Markus, Autor bei goneo Blog

12. Dezember 202317. Januar 2024

ARC verhilft weitergeleiteten E-Mails in die Inbox

Wir haben die E-Mailzustellung mit ARC insbesondere zu Gmail-Accounts verbessert. Das kommt dann zum Tragen, wenn Mails automatisch zu Gmail weitergeleitet werden.

Diese Art der Weiterleitung durch den Mailserver wird gerne genutzt, wenn man zum Beispiel bei längeren Abwesenheiten eingehende Mails an einen Kollegen oder eine Kollegin weiterleiten will.

GMail hat offenbar eine sehr strikte SPF-Policy und neigt dazu, weitergeleitete Mails einfach abzulehnen. Dies ist ungut, aber wir haben eine Lösung implementiert.

8. Dezember 2023

WordPress Release 6.4.2 löst kritisches Problem – jetzt updaten

Webdesigner im Homeoffice arbeitet mit Hochdrukc an einem Problem. Seine Freundin ist auch da.

Erneut innerhalb eines recht kurzen Zeitraums rollt WordPress Org ein neues Release für sein CMS/Blog-System aus. User, die die automatische Update-Funktion deaktiviert haben, sollten schnell das Update von Hand anstoßen.

Auf der WordPress-Seite heißt es eher lapidar und ist sehr relativierend formuliert:

„Es handelt sich um eine Remote Code Execution-Sicherheitslücke, die im Kern nicht direkt ausnutzbar ist. Das Sicherheitsteam ist jedoch der Meinung, dass in Verbindung mit bestimmten Plugins, insbesondere in Multisite-Installationen, ein hohes Gefährdungspotenzial besteht.“
https://wordpress.org/news/2023/12/wordpress-6-4-2-maintenance-security-release/

Mehrere Onlinemedien berichten, dass es unter Umständen gelänge, beliebigen Code auszuführen, was man dann schon wieder kritisch nennen würde. Dabei müsste ein Hacker eine separate Object Injection-Schwachstelle finden, vielleicht in einem Plugin. Im WordPress-Code. Wordfence berichtete Details über die Voraussetzungen, unter denen ein Angriff gelingen kann, der von einigen Methoden und Eigenschaften auf Codeebene herrührt. Genannt werden da die “on_destroy-” und “bookmark_name”-Eigenschaften.

Daher sollte jeder WordPress-Seitenbetreiber sicherstellen, die Lücke zu schließen und die Releaseummer zu überprüfen.

6. Dezember 20236. Dezember 2023

Der erweiterte Modus im goneo-Kundencenter -wozu das?

Häufige Fragen von Kunden, die wir neu bei uns begrüßen

Frage: Wozu brauche ich den erweiterten Modus?
Daniel, neuer Webhosting-Kunde bei goneo seit November 2023

Der erweiterte Modus ist eine Sicherheitsbarriere, die wir eingezogen haben, wenn es darum geht, besonders sensible Angaben zu ändern. Dazu gehört zum Beispiel das Anlegen eines neuen E-Mail-Kontos.

Hintergrund: Einige der zahlreichen Phishingangriffe waren erfolgreich. Dadurch wurden auch von einigen goneo-Kunden die Kundennummern und Passwörter bekannt. Mit diesen Angaben haben sich Cyberkriminelle ins Kundencenter eingeloggt und haben dann – ohne dass der Seitenbetreiber davon etwas merkte – neue E-Mailkonten angelegt und darüber viel Spam versendet. Dies wurde von Antispam-Dienstleistern bemerkt, so dass dies dann auf den Seitenbetreiber zurückfiel.

Daher ist der extra Schutz nötig geworden. Will man also eine sensible Einstellung ändern, fragt unser System nach einem weiteren Code, der per E.-Mail an die Adresse unseren Vertragspartners zugeschickt wird.

Übrigens lässt sich auch die Zwei-Faktor-Authentifizierung für das Kundencenter aktivieren. Eine Überprüfung für den erweiterten Modus entfällt dann.

Hier weitere Informationen in diesem Video, das unseren neuen Kunden den Start erleichtern soll:

6. Dezember 2023

PHPMyAdmin ohne Kundencenter

Häufige Fragen von Kunden, die gerade neu bei goneo sind

Ich habe noch keinen Zugriff auf das Hosting, ist es möglich, eine Verbindung zu phpmyadmin außerhalb des Panels herzustellen? in einer geraden Linie.
UserIn ‚treststres‘

Grundsätzlich ist PHPMyAdmin über den Browser zugänglich. Wenn man keinen Zugriff auf das Kundencenter hat, von wo aus man die Anwendung mit einem Klick aus dem Menü starten kann, müsste man wissen, wie der Server heißt, wie de Datenbank benannt ist und welches Passwort man vergeben hat. Dann braucht man sich nicht im Kundencenter anzumelden.

