Fehlermeldungen sind nützlich. Mit einer weißen Seite als Antwort auf eine Anfrage (z. B. den Klick auf einen Link) kann ich in aller Regel nicht viel anfangen.

Aber Fehlermeldungen finden auch Angreifer nützlich, da sie oftmals viel über das Betriebssystem und die Software des Servers, über die hinter der Website liegende Datenbank und andere technische Details verraten. Fehlermeldungen lassen sich durch gezielte Anfragen sogar mit Absicht herbei führen, um Schwachstellen und Angriffspunkte aufzudecken.

Im laufenden Betrieb sollte eine Website daher niemals Fehler ausgeben, sondern lediglich in einer Datei auf dem Webserver – dem sogenannten Error-Log – mitschreiben.

Fehlermeldungen lassen sich bei PHP-Anwendungen ganz leicht ausblenden. Setzen Sie dazu folgende Einträge in der php.ini:

display_errors = 0
log_errors = 1
error_log = "/logs"

/logs ist dabei das Verzeichnis, in dem die Datei namens error_log abgelegt wird. Das Verzeichnis muss existieren und Schreibrechte haben.

Können Sie die php.ini nicht selbst editieren, ist auch ein Aufruf (PHP)

error_reporting(0);

möglich.

Übrigens: Im Zend Framework ab Version 1.8 kann das Error Reporting über einen Eintrag in der application.ini gesteuert werden.

Themen: Bessere Websites, Sicherheit | Noch kein Kommentar »

Eines der bekanntesten Shopsiegel ist das von Trusted Shops. Online-Shops, die sich von Trusted Shops zertifizieren lassen, werden auf Herz und Nieren geprüft. Kunden vertrauen diesem Siegel aufgrund der umfassenden Kriterien, die ihm zugrunde liegen, daher wundert es nicht, dass damit Konversionsrate und Umsatz gesteigert werden können.

In der monatlichen Gebühr, die vom Umsatz des Shops abhängt, ist auch ein Käuferschutz enthalten – nämlich der Schutz vor Nicht-Lieferung und vor Nicht-Erstattung.

Oxid Shops erfüllen viele der Trusted Shops Kriterien bereits von Hause aus. Daher erhalten Oxid Shopbetreiber günstige Konditionen für die Zertifizierung.

Wenn Sie sich bis 12. Juni 2011 als Oxid Shopbetreiber bei Trusted Shops registrieren, erhalten Sie zwei Monate geschenkt. Um diesen Vorteil zu nutzen, geben Sie bei der Anmeldung den Gutscheincode “TSMAI2011″ ein.

Themen: Oxid eShop | Noch kein Kommentar »

Bis ein Newsletter bei seinen Lesern ankommt, ist es ein weiter Weg. Ich meine dabei nicht die konzeptionelle und praktische Arbeit, bis ein gut designter und ansprechend getexteter Newsletter steht und voll einsatzfähig ist. Ich meine die andere Seite, die Empfänger: Zunächst müssen sie überzeugt werden, sich anzumelden, Ihnen zu vertrauen und Ihnen ihre Daten zu überlassen. Dann müssen sie ihre E-Mail Adresse bestätigen (Double-Opt-In). Trotz dieser Bestätigung von Seiten des neuen Lesers könnte der versendete Newsletter später in einem Spamfilter hängen bleiben. Oder es gibt Anzeigeprobleme im E-Mail Programm des Abonnenten, so dass er einen Teil oder den ganzen Newsletter nicht lesen kann.

Eine weitere Hürde sind die Sicherheitsmeldungen, die die E-Mail Programme ausgeben, um ihre Besitzer vor schadhaften E-Mails zu warnen. Eine davon ist die Phishing-Meldung, die Ihre Leser davon abhalten könnte, auf irgendeinen der Links in Ihrem Newsletter zu klicken. Damit wäre der Newsletter verschenkt, denn wozu schreiben Sie ihn sonst, als damit die Leser auf die eingebetteten Links klicken und Ihre Website besuchen?

» Weiterlesen

Themen: Newsletter versenden | 1 Kommentar »

Haben Sie sich schon einmal über die Unlösbarkeit eines Captchas geärgert? Das sind die kleinen Rätsel oder Bilder mit Buchstaben, die unter Formularen stehen, und mit denen diese vor Spam geschützt werden sollen. Manche sind auch wirklich schwer zu lösen – ich selbst habe hier ja schon einige durchprobiert. Es ist gar nicht so einfach, ein benutzerfreundliches Captcha zu finden, das gleichzeitig aber effektiv Spammer abhält.

Russische Wissenschaftler haben offensichtlich eine Lösung für dieses Problem gefunden – sie verwenden einfach nebenstehendes Captcha mit einer kleinen Mathe-Aufgabe. Einen effektiveren Schutz gegen unwillkommene (und unqualifizierte) Kommentare gibt es wohl kaum!

Gefunden auf www.blogtrainer.de – zwar schon etwas älter, aber nicht weniger aktuell.

Themen: Dies & das | 1 Kommentar »

Mein Lieblingsthema – Sicherheit im Web – hat Kerstin Hoffmann in Zusammenarbeit mit Frank Herberg zu einem informativen Leitfaden zusammengefasst.

Übersichtlich und in verständlichen Worte werden wichtige Aspekte bei der Nutzung von Social Media und des Internets allgemein genannt.

Hier können Sie den Sicherheits-Leitfaden kostenlos downloaden.

