Thomas Woelfers Baustatik Blog

Baustatik-Software und was sonst des Weges kommt

Betriebssystem-Update wäre jetzt notwendig

Die allermeisten der Baustatik-Anwender verwenden ein “aktuelles” Betriebssystem: Etwa 75% verwenden Windows 7 mit aktuellem Service-Pack, 24% verwenden Windows 81 und Windows 10, und nur 1% verwenden Windows XP oder Windows 8. (Und irgendwo gibt es auch mindestens einen Windows-Vista User…)

Das Windows XP schon seit langem von Microsoft nicht mehr unterstützt wird, darauf habe ich schon mehrfach hingewiesen: Wer noch immer XP benutzt, sitzt eigentlich auf einem einzigen großen Sicherheitsleck, denn es gibt seit langer Zeit keine Sicherheitsupdates mehr für XP, und es wird auch in Zukunft keine geben. Man sollte wirklich updaten.

Seit gestern ist aber auch der Support für Windows 8 ausgelaufen, und wer noch 8 verwendet, sollte schleunigst – mindesten auf 8.1 updaten. Das Update ist kostenlos und über den Windows-Store erhältlich. Mit 8.1 bekommt man dann auch wieder einen langjährigen Support von Microsoft: 8.1 wird bis 2023 unterstützt. Alternativ kann man auch kostenlos auf Windows 10 umsteigen – das gilt übrigens auch für die Windows Vista und Windows 7 Nutzer – in dem Fall gibt es Support bis ins Jahr 2025.

Ich empfehle:

  • Wenn Sie XP verwenden: Ein Update auf Windows 10 durchführen. (Vermutlich ist der Rechner dann auch schon recht alt – es könnte nicht schaden in dem Fall auch mal über neue Hardware nachzudenken.) Unabhängig davon: Sie erhalten bei XP auch keine Updates mehr von uns – und die neuen Baustatik-Versionen können einige sehr interessante Dinge, die man bei XP eben einfach nicht bekommt.
  • Wenn Sie Vista verwenden: Auf Windows 10 updaten
  • Wenn Sie Windows 7 (Mit SP1) verwenden: Man muss nicht zwingend tätig werden. Allerdings gibt es das Update auf Windows 10 zur Zeit noch kostenlos, aber das wird nicht so bleiben. Der Support wird 2020 beenden, mit dem Update auf 10 gewinnt man also außerdem noch 5 Jahre.
  • Wenn Sie Windows 8 verwenden: Auf jeden Fall auf 8.1, oder besser auf 10 updaten.
  • Wenn Sie Windows 8.1 verwenden: Es ist nicht dringend notwendig, etwas zu unternehmen. Es gilt aber auch, das man eben jetzt noch ein kostenloses Update auf 10 bekommt. Außerdem kann man mit 10 definitiv besser arbeiten, als mit 8.1. Ich würde daher updaten.

Details zum Support-Lebenszyklus von Windows finden Sie hier.

Blogs nun auch mit SSL

Wir haben die Umstellung unseres Web-Angebotes auf SSL nun abgeschlossen: Das letzte Problem waren unsere Blogs. Die hatten zwar schon SSL, aber es gab ein Restproblem mit der Blog-Software. Bei der erfolgt die Anzeige aller Bilder nämlich über einen Bilder-Handler. Das bedeutet im wesentlichen, das das Bild nicht direkt als Quelle im IMG-Tag angegeben wird, sondern es wird statt dessen der parametrisierte Handler aufgelistet. Und der ist – zumindest in der Version die wir verwenden- fest kodiert, und zwar mit einer HTTP-URL.

Nun habe ich damals beim einrichten der Blog-Webseite den Fehler gemacht das ganze nicht auf dem Quellcode der Blogsoftware beruhen zu lassen (was gegangen wäre), sondern ich habe die Binäre Distribution verwendet. Das war damals einfacher, macht aber heute Änderungen schwieriger. Mit der Quellcode-Variante hätte man das Programm einfach so ändern können, das es eine HTTP-UPR ausgibt, bei der binären Variante geht das aber leider nicht.

Darum produzierte das Blog weiterhin fröhlich Webseiten, die zwar per HTTPS erreichbar waren, aber ihrerseits Referenzen auf HTTP-URLs verwendete. Wegen diese Referenzen wurden die Blog-Beiträge darum von allen Browsern als nicht vollständig sicher eingestuft (zu Recht) – und die Adressleiste enthielt darum auch nicht die “grüne” Farbe bzw. das Schloss-Symbol, mit dem die sichere Verbindung gekennzeichnet wird.

