Flash-Player Modul verschwindet aus Internet Explorer und Edge

[time_until date="31.12.2020"]

Zum Ende des Jahres 2020 stellt #Adobe bekanntlich den Support für den Flash Player ein. Bisher enthalten der Internet Explorer, #Edge und Google
#Chrome ein Modul zum Anzeigen von Flash-Inhalten, das sich automatisch aktualisiert. Mit Beginn von 2021 ist das Modul ein Sicherheits Risiko, daher wird es entfernt.

Bereits jetzt werden Flash-Inhalte von Google Chrome und dem neuen Microsoft Edge geblockt, man kann sie aber fallweise pro Webseite aktivieren. Das entfällt dann im nächsten Jahr.

Microsoft hat angekündigt, auch die relevanten Gruppenrichtlinien zu entfernen.

Damit ist das gefährlichste (weil am meisten angegriffene) Softwaremodul der Welt endlich Geschichte.

Internet Explorer 11 und Microsoft Edge Supportende in Kürze

[time_until date="30.11.2020" title="Supportende IE11" accentcolor=1]
Microsoft hat heute bestätigt, dass der InternetExplorer 11 langsam von den Diensten abgeschnitten wird. Bereits jetzt funktionieren einige Funktionen in der Anwendung "Microsoft Teams" nicht mit dem Internet-Explorer. Ab 30. November 2020 wird der IE dann gar nicht mehr unterstützt.

Ab dem 17. August 2021 werden die restlichen Microsoft 365 Anwendungen und Dienste nicht mehr mit dem Internet Explorer funktionieren werden.

Ersatzweise ist Microsoft im Moment dabei, den neuen Microsoft Edge (auf Basis von Chromium) zwangsweise mit den Updates auf Windows 10 Systemen zu verteilen. Er ersetzt zunächst den Edge Legacy Browser (unter Windows 10).

Parallel wird kurzfristig ein IE-Modus zur Verfügung stehen, der dann Funktionen, für die in der Vergangenheit der IE noch erforderlich war, unterstützen soll. Wer das automatische Update auf den neuen Edge blockiert, wird für den (alten) Edge (Legacy) ab dem 9. März 2021 keine Sicherheitsupdates mehr erhalten. Man nennt das #endoflife bzw. EOL.

Handlungsempfehlung

Aktualisieren oder ersetzen Sie Windows 7 und 8.1 Systeme durch Windows 10 Pro (aktuelle Version 20H1).

Um die größtmögliche Kompatibilität zu erreichen und die meisten Webseiten korrekt aufrufen zu können, ist es empfehlenswert, den alten Edge Legacy Browser durch den:

• Microsoft Edge für Enterprise

zu ersetzen. Mit zahlreichen Richtlinien lässt sich dieser im Netzwerk verteilen und NICHT als Standardbrowser vorsehen.

• Google #Chrome für Enterprise

wird dann Standard #Browser. Auch hier gibt es zahlreiche Gruppen-Richtlinien, die das Vorhaben adminfreundlich gestalten und einen MSI Installer zur Verteilung per Gruppen-Richtlinie. Zusätzlich kann der Chrome Browser als Standard #PDF Betrachter das 500 MB-Trümmerteil von Adobe ersetzen.

Wenn Sie Unterstützung benötigen, nehmen Sie gern über die Kontaktfunktion dieses Internetauftritts Verbindung auf.

Warum Google Chrome, nicht der neue Edge

Kritische Sicherheitslücken werden mit dem Chrome für Enterprise Updater alle 2 Stunden aktualisiert. Der neue Microsoft Edge erhält Updates am Microsoft Patchday. Wenn also das Chromium Projekt, auf dem beide basieren, Updates rausgibt, müssen Google respektive Microsoft diese (und den eigenen Code) freigeben. Google ist da schneller.

Der PDF-Betrachter im Google Chrome für Enterprise hält sich mehr an den PDF-Standard 1.4, das Microsoft PDF-Modul im neuen Edge nicht.

Warum zusätzlich den neuen Edge

Microsoft drückt mit dem automatischen Update die Endverbraucherversion vom Edge auf Widnows 10 Systeme und schaltet den alten Edge dabei ab. Damit Gruppenrichtlinien gesetzt werden können, benötigen Sie den neuen Edge für Enterprise. Dieser schließt die Supportlücke vom alten Edge und lässt sich zentral als „Ersatzbrowser“ verteilen und konfigurieren. Lässt man nur die Endverbraucherversion auf den Systemen, übernimmt dieser Browser die Kontrolle über Dinge, die Google Chrome für Enterprise derzeit noch besser kann.