Themen: Links + Downloads | Noch kein Kommentar »

Mit WordPress ist ein neues Weblog-System schnell eingerichtet. Die einfache Installation und die intuitive Benutzeroberfläche verleiten dazu, einfach loszulegen: Kategorien anlegen, Artikel schreiben, Publizieren, fertig!

Doch halt. Bevor Sie Ihre ersten Artikel online stellen (oder überhaupt die URL Ihres Blogs herausgeben), sollten Sie einige Sicherheitsmaßnahmen ergreifen. Denn WordPress ist sehr populär und damit öfter Opfer von Angriffen als weniger bekannte Websysteme. » Weiterlesen

Themen: Sicherheit, Wordpress | Noch kein Kommentar »

Vor zwei Tagen habe ich das CAPTCHA Free Plugin für WordPress installiert, um meine Besucher vor der Eingabe ungeliebter Captcha-Phrasen zu verschonen. Leider hat das nicht geklappt, das Plugin hat einen Bug, den ich auf die Schnelle nicht finden konnte. Ich habe die Zeit lieber genutzt, um mich nochmals durch den Wust der CAPTCHA Plugins für WordPress zu wühlen. Und hoffe, dass ich diesmal eine praktikable Lösung gefunden habe.

WordPress bietet eine Menge CAPTCHAS für jeden Geschmack. Tiere-Raten, Puzzle-Zusammenfügen oder ganz einfache Wörter abtippen. Das beste Captcha ist aber eines, das nur im Notfall zum Einsatz kommt.

» Weiterlesen

Themen: Sicherheit, Wordpress | Noch kein Kommentar »

WordPress ist eine beliebte Blog-Software – funktionsstark und flexibel, dabei doch einfach bedienbar und durch tausendundein Plugin zu erweitern. Doch diese Beliebtheit hat einen großen Nachteil: WordPress ist und bleibt auch bei Spammern beliebt. Denn: Hat man ein Blog geknackt, hat man sie alle. Darum ist Sicherheit bei WordPress ein großes Thema.

Ich habe selbst vor einiger Zeit (natürlich als ich im Urlaub war) Erfahrung mit schreibwütigen Spammern gemacht. Als Konsequenz habe ich ein Captcha installiert, das sind diese kleinen Bilder, von denen man den Code abtippen muss, um sich als Mensch zu verifizieren. Leider ist reCaptcha zwar sehr beliebt und auch noch einem guten Zweck gewidmet, für den deutschsprachigen Raum aber ziemlich ungeeignet. Die Wörter, die man dort abtippen muss, sind englisch und oft schwer zu lesen.

Nun bin ich auf WP Captcha-Free umgestiegen. Wie der Name schon sagt, kommt dieser Spam-Schutz ohne Captcha aus. Das Plugin erzeugt für jedes Formular im Hintergrund einen komplizierten Validitätscode aus verschiedenen Parametern, wie Zeit, IP des Besuchers, Browser usw. Bei Absenden des Kommentars wird dieser geprüft – folgen viele Einträge von derselben IP schnell aufeinander, kann dies z. B. ein Hinweis auf eine Spamattacke sein, welche von dem Plugin automatisch abgewehrt wird.

Ich bin gespannt, ob Captcha-Free hält, was es verspricht. Benutzerfreundlicher ist es allemal.

Themen: Wordpress | 4 Kommentare »

E-Mail Adressen sind noch immer beliebtes Ziel von Spam. Wer seine E-Mail Adresse frei lesbar auf einer Website hinterlässt, lädt Spammer geradezu ein, ihn mit Werbemails zu bombardieren. Ganz zu schweigen, wenn die Adressen bei Twitter und Co. veröffentlicht werden.

Doch manchmal möchte man einfach seine E-Mail Adresse mit anderen teilen.

Nutzen Sie dann doch einfach scr.im – hier kann für jede beliebige E-Mail Adresse eine kurze Webadresse erzeugt werden, die auf die scr.im Website zeigt. Solange verfügbar, können Sie sogar selbst auswählen, wie die Adresse lauten soll. scr.im erzeugt Ihnen dann auch einen einsatzbereiten Link für Ihre E-Mail Adresse (für die Einbettung in Website-Code) und ein Codeschnippsel, den Sie für die Veröffentlichung der Mail-Adresse in einem Forum verwenden können.

Der scr.im Link fungiert dann als Synonym für die E-Mail Adresse und kann bedenkenlos veröffentlicht werden. Interessiert sich jemand für die “richtige” E-Mail Adresse, muss er bei scr.im zunächst nachweisen, dass er kein Spamrobot ist, sondern ein echter Mensch. Anschließend zeigt scr.im ihm die E-Mail Adresse an und lässt sie auch direkt kopieren.

Meine E-Mail Adresse finden Sie unter http://scr.im/bettina.

Wie schützen Sie Ihre Mailadresse?

Themen: Inspirationen, Sicherheit | Noch kein Kommentar »

Auf den ersten Blick macht die Einrichtung eines zweiten Shops erstmal nur mehr Aufwand. Eine zweite Datenbank muss angelegt und ggf. gepflegt werden. Das komplette Verzeichnissystem muss dupliziert werden und am Ende müssen diverse Parameter im Shopsystem angepasst werden, damit der Testshop ordentlich (und unabhängig vom Produktivshop) läuft. Änderungen müssen fortan immer in beiden Systemen eingespielt werden, um sie konsistent zu halten.

Ist dieser Aufwand gerechtfertigt?

Wenn Sie es mit Ihrem Shop ernst meinen, gibt es dafür nur eine Antwort: Ja.

» Weiterlesen

Themen: Oxid eShop, Sicherheit | Noch kein Kommentar »