Für die Zeit zwischen Bestellung und Bereitstellung gilt allerdings, dass noch gar keine Serverdaten generiert worden sind. Daher wird der Zugriff auch noch nicht funktionieren.

6. Dezember 20236. Dezember 2023

Sicherheitsproblem mit MW WP Form

A groud of cyber soldiers fight against a hord of big bugs insidea of an oververdimensional server with cpu, memory units, a cooling fan and cables in the background. DALL E3

Beim recht populären WordPress-Plugin MW WP Form hat Wordfence, spezialisierter Betreiber von Sicherheitserweiterungen für WordPress, eine eklatante Sicherheitslücke gefunden, die hier beschrieben ist (engl.):
https://www.wordfence.com/blog/2023/12/update-asap-critical-unauthenticated-arbitrary-file-upload-in-mw-wp-form-allows-malicious-code-execution/

Weltweit dürften so 200.000 MW WP Form Plugins installiert sein.

Schon am 24. November 2023 hat das Wordfence-Team eine Schwachstelle gefunden. Mit ihr soll es demnach möglich sein, auch ohne Anmeldung oder Authentifizierung beliebige Dateien hochzuladen.

Beliebiger Datei-Upload unter Umständen möglich

In der etwas verquasten und nebulösen Sprache, in der Probleme mit Systemen und eventuell vorhandene Lösungen gerne beschrieben werden, heißt es, man habe seitens Wordfence danach „den Prozess der verantwortungsbewussten Offenlegung eingeleitet.“ Das heißt: Man hat den Hersteller des Plugins, Web-Soudan, kontaktiert und umgehend Antwort erhalten. Am 29.November 2023 erschien eine gepachte Version, die das Problem beseitigte.

Angreifer hätten beliebige Dateien, einschließlich PHP-Dateien, hochladen können und Schadcode ausführen können, wenn die Option „Anfragedaten in der Datenbank speichern“ in den Einstellungen des Plugins aktiviert ist.

Plugin-Update dringend empfohlen

Alle Nutzer des MW WP Plugins sollten ihre Websites so schnell wie möglich mit der neuesten gepatchten Version von MW WP Form ausstatten. Dies sollte mit WordPress und der Pluginverwaltung möglich sein. Das aktualisierte Release trägt die Versionsnummer 5.0.2.

4. Dezember 20234. Dezember 2023

Sicherheitslücken in Joomla gefunden

In einem „Security-Announcement“ teilt Joomla mit, dass folgende Versionen von Joomla Sicherheitsprobleme aufweisen, die dazu unter Umständen dazu führen können, dass auch sensible Informationen ungewollt veröffentlicht werden:

Die betroffen Releases tragen die Versionsnummern: 1.6.0 bis 4.4.0 sowie 5.0.0, die bislang aktuellste Hauptversion.

Joomla 1.6 ist aus dem Jahre 2011. Die Hauptreleases Joomla 3, Joomla 2.5, Joomla 1.5 und Joomla 1.0 gelten als „nicht mehr unterstützt„, erhielten aber Fixes ab 3.10 für Releases im Extended Long Term Support (ELTS).

So wird die Sicherheitslücke bewertet

Die Wahrscheinlichkeit wird als gering dargestellt, dafür sind die möglichen Schadwirkungen und die Schwere des Problems groß. Es gibt in Joomla einen Parser-Prozess für Sprachdateien. Dieser könnte manipuliert werden, um Umgebungsvariablen freizulegen. Diese Umgebungsvariablen können sensible Informationen enthalten. Dies sind Variablen in der Software der Webanwendung, die Pfade oder Daten beinhalten. Damit können geheime Informationen für Erweiterungen und externe Aufrufe gespeichert werden.

Es handelt sich für gewöhnlich um einfache Zeichenketten, nicht um Programmcode, doch könnten diese eben auch zum Beispiel Zugangsinformationen für externen Dienste beinhalten.

Fixes und Empfehlungen

Allerdings sind die Probleme schon behoben:Seit 21.11.2023 gibt es eine Lösung. Joomla empfiehlt je nach Anwendungsversion ein sofortiges Upgrade auf die Joomla-Releases 3.10.14-elts, 4.4.1 beziehungsweise 5.0.1.