Das ist aber nun geklärt- und auch die Blog-Seiten und Beiträge sind vollständig per SSL erreichbar. (Anders als auf der normalen Webseite www.die.de erzwingen wir aber zur Zeit die sichere Verbindung nicht: Wer will, kann also noch “unsicher” surfen.)

Wer sich für die technische Lösung interessiert: So haben wir es gemacht….

Das wesentliche Problem ist, das das ASP.NET Programm das HTML erzeugt, das dann, wenn alles fertig ist, an den Client geschickt wird. Am eigentlichen Prozess der HTML-Erzeugung konnten wir nichts beeinflussen. Man musste das HTML also verändern, nachdem es von der Blog-Software erzeugt wurde, und unmittelbar bevor es an den Client gesendet wurde.

Das ist aber bei ASP.NET kein Problem: Dazu muss man nur ein IHttpModule  implementieren und in web.config eintragen. Die Implementierung ist in diesem Fall trivial: Im “Init” hängt man einen Eventhandler an das PostRequestHandlerExecute Event. Dort, falls es sich beim “CurrentHandler” um die Page handelt, hängt man an den Response-Filter einen neuen Filter.

Der Filter erbt von Stream und muss die gängigen Methoden überladen, die einzig wichtige ist aber “Write”. Dort hat man den kompletten Puffer mit dem HTML, und kann dort – in diesem Fall – den Text einfach mit string.Replace() ersetzen, und dann das eigentliche Write aufrufen.

SSL für die.de Webseiten

Unsere Webseiten (auf den Servern www.die.de und blogs.die.de ) sind ab sofort (eigentlich schon ab dem 20.08) auch per HTTPS erreichbar. Wenn man also statt

http://www.die.de

https://www.die.de

eingibt, bekommt man die gleiche Seite. Für den Besucher ist der einzige Unterschied, eine leicht markierte Adresszeile. Im Edge (Der Browser von Windows 10) sieht das dann so aus:

Ohne “s”
image

Mit “s”
image

Bei anderen Browsern ist das ähnlich. So sieht das zum Beispiel im Chrome (mit https) aus:

image

Das “S” im Namen des Protokolls steht für “Secure”. HTTPS bedeutet also “Hypertext Transfer Protocol Secure”.

Nun ist es ja so, das die Inhalte auf unseren Webseiten nicht gerade geheim sind – darum stehen die Dinge ja gerade auf öffentlichen Webseiten. Das einzige was vielleicht einigermaßen schützenswert ist, ist ‘vielleicht’ das Passwort der Foren-Benutzer. Aber ehrlich gesagt: So Turbo-Wichtig ist das Passwort für unser Webforum nun auch wieder nicht.

Was soll also die Sache mit der “Sicherheit”?

Wie immer, wenn es um IT-Sicherheit geht, ist das ganze etwas kompliziert, schwierig zu erklären – und hat weit gehende Konsequenzen. Ich versuche es trotzdem mal einfach….

 

Prinzipiell ist es so, das mit den übertragenen Daten bei einer Verbindung über HTTPS 2 Dinge passieren: Zum einen werden die Daten verschlüsselt, zum anderen ist in die Verschlüsselung ein Mechanismus eingebaut, der das verändern der Daten während der Übertragung verhindert. Die Verschlüsselung ist prima für Passworte und Suchbegriffe – ein “Lauscher”, also eine Person die die Daten zwischen dem Webbrowser und dem Server mithören kann, ist dann nicht mehr in der Lage diese Passworte aus dem Datenverkehr zu extrahieren. Und es können einen ganze Menge Leute mithören:

  • Jeder, der sich im gleichen WIFI Netz befindet.
  • Jeder, der sich auch nur in der Nähe des WiFi Netzes befindet. (Völlig egal ob es sich um ein “sicheres” WiFi Netz handelt oder nicht – die “Sicherheit” von WiFi Netzen ist ausschließlich juristischer Art: Technisch gesehen sind die Dinger ohne besonders großen Aufwand zu knacken, und zwar immer, und auch von “Anfängern”.)
  • Jeder, der sich am gleichen Kabelnetz befindet. Also z.b. der Kollege im anderen Zimmer, der den gleichen Router verwendet.
  • Jeder, der in den verwendeten Router eingedrungen ist und den infiziert hat – und das werden immer mehr.
  • Jeder, dem der Router gehört. (Mal angenommen, sie sitzen mit dem Laptop in einem Kaffee, am Flughafen, im Bahnhof, oder sonst wo. Dann wollen Sie ins Internet und suchen nach einem Hotspot. Und der wird auch angeboten: Sind Sie sicher, das der auch sauber ist? Wenn ja – warum eigentlich ?)
  • Die komplette Technik aller beteiligten Internet-Anbieter. Also die, Ihres eigenen Anbieters, die des Anbieters, über den den besuchte Server angeschlossen ist, und alle, die dazwischen sind.
  • Es gibt bestimmt noch mehr, aber das Problem ist an dieser Stelle wohl grundsätzlich klar….

Im Fall von unseren Webserver sind das ja nun wie gesagt keine besonders geheimen Daten, die da übertragen werden. Man kann sich also auf den Standpunkt stellen, die Verschlüsselung wäre da nicht so wichtig. (Dieser Standpunkt wäre aus meiner Sicht zwar falsch, aber die zugehörige Diskussion ist für die weitere Betrachtung irrelevant.)

Der interessante Teil ist der, bei dem sichergestellt wird, das die Daten nicht verändert werden können. Denn jeder aus der obigen Liste der Mithörer ist auch ein Kandidat fürs verändern der gelieferten Daten: Sie rufen also zum Beispiel www.die.de auf und erwarten die Startseite unseres Server zu erhalten. Und die erhalten Sie auch – nur hat irgendwer zwischendrin irgendwas zusätzliches reingefummelt – zum Beispiel ein Script, das zunächst Ihren Browser und dann Ihre Rechner angreift. Von Ihrer lokalen Festplatte aus, denn Sie haben es ja selbst runtergeladen. Oder etwas schlimmer: Sie laden einen Download von www.die.de herunter – und der Mann in der Mitte verändert das Programm so, das er auch einen Teil von seinem Programm einschmuggelt. Das Sie dann über den ganz normalen Installer mit installieren… (Unsere Programm sind dagegen zwar mit einer digitalen Signatur geschützt, aber es ist sicherlich besser, schon beim Transport sicherzustellen, das sie nicht verändert werden können.)

Lange Rede kurzer Sinn: Das “S” beim HTTPS führt dazu, das Sie unsere Webseite besuchen können, ohne sich über derartige Probleme sorgen machen zu müssen. In dem Zusammenhang noch ein wichtiger Hinweis: Wenn Sie mit dem Laptop oder Tablett öfter mal einen öffentlichen Hotspot verwenden: Mein Rat wäre, dabei keine Seiten aufzurufen, die nicht per HTTPS erreichbar sind. (Und Sie arbeiten ja hoffentlich auch nie mit einem Admin-Konto, oder ? [Jaja – ist mir klar das Sie das doch tun: Ich hab Sie aber gewarnt Smiley ]),

 

* Dieser Beitrag wurde aufgezeichnet. Thomas ist gerade in Urlaub

Die Baustatik, das Web und die Firewall

Die Baustatik (und der BaustatikUpdateService) reden auf verschiedene Arten über das Internet mit unseren Servern. Im einfachsten Fall werden dabei einfach nur Versionsnummern übertragen – wenn die Baustatik überprüft, ob ein Update vorliegt. Aufwendiger wird es, wenn man im Programm den Befehl “Dokument versenden” benutzt: In diesem Fall wird tatsächlich eine ganze Datei an uns übermittelt. Dann gibt es noch den Fall, bei dem Fehlermeldungen übertragen werden, und den bei dem ein vorliegendes Update tatsächlich heruntergeladen wird.

In (geschätzt) 95% aller Fälle klappt das auch bei allen Kunden problemlos. Die “Probleme” tauchen nur in Einzelfälle auf und sind eigentlich immer auf Firewall-Einstellungen zurückzuführen. Für solche Fälle hier eine kurze Übersicht, welche Server und Protokolle von der Baustatik eingesetzt werden und gegebenenfalls in der Firewall freigegeben werden müssten.