(Post ID:1460, erstellt am: 19.08.2020 17:38:13 von: Patrick Bärenfänger)

Wordpress 5.5 spart dem Admin Arbeit

Neben einer Basis XML Sitemap Funktion (für diejenigen, die bei Google gefunden werden möchten und kein SEO-Plugin wie Yoast oder xml sitemaps installiert haben) ist ein echtes Highlight für den Webseite Administrator, dass er für verwendete Plugins und Themes (Designs) entscheiden kann, ob diese sich automatisch aktualisieren.
Aktiviert man diesen Automatismus in der Plugin-Liste, bekommt der Admin immer dann eine E-Mail, wenn eins oder mehrere dieser Erweiterungen aktualisiert wurden.
Der bisherige Prozess, Plugins über das Admin Control Panel von Hand zu aktualisieren, entfällt.

Im Changelog der VErsion 5.5 stehen auch Verbesserungen und Komfort-Features im Block-Editor Gutenberg. Dazu kommen wie immer Bugfixes und auch Sicherheitslücken, die geschlossen wurden.
(Post ID:1459, erstellt am: 14.08.2020 11:26:33 von: Patrick Bärenfänger)

Unifi Ubiquiti WLAN Access Point AC Pro Test

ich habe in letzter Zeit häufiger in Kunden-Umgebungen das abgebildete Gerät (oder mehrere davon im Verbund) gesehen und von den Admins wurde nur positiv berichtet.

Rechtzeitig zum Support-Ende meines CISCO Access Points mit 2.4GHz und n-Standard stand die Anschaffung des #Unifi WLAN AC PRO auf dem Programm. Hier die ersten Erfahrungen damit:

Unboxing

Die neue Verpackung ist umweltfreundlicher (viel Pappe, wenig Plastik) und nur noch halb so hoch wie der Karton früher. Sie enthält:

• 1 PoE-Adapter (wer keinen Power-over-Ethernet Switch sein eigen nennt, kann die benötigten 48V vor dem Gerät ins Netzwerkkabel einspeisen
• Der AP selbst (fliegende Untertasse in weiß)
• Befestigungsschiene und Schrauben für Wand- oder Decken-Befestigung
• Eine Kurzanleitung ist nicht in der Packung, aber im Internet zu finden. Ohne diese kommt man nicht unbedingt drauf, dass man nach Entfernen des unteren Rings (der sich wie bei einem Rauchmelder durch entriegeln und drehen lösen lässt) noch einen größeren Gummipropfen entfernen muss, um die Netzwerkanschlüsse freizulegen. Das Gummi dient dem Witterungsschutz, wenn man das Gerät (das darf man laut Hersteller) im Außenbereich z. B. unter dem Dach montiert. Die offene Freilandmontage wird nicht unterstützt - ist also kein outdoor-device, darf aber aussen montiert werden.

Hightlights

• Neben dem Gigabit Netzwerkanschluss ist im Access Point ein kleiner Switch eingebaut, der einen zweiten Gigabit--Port enthält. So kann man einen vorhandenen Netzwerk-Anschluss nehmen, wo schon ein Endgerät arbeitet und den AC Pro dazwischen hängen.
• Die Funkleistung ist trotz integrierter Flächen-Antennen um einiges höher als bei vergleichbaren Produkten.
• Eine vielzahl von Einstellungen lassen sich auf (automatisch optimieren) oder explizit setzen
• VLANs sind ebenso möglich, wie die Gruppenbildung von Endgeräten (z. B. alle 5GHz-fähigen Geräte bevorzugt mit diesem Netzwerk versorgen, Bandwith steering und weiteres

Besonderheiten - was ist anders?

Nach dem Auspacken zunächst ein Schreck: Die Access Points haben keine Weboberfläche (integrierter Webserver im Gerät), wie man das sonst von Access points kennt, sondern lassen sich entweder über die Cloud oder eine lokal installierte Controller Software konfigurieren und verwalten.
Lädt man sich das 140 MB große Windows Paket runter, kommt der Hinweis, dass man JAVA benötigt und der Installer führt einen auf die Oracle Seite. Da Java aber für geschäftliche Nutzung seit Version Java 8U211 monatliche Gebühren kostet, wäre das nicht gut. Im Übrigen möchte ich für ein Sicherheits-Gerät im lokalen Netzwerk kein Unifi Account erstellen und somit deren Server an mein internes Netz anschließen.

