Autor: admin

Veröffentlicht am

Verschärfte Sicherheitswarnungen in Google Chrome

Mit der im Oktober erscheinenden Version 62 wird der gegenwärtig am weitesten verbreitete Internet-Browser Google Chrome für sämtliche unverschlüsselt übertragenen Benutzereingaben auf Webseiten (z.B. Kontaktformulare oder Suchfelder) eine Sicherheitswarnung anzeigen. Die Warnung wird dabei nicht sofort beim Laden der Webseite angezeigt, sondern erst, sobald Daten in ein Feld eingegeben werden. Bisher wurde eine solche Warnung nur bei der unverschlüsselten Übertragung von Passwörtern oder Kreditkartennummern angezeigt. Es ist zu erwarten, dass andere Browser bald nachziehen werden.

Um eine Webseite verschlüsselt per HTTPS aufrufen zu können, ist ein SSL-Zertifikat erforderlich. In vielen unserer Webhosting-Pakete ist bereits ein SSL-Zertifikat (Let’s Encrypt bzw. Comodo) inklusive. Als Reseller können Sie Let’s Encrypt-Zertifikate für 3,- Euro pro Jahr pro Domain (mit maximal 99 Subdomains) erhalten.

Zur Einrichtung von SSL-Zertifikaten wenden Sie sich bitte an unsere Kundenbetreuung.

Veröffentlicht am

PHP 7.2 RC1 verfügbar

Ab sofort steht auf unseren Webservern der erste Release Candidate der neuen PHP-Version 7.2 zu Testzwecken zur Verfügung. Bitte beachten Sie, dass es sich dabei um eine Vorabversion handelt, die noch einige Fehler enthalten kann, sie sollte daher nicht für den Produktiveinsatz genutzt werden. Die endgültige und für den Produktiveinsatz freigegebene Version von PHP 7.2 erscheint voraussichtlich gegen Ende November dieses Jahres.

Änderungen zur Vorgängerversion 7.1

Grundsätzlich fallen die Änderungen an bestehenden Funktionen im Vergleich zur Vorgängerversion PHP 7.1 geringfügig aus, so dass die meisten aktuellen PHP-Anwendungen auch unter PHP 7.2 lauffähig sind. Eine Übersicht über alle Änderungen finden Sie hier.

Wir konnten in ersten Tests einen kleinen Geschwindigkeitsvorteil von bis zu 10% zugunsten der neuen PHP-Version feststellen.

Eine wichtige Änderung ist die Entfernung der veralteten Verschlüsselungs-Extension Mcrypt, statt dessen sollte die neu hinzugefügte Extension Sodium genutzt werden.

PHP 7.2 aktivieren

Sie können PHP 7.2 wie üblich per .htaccess-Datei mittels folgender Direktive aktivieren:
AddHandler application/x-httpd-php72 .php
Die Aktivierung über das Kundenmenü wird erst möglich sein, sobald die finale Version von PHP 7.2 offiziell veröffentlicht wird.

Veröffentlicht am

Probleme bei der Installation von Joomla

Aufgrund eines Programmierfehlers im Installer der aktuellen Joomla-Version 3.7.4 lässt sich diese nicht auf unseren Webservern installieren. Die Fortschrittsanzeige bei der Installation bleibt bei etwa 10% stehen, dann passiert nichts mehr.

Der Fehler ist den Joomla-Entwicklern bekannt und wird in der nächsten Joomla-Version behoben. Bitte nutzen Sie für eine Neuinstallation von Joomla bis dahin die Vorgängerversion 3.7.3 und nehmen dann ein Update auf die aktuelle Joomla-Version vor.

Update

Der Fehler wurde in der neuen Joomla Version 3.7.5 behoben.

Veröffentlicht am

HTTP/2 auf unseren Webservern verfügbar

Unsere Webserver unterstützen ab sofort HTTP/2. Dabei handelt es sich um eine verbesserte Version des HTTP-Protokolls, mit dem Webseiten von unseren Webservern zu Ihrem Browser übertragen werden. HTTP/2 basiert auf dem von Google entwickelten SPDY-Protokoll, dessen Weiterentwicklung zugunsten von HTTP/2 eingestellt wurde.