Bildquelle: Joomla!
https://www.joomla.org/announcements/release-news/5901-joomla-5-0-1-and-4-4-1-security-and-bug-fix-release.html

28. November 202328. November 2023

Warum ist der „Goldene Schnitt“ so schön?

Dalle E3 "short haired blond authentic female webdesigner explains a group of managers what the Golden Cut is all about with an example.^"

1 : 1,618

Diese Aufteilung, die den „Goldenen Schnitt“ widerspiegelt, wird vielen Menschen als besonders harmonisch empfunden.

Designer sagen: Die menschliche Aufnahmefähigkeit ist begrenzt. Mit Kompositionsprinzipien kannst du deine Designs auf das Wahrnehmungsvermögen und das ästhetische Empfinden des Betrachters abstimmen.

Wenn die Prozentzahlen für dich anschaulicher sind: In Prozent ausgedrückt ergibt sich das Verhältnis:

a ≈ 61,8 %

b ≈ 38,2 %

Am einfachsten lässt sich das mit dieser Beziehung ausdrücken:

(a+b)/a = a/b oder a = b/2 * (1 + sqr(5) )

Wenn die Streckenlängen a und b (beide größer 0 und a>b) die Gleichung erfüllen, hat man einen „goldenen Schnitt“ gefunden.

Funktioniert der Goldenen Schnitt?

Warum aber wirkt der Goldenen Schnitt harmonisch? Man erklärt sich das so:

Bei zwei Dingen, die sich größenmäßig zueinander im „Goldenen Schnitt“ verhalten, entspricht das Verhältnis der Summe beider zur größeren Einheit dem Verhältnis der größeren Einheit zur kleineren Einheit. Das lässt sich leichter wahrnehmen.

Vielleicht ist die „Goldene-Schnitt“-Aufteilung auch angenehm, weil das inhaltliche Zentrum des Bildes betont wird, indem es aus der Mitte gerückt wird. Als Mensch bevorzugt man das Zentrum eines Objekts beim Wahrnehmen.

Das Größenverhältnis kommt in der Natur vor, etwa bei der Struktur von Blüten und Blütenblättern, so dass man annehmen kann, dass diese Struktur im Gehirn vorgeprägt ist, da oft gesehen und somit als gewohnt wahrgenommen wird. Alles, was gewohnt ist, wirkt angenehmer als Ungewohntes, so die These.

Fibonacci-Zahlenfolge

Das Größenverhältnis, das wir im „Goldenen Schnitt“ wahrnehmen, findet sich auch z.B. bei manchen Wachstumsprozessen, die als Folge von Zahlen mit der sogenannten Fibonacci-Folge modelliert werden können.

Es handelt sich bei der Fibonacci-Folge um ganze Zahlen, die sich aus einer bestimmten rekursiven Additionsvorschrift ergeben: Dabei werden fortlaufend zwei Zahlen addiert, und zwar sind dies jeweils die Summen der letzten und der vorletzten Zahl einer Zahlenfolge. Man beginnt gewöhnlich mit 1 beginnt (die beiden ersten Werte der Zahlenfolge werden mit 1 vorgegeben; ab der dritten Zahl lässt sich gut ein Algorithmus formulieren):

Addiere 0 +1
Summe: 1

Addiere 1 +1
Summe: 2

Addiere 1 + 2
Summe: 3

Addiere 2 + 3
Summe: 5

Addiere 3 + 5
Summe: 8

… und so weiter. Das ergibt eine Zahlenfolge mit schnell steigenden Werten 1, 1, 2, 3, 5, 8, 13, 21, 34, 55, 89, 144, 233, 377, 610, 987, 1597, 2584, 4181, 6765 …

Schon Johannes Kepler hat festgestellt, dass die Quotienten zweier aufeinanderfolgender Fibonacci-Zahlen (größer als 3) dem Wert entsprechen der sich aus dem Goldenen Schnitt 1 : 1,618 ergibt .

Dies zeigt sich auch, wenn man die Fibonacci-Folge visuell darstellt, zum Beispiel als Quadrate mit entsprechender Kantenlänge und sie gezielt nebeneinander beziehungsweise übereinander anordnet. Wenn man dann Viertelkreise in diese Quadrate einzeichnet mit einem Eck des jeweiligen Quadrats und als Radius die Kantenlänge wählt, erhält man die Kreisbögen als Linien, deren Punkte auf dem „Goldenen Schnitt“ liegen.