Folgende unserer Programme kommunizieren über das Internet:

  • Baustatik.exe
  • BaustatikUpdateService.exe
  • XTimeWiseServer.exe
  • AutoUpdate.exe (nur beim Einsatz der alten XFEMily Programme)

Folgende Protokolle verwenden verwendet:

  • http (auf Port 80)
  • https (auf Port 443)

Mit folgenden Servern wird kommuniziert:

  • www.die.de
  • downloads.die.de
  • die.azurewebsites.net
  • services.die.de

Die Liste der Server wird sich allerdings ändern: Mittelfristig werden die Server “www.die.de” und “die.azurewebsites.net” rausfallen, weil alle Dienste im Laufe der Zeit in “services.die.de” zusammengefasst werden.

Was ist der “BaustatikUpdateService”

Wir hatten das natürlich mit Antiviren-Programmen ausprobiert – interessanterweise auch mit Avira – und bei uns gab es im Test keine Probleme damit. Trotzdem gibt es offenbar Kunden, die seit der Installation von Version 127 folgende Meldung erhalten:

clip_image002

Wie soll ich sagen: Ich mag Avira nicht besonders, da ich im Zusammenhang mit diesem Programm immer wieder sehr unschöne Störungen erlebe. (Ich empfehle an dieser Stelle – und nicht zum ersten Mal – die Verwendung der Sicherheitssoftware, die von Microsoft sowohl in Windows 7 als auch in Windows 8 mit beigepackt wird…)

Wie dem auch sein mag: Auch wenn Avira sich über den “BaustatikUpdateService.exe” beschwert: Das Programm ist völlig in Ordnung, und wird von uns mit voller Absicht als Windows Service im Rahmen der Installation mit installiert. Wie der Name des Programms schon sagt: Es kümmert sich um die Updates der Baustatik.

Bisher war es so, das die Baustatik bei jedem Programmstart einmal überprüft hat, ob ein Update vorliegt. Jetzt tut das der “BaustatikUpdateService” einmalig beim Start des Rechners (und danach alle 8 Stunden, sofern man den Rechner nicht ausmacht.). Anders als früher die Baustatik lädt der UpdateService die Updates auch automatisch herunter und installiert diese, ohne das man groß dafür tätig werden müsste. (In Ausnahmefällen erhält man ein ähnliches Fenster wie früher, das sollte aber nur extrem selten der Fall sein.)

Darum: Bitte ja, Avira sollte dieses Programm einfach arbeiten lassen.

Der Browser und die Phishing-Mails

Wir betrieben für D.I.E. Software einen eigenen Mailserver – und der ist relativ “strikt” was das Ausfiltern von unerwünschten Mails betrifft: Ich bekomme praktisch nie irgendwelche Spam- oder Phishing Mails… weniger als eine pro Monat ist sicher keine ganz falsche Schätzung. Heute kam aber eine durch, angeblich von der Deutschen Bank:

image

Ich bin natürlich neugierig, und habe auf “Klicken Sie hier” geklickt. Outlook zeigt einem da schon an, das man nicht zur Webseite der Deutschen Bank kommt, sondern irgendwo anders hin – und von dort aus wird man dann auf die eigentliche Phishing-Seite weitergeleitet. Und die sieht dann in den unterschiedlichen Browsern (jeweils neueste Version unter Windows 8.1) so aus:

Google Chrome:

image

Firefox:

image

Apple Safari:

image

und schließlich, Internet Explorer:

image

Wenn man hier auf “Weitere Informationen” klickt, bekommt man auch welche:

image

Das Ende von XP

Seit gestern gibt es für Windows XP keinen Support mehr. (Das gilt übrigens auch für den IE6 und Office 2003). Das hat verschiedene Implikationen – in erster Linie solche, die die Betriebssicherheit von Rechnern betrifft, die noch immer dieses System einsetzen.

Im Fall von D.I.E. ist es so, das noch circa 10 Prozent der Anwender der Baustatik mit XP SP3 arbeiten. Es wäre aber eine wirklich gute Idee, damit aufzuhören und ein moderneres System zu verwenden.

Von Tim Rains gibt es dazu einen recht umfassenden Artikel, der die Probleme und Wege für den Wechsel aufzeigt. Zu lesen im TechnetBlog.