Vorteile von HTTP/2

Die wichtigste Neuerung in HTTP/2 ist, dass nun mehrere Elemente einer Webseite gleichzeitig über eine einzige Verbindung übertragen werden können (Multiplex). Zuvor war für jedes einzelne Element einer Webseite eine eigene Verbindung erforderlich, deren Aufbau durch Netzwerklatenzen immer einige Zeit in Anspruch nimmt. Bei Webseiten mit sehr vielen Elementen kann HTTP/2 daher zu einer Verbesserung der Ladezeit führen. Auch bei Mobilfunkverbindungen (z.B. EDGE, UMTS, LTE) kann HTTP/2 die Ladezeit reduzieren, da die Netzwerklatenzen hier besonders hoch ausfallen.

Voraussetzungen für HTTP/2

HTTP/2 wird von praktisch allen aktuellen Web-Browsern unterstützt, es sind keine Anpassungen an Ihren Webseiten erforderlich. Browser ohne HTTP/2-Unterstützung nutzen automatisch die vorigen Protokollversionen HTTP/1.1 bzw. HTTP/1.0, die von unseren Webservern auch weiterhin unterstützt werden.

HTTP/2 kann jedoch nur bei verschlüsselten HTTPS-Verbindungen genutzt werden, für die ein gültiges SSL-Zertifikat benötigt wird. Ein solches SSL-Zertifikat ist in vielen unserer Hosting-Pakete bereits inklusive, zur Einrichtung von SSL-Zertifikaten für Ihre Webseiten wenden Sie sich bitte an unsere Kundenbetreuung.

Browser mit HTTP/2-Unterstützung

  • Apple Safari ab Version 9
  • Google Chrome ab Version 40
  • Microsoft Edge
  • Microsoft Internet Explorer ab Version 11
  • Mozilla Firefox ab Version 36

Update: Probleme mit Node.js

Durch die Aktivierung von HTTP/2 wurden von der Webserver-Software Apache automatisch HTTP-Upgrade-Header generiert, die zu Problemen mit älteren Node.js-Versionen geführt haben. Diese Header wurden nur bei verschlüsselten HTTPS-Verbindungen mit der alten Protokollversion HTTP/1.1 gesendet, und sollen die Unterstützung für HTTP/2 durch den Webserver bekanntgeben. Die Upgrade-Header sind jedoch nicht erforderlich, da wir HTTP/2 nur für verschlüsselte HTTPS-Verbindungen nutzen, und die Unterstützung für HTTP/2 in diesem Fall bereits bei der Aushandlung der Verschlüsselung mitgeteilt wird (ALPN).  Wir haben diese problematischen HTTP-Header daher nun entfernt.

Veröffentlicht am

Angriffe auf veraltete Joomla-Installationen

Seit Beginn dieses Jahres beobachten wir zahlreiche Angriffe auf veraltete Joomla-Installationen auf unseren Webservern. Betroffen sind alle Joomla-Installationen, die noch nicht den aktuellen Versionszweig 3.6 nutzen. Sämtliche dieser älteren Versionen werden nicht mehr von den Joomla-Entwicklern unterstützt und weisen diverse kritische Sicherheitsprobleme auf, die nicht mehr durch Updates behoben werden. Angreifer können so beispielsweise Ihre Webseiten mit JavaScript-Schadcode versehen oder in Ihrem Namen Spam versenden. Bisherige Angriffe auf ältere Joomla-Installationen wurden meistens durch unsere Webserver-Firewall abgewehrt, doch in den aktuellen Fällen ist es den Angreifern gelungen, unsere Schutzmaßnahmen zu überwinden und so die Sicherheitslücken in Joomla auszunutzen.

Leider ist eine Aktualisierung älterer Joomla-Installationen sehr Aufwändig, häufig treten dabei auch Probleme auf. Falls Ihre Joomla-Installation nach einem Update nicht mehr funktioniert, können sie ein Backup vom Webspace und der MySQL-Datenbank einspielen.

Joomla 1.0 und 1.5 aktualisieren

Ein Update der Versionen 1.0 und 1.5 auf 3.6 ist leider nicht so einfach möglich, da beim Schritt vom Version 1.5 auf 1.6 diverse nicht abwärtskompatible Änderungen an Joomla vorgenommen wurden, so lassen sich etwa bestehende Templates nicht mehr weiter nutzen. In diesem Fall ist eine aufwändige Migration der alten Daten in eine neue Joomla-Installation mithilfe von kostenpflichtigen Extensions erforderlich. Aufgrund der Vielzahl an möglichen Problemen bei der Migration empfiehlt es sich, einen spezialisierten Joomla-Dienstleister mit dem Update zu beauftragen. Aufgrund des hohen Aufwandes kann es in vielen Fällen sinnvoller sein, eine neue Webseite mit der aktuellen Joomla-Version oder einem anderen Content-Management-System wie WordPress aufzusetzen.

