Beiträge von kk

Für uns (als Softwarehersteller) ist der IT-Grundschutz-Katalog relevanter als die Firefox-Empfehlung, da dieser auch Grundlage für eine eventuelle BSI-Zertifizierung ist.
Letztendlich ist es immer eine Frage, wohin man seine Schwachstelle verlagert. Was nutzt eine strenge Passwort-Policy (>12 Zeichen, Sonderzeichen, Zahlen usw.), wenn sich dann niemand mehr das Passwort merken kann, man es im Firefox/KeePass/... speichert, so dass es ggf über ein bösartiges Script ausgelesen werden kann? Oder der User vergisst es gleich und lässt sich dann über eine simple E-Mail einen Link zum Zurücksetzen des Passworts zuschicken...

Meiner Meinung nach bietet eine Zwei-Faktor-Authentifizierung mit einem "merkbaren" Passwort und einem persönlichen Token-Generator (Token/Smartphone/...) weitaus mehr Sicherheit als ein Passwort, dass so komplex ist, dass man auf dessen Speicherung in irgendeiner Passwort-Datenbank angewiesen ist.

[Jippiee... 1000stes Posting :)]

Nur mal so als Zwischenmeldung - mit v1.7.0 gibt es eine zusätzliche Verwaltungsmöglichkeit für "interne" Konfigurationseinstellungen von LiveConfig. Damit kann dann u.a. auch das AutoFill für die Anmeldung aktiviert werden (bleibt standardmäßig aber deaktiviert) oder die Länge/Komplexität von Passwörtern etc. definiert werden.

Schöne Pfingsten!

Nachtrag: die BSI-Empfehlung für's Sichere Surfen mit Firefox gibt's übrigens hier. AutoComplete wird auf Seite 9 erwähnt.
Im eigentlich noch wichtigeren "IT-Grundschutz-Katalog" wird explizit empfohlen, AutoComplete=off zu setzen, siehe hier (Seite 97).

Zitat von aziegler

Das wäre sehr gut, denn wir installieren auch nicht auf jedem Server php5-cgi, wenn es kein Multi-Website-Server ist...

Mit r2348 wird alternativ noch nach /usr/bin/php gesucht (PHP-CLI). Es wird aber noch eine gesonderte Erkennung der Version von mod_php geben (kommt noch in die finale 1.6.2 mit hinein). Nun möchten wir aber noch den aktuellen Stand vor Pfingsten freigeben.

Apache verwendet in diesem Fall eine sicherere umask, so dass die error.log mit den Rechten des Endkunden nicht lesbar ist (der Log-Viewer öffnet Dateien aus Sicherheitsgründen grundsätzlich mit den Berechtigungen des Endkunden).
Mit v1.6.2-r2145 wurde das apache.lua-Script so aufgebohrt, dass die error.log mit entsprechend großzügigeren Rechten angelegt wird (das übergeordnete "logs"-Verzeichnis verbietet ja einen Zugriff durch Fremde).

Update wird in ca. 3-4 Stunden im Preview-Bereich verfügbar sein.

Zitat von r00xster

Unter Debian wheezy wurden beim mir heute bei Build 2334 keine Änderungen an der Apache-Konfiguration gespeichert. Der Configtest des lcclient hat folgendes Meldung ausgegeben:

Hmm, interessant...
Seit r2311 versucht LiveConfig die aktuelle PHP-Version automatisch zu erkennen, um diese bei der Erzeugung der php.ini-Dateien zu berücksichtigen.
Könnten Sie bitte mal die Ausgabe von folgendem Befehl posten?

dpkg -l | grep php

Falls noch nicht geschehen, installieren Sie bitte das Paket "php-cgi" - dann sollte das eigentlich wieder funktionieren. Wir werden aber noch eine Lösung einbauen, um auch ohne PHP-CGI (z.B. wenn man nur mod_php nutzen möchte) die korrekte Version herauszufinden.