Fazit

Es scheint eine mathematische Modellierung für Ästhetik zu geben, ist im Wissenschaftsmagazin Spektrum zu lesen, zumindest wenn es um die Anordnung von Bildelementen auf einer Fläche geht. Man hat versucht, in Experimenten zu zeigen, dass der „Goldene Schnitt“ ein Rezept für Schönheit an sich darstellt und Gesichter von Schauspielern oder auch Hunde verschiedener Rassen mit einem solchen Raster hinsichtlich ihrer visuelle Ästhetik zu messen und zu vergleichen. Bewiesen ist das jedoch nicht.

28. November 202328. November 2023

User fragt: „Ich habe verglichen. Wie kann euer Webhosting so günstig sein?“

dalle 3 : "A group of software developers are working on a news release of php code. Their supervisor came in and told them they should stop working on it because there is something new."

Die Antwort auf die Frage, warum unsere Webhosting-Paket so günstig sein können, geben wir in unserer aktuelle Update-Episode im Youtube-Podcast von goneo.

Die günstigen Webhosting-Angebote von goneo findest du hier.

Außerdem reden wir dort auch über das Thema PHP und das Ende des Lebenszyklus von PHP 8.0 laut der Roadmap von PHP.net.

PHP 8.0 ist am Ende des Lifecycles angekommen. 8.3 wird bis Nov 2027 unterstützt. — PHP.net Roadmap für die Releases von PHP (Quelle: php.net). PHP 8.0 ist am Ende des Lifecycles angekommen.

Außerdem: Wir haben unsere Präsenz im Fediverse wieder reaktiviert, zunächst mit einem Account auf Mastodon: @goneo@mastodon.social.

Gibt es Webhosting-Themen, über die wir mal reden sollten? Schreib uns!

24. November 202324. November 2023

Sicherheitslücken in ownCloud und Nextcloud

Warnung vor Sicherheistlücken in owncloud und Nextcloud

Wenn du ownCloud oder Nextcloud auf dem Server hast, schau dir diese Meldung mal an

https://www.heise.de/…/Cloud-Computing-Software…

Einige Schwachstellen haben das Rating 10 von 10 erhalten (CVSS Score v3).

23. November 202323. November 2023

Der Black Moment bei goneo

Eine nette Tradition, an einem bestimmten, aber ansonsten ganz normalen Tag im Jahr Produkte und Services günstig anzubieten, nämlich am Black Friday. Auch für goneo ein Black Moment.

Wie wäre es mit einem eigenen Domainnamen unter der Top Level Domain. de?

Auch wenn man gerade noch nicht weiß, welches Projekt man damit ausstatten möchte – sichern kann man sich die Domain erst einmal in jedem Fall.

.de Domainregistrierung mit Weiterleitung auf eine bestehende URL und mit Weiterleitung aller E-Mails, die an diese Domain gerichtet sind an eine bestehende E-Mail-Box.

Später lässt sich dieses Domainpaket erweitern auf .de Domain Plus mit Zugriff auf die DNS-Parameter A/AAAA, MX, TXT, SVR und CNAME, so dass zum Beispiel auch ein vorhandener Mailserver verwendet werden kann.

Oder du steigst um auf ein Komplettpaket mit E-Mail-Speicherplatz, IMAP/POP3/SMTP, Spam/Viren-Schutz und Webmailer. Wenn du willst, kannst du dann auch ein Webhosting- oder Serverpaket bei goneo buchen, ohne dass bei einem solchen Upgrade Setupkosten fällig werden würden.

Registriere jetzt deine .de-Domain

Tarif: goneo Domain Start. Monatlicher Tarifpreis nur 0,19 €. Hier unter der Aktionsseite https://goneo.domains ohne zusätzliche Einrichtungsgebühr.

Zahlbar für jeweils 12 Monate im Voraus mit einer Abrechnung.

Tarif enthält Registrierung einer de. Domain, Weiterleitung für Web-Anfragen und E-Mail-Nachrichten an individuell festlegbare Adressen. Wenn Sie Zugriff auf die DNS-Parameter A/AAAA, MX, TEXT, CNAME oder SRV benötigen, nutzen Sie bitte den Tarif Domain Plus für 10 Cent mehr im Monat und einer Setupgebühr von einmalig 3,95 Euro.

Mindestlaufzeit 12 Monate mit automatischer Vertragsverlängerung um weitere 12 Monate, bis der Vertrag mit einer Frist von einem Monat zum Ende der aktuellen Laufzeit in Textform oder im goneo-Kundencenter gekündigt wird.

Es gelten unsere AGB. Wir weisen besonders auf das Widerrufsrecht (Ziff. 10.1 und 10.2) der AGB in Bezug auf die Registrierung der individuellen Domain hin.
Preise inklusive gesetzlicher MwSt.