Falls Sie trotz der möglichen Probleme ein Update von Joomla 1.5 selbst vornehmen möchten, empfehlen wir, zunächst eine Neuinstallation von Joomla in Version 2.5 vorzunehmen, und die Daten aus der alten Joomla-Installation dann mittels der kostenlosen Extension redMigrator in die neue Installation zu importieren (der Zwischenschritt auf Joomla 2.5 ist notwendig, da die Extension unter neueren Joomla-Versionen nicht mehr funktioniert). Abschließend können Sie die neue Joomla-Installation dann wie oben beschrieben auf die aktuelle Version 3.6 aktualisieren.

Joomla 1.6 und neuer aktualisieren

Falls Sie Joomla in Version 1.6 nutzen, prüfen Sie zunächst, ob Ihre Joomla-Installation bereits auf die letzte Version 1.6.6 dieses Versionszweiges aktualisiert wurde. Falls nicht, laden Sie ein passendes Patch-Package herunter, entpacken es und kopieren die Inhalte dann per (S)FTP in das Joomla-Installationsverzeichnis auf Ihrem Webserver. Danach können Sie Joomla über das Backend wie im Folgenden beschrieben updaten:

Falls Sie Joomla Version 1.6.6 oder neuer nutzen, können Sie die Updates per Web-Browser über das Joomla-Backend vornehmen. Beachten Sie bitte, dass dabei unter Umständen Kompatibilitätsprobleme mit Templates und Zusatzkomponenten von Drittanbietern auftreten können, vor dem Update müssen daher alle nicht mit Joomla 3.6 kompatiblen Erweiterungen von Drittanbietern deinstalliert werden. Eine detaillierte Anleitung zum Update finden Sie hier. Das Update erfordert unter Umständen mehrere Zwischenschritte, bis die aktuelle Version 3.6 erreicht ist.

Aktuelle PHP-Version nutzen

Manche Sicherheitslücken in PHP-Anwendungen wie Joomla lassen sich nur im Zusammenspiel mit veralteten PHP-Versionen ausnutzen. Wir empfehlen daher, eine möglichst aktuelles PHP ab Version 5.6 einzusetzen. PHP-Versionen älter als 5.6 sollten nur bei Kompatibilitätsproblemen genutzt werden. Eine Anleitung zur Auswahl einer PHP-Version finden Sie hier.

Sicherheits-Hotfixes für alte Joomla-Versionen

Falls ein sofortiges Update Ihrer Joomla-Installation nicht möglich ist, sollten Sie wenigstens die von den Joomla-Entwicklern empfohlenen Sicherheits-Hotfixes installieren.

Installation der Hotfixes für Joomla 2.5

Prüfen Sie zunächst, ob Ihre Joomla-Installation bereits auf die letzte Joomla 2.5 Version 2.5.28 aktualisiert wurde. Falls nicht, melden Sie sich als Administrator im Joomla-Backend an und nehmen dort  unter “Joomla!-Aktualisierung” ein Update vor. Anschließend installieren sie die beiden Sicherheits-Hotfixes wie folgt:

Die Datei Joomla2.5.28-20161214PATCH.zip wird über den Joomla Extension Manager als Update-Paket installiert. Nach der Installation erfolgt automatisch ein Logout, es gibt keine weitere Rückmeldung, ob die Installation erfolgreich war.
Die Datei SessionHardening25v1.zip enthält aktualisierte Versionen der Dateien libraries/joomla/session/session.php und plugins/system/debug/debug.php. Entpacken Sie die ZIP-Datei auf Ihrem Rechner und übertragen Sie die entpackten Verzeichnisse dann per (S)FTP in die entsprechenden Verzeichnisse Ihrer Joomla-Installation auf dem Webserver.