Bitte testen Sie den AppInstaller noch mal mit der neuesten LiveConfig-Version (ab v1.6.2-r2334). Wir haben das Problem bei einem anderen Kunden reproduzieren können - in diesem Fall gab es zu restriktive Einstellungen in der globalen php.ini (für PHP-CLI), welche eine Ausführung des AppInstaller-Scripts verhindert hatten (u.a. safe_mode=on, register_argc_argv=off, ...).
Mit der neuen Version werden diese php-Einstellungen explizit ignoriert - es ist dann also egal, was in der php.ini steht.

Viele Grüße

-Klaus Keppler

Öffnen Sie bitte in LiveConfig eine Verbindung mit dem betroffenen Webspace (web18). Dann klicken Sie links im Menü auf "E-Mail". Oberhalb der Postfach-Liste sehen Sie nun eine Übersicht, wie viele Postfächer mit wie viel Speicherplatz angelegt sind, und wie groß das E-Mail-Quota insgesamt ist.
Wenn Sie wirklich kein Mail-Quota wünschen, ändern Sie in allen Angeboten das Hosting-Quota auf "unbegrenzt".

Viele Grüße

-Klaus Keppler

(sorry, ich habe eben gesehen, dass diese Beiträge gar nicht freigeschaltet waren :-()

Dann liegt wohl irgendwo ein Fehler vor.

- Welche Distribution verwenden Sie?
- Versuchen Sie bitte mal, NGINX neu zu starten (/etc/init.d/nginx restart) - funkioniert es danach, oder gibt es beim Restart eine Fehlermeldung?
- gibt es Fehlermeldungen in /var/log/liveconfig/liveconfig.log?

Wenn das alles nicht hilft, schicken Sie bitte mal die Ausgabe von "liveconfig --diag" und den Inhalt von /etc/nginx/sites-available/web1.conf an support@liveconfig.com, dann schauen wir wo das Problem liegt.

Wenn Sie nur die IP aufrufen landen Sie zwangsläufig auf dem mit "default" konfigurierten Webspace. Wenn Sie den mit web1 konfigurierten Webspace aufrufen möchten, dann müssen Sie das über eine Domain machen, welche Sie Ihrem Hostingvertrag ggf. noch hinzufügen müssen.

Viele Grüße

-Klaus Keppler

Zitat

Can't locate URI.pm in @INC

aptitude install liburi-perl

Zitat von Sebbel2

Nach der neuen Preview kann ich in php keine files mehr aus den "files" ordner includieren.
Ist sicherlich eine Änderung in der php.ini Verwaltung die ich nicht finde ;).

Welchen files-Ordner meinen Sie?
Ist dieser auch in der php.ini-Verwaltung bei open_basedir berücksichtigt?

Zitat von solidius

Könnten Sie uns noch ein Changelog posten ? Damit wir auch die Änderung gezielt nochmal testen können.

Das Changelog auf der Preview-Seite wurde doch entsprechend erweitert...? (es gab nur zwei neue Einträge - vom 13.05.2013).

Die Preview wurde eben noch mal aktualisiert - darin wurden noch zwei Fehler mit der php.ini-Erstellung unter mod_php sowie ein Problem mit dem Application Installer (aufgetreten unter Ubuntu 13 und evtl. Debian 7) beseitigt.

Morgen (Dienstag) werden noch einige Änderungen an der SOAP-API eingepflegt - sollten keine Fehler mehr auftreten, erfolgt die produktive Freigabe schnellstmöglich.

Viele Grüße

-Klaus Keppler

Dieser Fehler (falsche Konfiguration) hat sich in r2300 eingeschlichen, mit r2331 ist das beseitigt (wird gleich bereit gestellt).

Zitat von Sebbel2

Wann kann man denn mit der neuen Preview rechnen?

Noch heute Abend. (befindet sich in den letzten Zügen...)

Da die Frage häufiger auftaucht gibt's dafür nun einen Artikel in der Wissensdatenbank (ist noch ganz frisch, wird erst mit dem nächsten Website-Update verlinkt): http://www.liveconfig.com/de/kb/17

Beste Performance und Sicherheit liefert FastCGI - die höchste Kundendichte ist eventuell mit suPHP möglich (kommt darauf an wie häufig die Websites aufgerufen werden). mod_php wird nur für Server empfohlen, die man sich nicht mit anderen Benutzern teilt.

