um kompliziertere XSS-Schwachstellen im Vergleich zu den einfachen Fällen, die in About Security #158 vorgestellt wurden. In About Security #159 erfuhren Sie, wie man genauer zu untersuchende Parameter in einer Webanwendung findet. Ab dieser Folge dreht sich alles um die Frage, ob die gefundenen Parameter XSS-Angriffe erlauben oder nicht. Beispiel 1: Normaler …

Lediglich drei Millionen Internetnutzer gehen auch per Handy ins Netz. Keine besonders große Zahl, wenn man bedenkt, dass etwa 26 Millionen über ein internetfähiges Mobiltelefon verfügen. Das hat die Erhebung "Mobile Web Watch 2008" des Managementberatungs-, Technologie- und Outsourcing-Dienstleisters Accenture ergeben. Via PC surfe es sich komfortabler und günstiger, so die …

Das sich im Apache Incubator befindliche Projekt Sling hat beim diesjährigen JAX Innovation Award den fünften Platz erreicht und dadurch etwas Scheinwerferlicht in der Java-Welt bekommen. Nun existiert ein Ansatz, um Spring nutzbringend in Sling einsetzen zu können. Das Ergebnis heißt Spling. Integration ist das Mittel der Wahl Das Web-Framework Sling …

Nun haben es die Open-XML-Gegner also doch noch geschafft. Nachdem Brasilien, Indien, Südafrika und Venezuela Einspruch gegen die umstrittene ISO-Zertifizierung von Microsofts Dokumentenformat eingelegt haben, zog die ISO die Reißleine und wird die überarbeitete Spezifikation zunächst nicht veröffentlichen. Das bedeutet natürlich noch nicht das endgültige Aus für Open XML, ein empfindlicher Dämpfer für Microsofts Ambitionen ist es …

Das Web ist versioniert. Zwei Punkt Null ist in aller Munde und wird, so eine Analyse auf WSO2.org, in Hinblick auf seine "Features" zunehmend konvergieren. Bevor das Upgrade auf Web 3.0 jedoch erfolgt, kurz eine Zusammenfassung. Wo stehen wir heute? Die Analyse zum Web 2.0 und dem was da folgen wird, fasst zunächst …

Diese Woche im Standpunkt Sicherheit: Die Suche nach Büchern und Bibliotheken, auf dem Server Code ausführendes Cross-Site-Scripting und ein Router manipulierender Trojaner. Buch gesucht... Aus gegebenen Anlass habe ich mir Gedanken darüber gemacht, wie/wo ich denn im Allgemeinen überall nach einem Buch suchen würde. Die Antwort darauf ist eigentlich ganz einfach: IT-Bücher stehen im Bücherregal im Büro, …

Warum Liferay ein interessantes Open-Source-Java-Portal ist, zeigte sich in zwei Vorträgen auf der JAX. Wer Liferay oder Brian Chan, den Chefarchitekten des Portals, noch nicht kennt, hat sicher etwas auf der letzten JAX in Wiesbaden verpasst. Die beiden Vorträge von Brian Chan "The Why and How of Migrating from a J2EE/EJB …