Installation der Hotfixes für Joomla 1.5

Prüfen Sie zunächst, ob Ihre Joomla-Installation bereits auf die letzte Joomla 1.5 Version 1.5.26 aktualisiert wurde. Falls nicht, laden Sie ein passendes Patch-Package herunter, entpacken es und kopieren die Inhalte dann per (S)FTP in das Joomla-Installationsverzeichnis auf Ihrem Webserver. Anschließend installieren sie die beiden Sicherheits-Hotfixes wie folgt:

Die Datei UploadFix15v3.zip enthält aktualisierte Versionen der Dateien administrator/components/com_media/helpers/media.php und libraries/joomla/filesystem/file.php. Entpacken Sie die ZIP-Datei auf Ihrem Rechner und übertragen die entpackten Verzeichnisse dann per (S)FTP in das Hauptverzeichnis Ihrer Joomla-Installation auf dem Webserver.
Die Datei SessionFix15v2.zip enthält aktualisierte Versionen der Dateien libraries/joomla/session/session.php und plugins/system/debug/debug.php. Entpacken Sie die ZIP-Datei auf Ihrem Rechner und übertragen die entpackten Verzeichnisse dann per (S)FTP in das Hauptverzeichnis Ihrer Joomla-Installation auf dem Webserver.

Veröffentlicht am

PHP-Version im Kundenmenü einstellbar

Ab sofort können Sie die für Ihre Webseiten genutzte PHP-Version mit zwei Klicks über unser Kundenmenü einstellen. Sie finden die neue Option im Menüpunkt “PHP”, der sich unter den Einstellungen Ihres Hosting-Pakets befindet. Die Einstellung gilt für alle Domains in Ihrem Hosting-Paket, eine Auswahl unterschiedlicher PHP-Versionen für einzelne Domains eines Pakets ist momentan noch nicht möglich.

Die Auswahl der PHP-Version ist jetzt im Kundenmenü möglich.

Sie können die PHP-Version auch wie gehabt per .htaccess-Konfigurationsdatei auf dem Webserver festlegen, diese Einstellung überschreibt dabei die im Kundenmenü gewählte PHP-Version. Auf diese Weise können Sie weiterhin für verschiedene Domains/Verzeichnisse unterschiedliche PHP-Versionen nutzen.

Die aktuell für Ihre Webseite konfigurierte PHP-Version können Sie über den PHP-Befehl phpinfo() ermitteln. Laden Sie dazu einfach unser vorgefertigtes PHP-Script herunter, das Sie dann per (S)FTP im gewünschten Webspace-Verzeichnis ablegen und dort über Ihren Web-Browser aufrufen (z.B. http://meine-domain.de/info.php).

Veröffentlicht am

SMTP-Server bei Proofpoint geblacklistet

Unser primärer SMTP-Postausgangsserver smtp.variomedia.de (bzw. smtp.securehost.de) wird seit gestern immer wieder für einige Stunden auf der Proofpoint Blacklist aufgeführt; dadurch können E-Mails an einige bekannte Anbieter wie z.B. Apple momentan nicht immer zugestellt werden. Sie erhalten dann von unserem Mail-Server eine Fehlermeldung wie:

554 Blocked - see https://ipcheck.proofpoint.com/?ip=81.28.224.28

Wir können momentan nicht sagen, was zu den Sperrungen führt, da es bisher keine brauchbaren Information von Proofpoint dazu gibt. Der betroffene SMTP-Server wird auf keiner anderen seriösen Blacklist aufgeführt, wir gehen daher von einem Fehler bei Proofpoint aus. Leider können wir nur abwarten, bis Proofpoint auf unsere Beschwerde reagiert.

Falls Sie von der Sperrung betroffen sind, können Sie alternativ unser Webmail oder unseren zweiten SMTP-Server smtp2.variomedia.de (bzw. smtp2.securehost.de) zum Versenden von E-Mails nutzen, bis der primäre SMTP-Server dauerhaft von dieser Blacklist entfernt wurde.

Update

Seit dem 14.02. ist kein erneutes Blacklisting durch Proofpoint mehr erfolgt. Wir haben die Konfiguration unserer SMTP-Server weiterhin so überarbeitet, dass mehrere unterschiedliche IP-Adressen zum Senden von E-Mails genutzt werden. Dadurch reduziert sich die Anzahl der gesendeten E-Mails pro IP-Adresse, wodurch ein Blacklisting bei Anbietern wie Proofpoint weniger wahrscheinlich ist.

Veröffentlicht am

SFTP für virtuelle FTP-Benutzer

Bisher konnten virtuelle FTP-Benutzer nur unverschlüsselte FTP-Verbindungen und kein verschlüsseltes SFTP nutzen, dies war nur für den FTP-Hauptbenutzer möglich. Da unverschlüsselte FTP-Verbindungen aus Sicherheitsgründen nicht mehr benutzt werden sollten, bieten wir ab sofort SFTP auch für virtuelle FTP-Benutzer über den TCP-Port 2222 an. Für weitere Informationen beachten Sie bitte den zugehörigen FAQ-Artikel.