Zitat von Sven_67

Ähmmm - dann zahl ich also für eine Testversion, oder wie ?

Nein, Sie zahlen 2,35/8,24/16,64 EUR pro Monat (zzgl. MwSt, aber die bekommt der Staat) für:
- bereits vorhandene Funktionen
- Weiterentwicklung der Software
- Dokumentation
- Support

Die Eigenkosten für einen Softwareentwickler inklusive Lohnnebenkosten, Büro, IT usw. liegen ganz grob bei 50-60,- EUR pro Stunde. In der Software stecken mehrere Mannjahre Arbeit. Dazu kommen Kosten für Marketing, für (kostenlose) Beratung, und vieles mehr. Ich persönlich bin davon überzeugt, dass Preis und Leistung daher in einem recht gutem Verhältnis zueinander stehen.

Zitat

Weshalb wird dann nicht ausschliesslich die Demo- bzw. Testversion angeboten, sondern Bezahllizenzen ?

Es steht Ihnen frei, die kostenlose Testversion zu nutzen (www.liveconfig.com/de/testlizenz), oder - falls die Software Ihrer Meinung nach zu viele Fehler enthält, diese gar nicht zu nutzen.

Wir haben gewisse Ansprüche an die Qualität, bevor wir eine Version als "produktiv" freigeben. Dazu gehört unter anderem, dass jeder kritische Fehler (der uns bekannt ist) beseitigt ist. Der Grund ist ganz einfach: würden wir eine Version freigeben, die einen ernsthaften Bug enthält, wäre es nur eine Frage der Zeit, bis wir hunderte Fehlermeldungen von Kunden zurück bekommen - das ist unnötig, kostet Zeit und. Termine sind daher immer unverbindlich - bitte beachten Sie dabei aber, dass die Abweichung dann nur im Bereich weniger Tage liegen (wir bauen schließlich keinen Flughafen...)

Für konstruktive Kritik sind wir auch jederzeit dankbar - dass sich manche Termine verzögern ist uns bewusst, das lässt sich bei Software naturgemäß auch nicht ändern, Diskussionen darüber sind also auch (ziemlich) zwecklos.

Es wird aber dennoch eine Änderung geben (das ist ein etwas komplexeres Thema, eine ausführlichere Information dazu folgt wenn's soweit ist): um Änderungen und Erweiterungen schneller freigeben zu können, stellen wir den Build-Prozess derzeit auf ein Continuous Deployment um. Das bedeutet, dass Testversionen künftig automatisch erstellt und zum Download bereitgestellt werden können. Diese Umstellung soll mit der Freigabe der nächsten größeren Version (v1.7) abgeschlossen sein. Wen das Thema detaillierter interessiert, der kann sich gerne einen Vortrag von mir dazu am 06.06.2013 18:00 hier im IGZ in Erlangen anhören.

Zitat von Sebbel2

Gibt es eigentlich eine Möglichkeit auf die stable zurückzukehren?

Jein; das geht nur, wenn Sie die Datenbank ebenfalls zurücksetzen (auf den Stand vor dem Update). Beim Update werden meistens Änderungen am Datenbankschema vorgenommen, die irreversibel sind.

Zitat

Das Problem mit der ini verwaltung und mod_php würde ich doch gerne zeitnah erledigen. Zur Not eben mit einem Downgrade.

Da wird es noch heute ein Update geben (ist bereits in Arbeit und z.T. schon erledigt).

Zitat von bfal

Ach....irgendwie bin ich Blind. Wo finde ich denn die "Zwei-Faktor-Authentifizierung"?
Ist das eine Serveroption die ich erst aktivieren muss?

Die Dokumentations dazu wird derzeit noch erstellt (landet dann in Kürze auf der Website und im Handbuch).
Verwendung sollte aber (hoffentlich ;)) selbsterklärend sein: in LiveConfig auf Einstellungen -> Einstellungen; dort in der Box "Passwort ändern" können Sie für den aktuellen Account die Zwei-Faktor-Authentifizierung aktivieren.

Viele Grüße

-Klaus Keppler