Profi-Hacker am Werke

Auf unserer Webseite gibt es eine Suchfunktion und jedes mal wenn etwas gesucht wird, bekomme ich eine Mail in einem spezielle Mail-Ordner – das ist dafür da, damit ich überprüfen kann, ob die Suchresultate einigermaßen brauchbar sein. (Außerdem erfahre ich dadurch, zu welchen Themen wir vielleicht noch ein bisschen mehr Informationen liefern sollten.)

Nun ist so ein Feld, bei dem man “von außen” Inhalte des Servers untersuchen kann natürlich ein prima Angriffspunkt für Menschen, die gern in den Server einbrechen möchten. Vielleicht liefert die Suche ja Inhalte, die über die normale Webseite nicht erreichbar sind (Hinweis: Tut sie nicht), oder man kann einen Fehler im Suchprogramm verwenden um eigenen Code in den Server einzuschleusen (Hinweis: Geht auch nicht).

Oder man macht es wie dieser Mensch hier:

image

… man schaut, ob man nicht direkt über das Dateisystem an die Password-Datei gelangen kann.

Es mag falsch konfigurierte Systeme geben, wo so was geht. Das sind aber mit Sicherheit Linux-Systeme, denn die “passwd” gibt es unter Windows gar nicht. Smiley

Ein etwas professionellerer “Hacker” hätte natürlich mit nur einem Blick in den Header der gelieferten Seiten sehen können, das wir gar keinen Linux-Server einsetzen, sondern einen Windows-Server.

image

… aber was weiss ich schon über “Hacker” Smiley

Windows 7, Service Pack 1

Die meisten unserer Kunden setzen zur Zeit Windows 7 ein – der andere große Teil, wenn auch stark abnehmend, verwendet Windows XP SP3. Wer noch immer XP verwendet sollte eigentlich schon längst auf 7 umgestiegen sein. Wer Windows 7 verwendet, muss ebenfalls in Kürze umsteigen, und zwar auf Windows 7 Service Pack1. Das sollte man bis spätesten zum 9 April tun, denn dann endet die Support-Zeit für diese Version von Windows 7 – danach gibt es keine weiteren Sicherheitspatches mehr.

Das SP1 kann man kostenlos bei Microsoft runterladen, und zwar hier.

Die Baustatik und das Netzwerk

Wegen der Einrichtung einer Firewall kam heute bei einem Kunden die Frage auf, was die Baustatik so alles im Netzwerk tut. Das ist eigentlich nicht besonders viel, es kann aber natürlich hilfreich sein, zu wissen um was es dabei alles geht:

Kommunikation innerhalb des LAN
Hier gibt es nur einen einzigen Fall: Bei der Verwendung des Timeservers (wenn man also einen Work&Cash Vertrag hat), dann muss der TimeServer über das Netzwerk erreichbar sein – aber auch nur dann, wenn der TimeServer nicht lokal auf allen Workstations eingerichtet ist. Gibt es einen TimeServer im Firmennetz, dann kann man den von ihm verwendeten Port einstellen:

image

Kommunikation im Internet
Hier passiert schon mehr. In allen Fällen kommuniziert die Baustatik über “HTTP” und Port 80. (Also so, wie das auch ein Web-Browser tun würde.). Folgende Fälle gibt es:

  • Überprüfung auf neue Updates. (Kann in den Optionen ausgeschaltet werden.)
  • Versenden von Fehlermeldungen. (Kann in den Optionen ausgeschaltet werden.)
  • Versand des aktuellen Dokumentes. (Muss manuell ausgelöst werden.) Stern
  • Zeitverwaltung per Internet. (Muss manuell ausgelöst werden.)
  • Herunterladen von Makros. (Muss manuell ausgelöst werden.)

Stern Der Versand des aktuellen Dokumentes (per Datei-Menü zu erreichen) ist ein bisschen “knifflig” zu erklären, denn für alle beteiligten sieht es so aus, als würde eine eMail verschickt: Der Befehl hat den Namen “Dokument versenden” und ein eMail-Icon, vor dem versenden muss die eMail-Adresse eines Empfängers angegeben werden – und beim Empfänger kommt das ganze in der normalen eMail-Inbox an.

Trotzdem stimmt auch hier die Angabe von oben: Verwendet wird HTTP und Port 80, denn es wird keine Mail verschickt – zumindest nicht von der Baustatik. Statt dessen überträgt die Baustatik das Dokument per HTTP an unseren Webserver, und erst der versendet dann eine “echte” Mail an den gewünschten Empfänger….