Hintergründe

Der SFTP-Dienst wurde bisher nicht mittels des von uns für FTP-Verbindungen genutzten Dienstes ProFTPD realisiert, sondern über den SSH-Dienst OpenSSH, der im Gegensatz zu ProFTPD keine virtuellen Benutzer unterstützt. ProFTPD unterstützt zwar grundsätzlich auch SFTP-Verbindungen, allerdings kann OpenSSH nicht einfach durch ProFTPD ersetzt werden, da OpenSSH noch weitere Funktionen wie z.B. eine Login-Shell bereit stellt, auf die wir nicht verzichten können. Weiterhin war die SFTP-Unterstützung in ProFTPD in der Vergangenheit noch sehr fehlerbehaftet, es kam z.B. häufig zu Problemen beim Verbindungsaufbau. In der aktuellen ProFTPD-Version sind diese Fehler jedoch weitgehend behoben, so dass einem Produktiveinsatz nun nichts mehr im Wege steht.

Um SFTP für virtuelle FTP-Benutzer zu realisieren, nutzen wir den TCP-Port 2222, da der Standard-Port 22 bereits vom SSH-Dienst belegt ist. Sie können SFTP-Verbindungen sowohl für den FTP-Hauptbenutzer als auch für alle virtuellen Benutzer über diesen Port nutzen (der FTP-Hauptbenutzer kann jedoch auch weiter den Standard-Port 22 für SFTP nutzen).

Veröffentlicht am

PHP 7.1 verfügbar

Auf unseren Webservern steht ab sofort die heute (02.12.2016) neu erschienene PHP-Version 7.1 zur Verfügung.

Vorteile von PHP 7.1

Bei der Entwicklung von PHP 7.1 wurden hauptsächlich kleinere Verbesserungen und Funktionserweiterungen vorgenommen. Für Endanwender interessant sind die möglichen Performance-Steigerungen durch den Wechsel auf PHP 7.1, diese belaufen sich auf bis zu 10% verglichen mit PHP 7.0.

Unterschiede zu PHP 7.0

Eine Übersicht über die Änderungen im Vergleich zur Vorgängerversion PHP 7.0 finden Sie hier. Grundsätzlich fallen die Unterschiede relativ gering aus, dennoch kann es bei einigen Anwendungen zu Kompatibilitätsproblemen kommen. So gibt es beispielsweise noch einige Probleme mit WordPress und PHP 7.1, die mit der voraussichtlich am 6.12. erscheinenden WordPress-Version 4.7 behoben werden.

PHP 7.1 aktivieren

Sie können PHP 7.1 für Ihre Webseiten wie üblich per .htaccess-Datei mittels folgender Direktive aktivieren:

AddHandler application/x-httpd-php71 .php

Veröffentlicht am

PHP 7.1 RC6 verfügbar

Auf unseren Webservern steht ab sofort der neueste und voraussichtlich letzte Release Candidate von PHP Version 7.1 zu Testzwecken zur Verfügung. Bitte beachten Sie, dass es sich noch um eine Vorabversion handelt, die nicht für den Produktiveinsatz gedacht ist. Sofern keine unerwarteten Probleme auftreten, wird PHP 7.1 planmäßig gegen Ende dieses Monats erscheinen.

Sie können PHP 7.1 wie üblich per .htaccess-Datei mittels folgender Direktive aktivieren:
AddHandler application/x-httpd-php71 .php

Eine Übersicht über die Änderungen im Vergleich zu Version 7.0 finden Sie hier. Da die Unterschiede zwischen Version 7.0 und 7.1 sehr gering sind, funktionieren die meisten zu PHP 7.0 kompatiblen Anwendungen auch problemlos mit PHP 7.1. Bei einigen bekannten PHP-Anwendungen wie z.B. WordPress können jedoch noch Probleme auftreten, für diese Anwendungen werden demnächst Updates erscheinen, um diese Probleme zu beheben.

Beim Umstieg von PHP 7.0 auf 7.1 sind keine so großen Performance-Sprünge wie beim Umstieg von Version 5.6 auf 7.0 zu erwarten, wir konnten in ersten Tests immerhin eine bis zu 10% höhere Ausführungsgeschwindigkeit im Vergleich zur Vorgängerversion feststellen.