Alles wird wieder gut

• Der erste Eindruck täuscht, wenn man weiß, das die Unifi Controller Software kein Oracle Java benötigt und dann man auch kein Cloud-Konto anlegen muss:
• Adopt OpenJDK 8 Update 252 (64-Bit, Long Term Support) ist die aktuell sichere Open-Source JAVA-Basis, die über ein Setup verfügt und dem Unifi Controller ausreicht. (Bitte beim Installieren alles außer Iced-Tea ankreuzen)
• Statt eines Cloud-Kontos kann man den Controller über einen lokalen oder Domain Benutzer absichern
• Die Installation auf einem Server ist möglich
• Die Controller Software kann als Windows Service automatisch mit dem Server starten (Anleitung dazu auf den Unifi Seiten)
• Firmware-Updates und Controller Software lassen sich nach Zeitplan einsetzen. Bei Betrieb als Windows Dienst muss zum Aktualisieren nur kurz der Unifi Dienst gestoppt werden, ein Deinstallieren des Dienstes ist entgegen der Anleitung nicht notwendig.

Eine weitere gute Nachricht: Nutzt man die Controller-Software nicht als Syslog-Server und für Features, die nicht im AP enthalten sind (also wenn man den AP als reinen Access Point nutzt), braucht man die Controller Software nur dann zu starten, wenn man Messen, Diagnose betreiben oder was konfigurieren möchte.

Den Controller als Windows Dienst einrichten:

title unifi install as a windows service
echo *** in eingabeaufforderung (admin) ausfuehren - installiert unifi controller
echo * vor einem update der controller software den Dienst Unifi controller stoppen
echo * Browserzugriff: https://servername:8443
pause
 
cd "%UserProfile%\Ubiquiti UniFi\"
java -jar lib\ace.jar installsvc
rem *** optional - Deinstallation des Dienstes
rem cd "%UserProfile%\Ubiquiti UniFi\"
rem java -jar lib\ace.jar uninstallsvc

Fazit

Starke Funkleistung trotz Flächen-Antennen, aktuelle Funkstandards, die von der breiten Masse als Standard verfügbar ist (bis zu 866 MBit Datenübertragung auf 5 GHz Band, wenn die Bedingungen optimal sind, ansonsten zwischen 100 und 200 MBit im Durchschnitt bei weiterer Entfernung und vielen Nachbarn mit WLAN.
Mit einem Listenpreis von ca. 115 € netto ist das Preis-Leistungs-Verhältnis sehr gut. Nachdem man den ersten Schrecken der ungewohnten Konstellation und mit Java überwunden hat, wieder alle Daumen hoch für das Produkt.

Kennworte regelmäßig ändern Nein!

Was bereits (wir berichteten darüber) das NIST, die amerikanische Normungsbehörde und Studien mehrerer internationaler Universitäten vor Jahren herausgefunden haben, wird nun auch vom Bundesamt für Sicherheit in der Informationstechnik - kurz BSI empfohlen.

In der aktuellen Version deren Grundschutz-Kompendiums wurde im Kapitel zur Regelung des Passwortgebrauchs (ORP.4.A8)  die Empfehlung, Kennwörter regelmäßig zu ändern, entfernt. Ein #Kennwort muss demnach nur kurzfristig geändert werden, wenn es verbrannt bzw. in falsche Hände geraten ist. Ebenso wenn ein Mitarbeiter aus dem Unternehmen ausscheidet.

Ein sicheres Kennwort kann man bedenkenlos über Jahre hinweg nutzen. Das regelmäßige Ändern führt eher dazu, dass man diese beispielsweise nach einem Schema (Kennwort1, Kennwort2 usw.) erzeugt.

Anwendung in der Praxis

• Die Richtlinie zur regelmäßigen Kennwort-Änderung entfernen
• Kennwort-Regeln: Mindestlänge 7 Zeichen, Kleinbuchstaben, Großbuchstabe, Sonderzeichen
  [Anmerkung: Ein Kennwort aus mehreren unsinnigen Wörtern ist sicherer als ein Wort mit Sonderzeichen]
• Organisatorische Richtlinie erstellen und leben, dass bei Ausscheiden eines Mitarbeiters alle seine Kennwörte überschrieben werden. Dies erfordert eine Dienstanweisung, die die ausschließlich dienstliche Nutzung der Mitarbeiter vorschreibt

Typische Kennwort-Vorkommen

• Active Directory bzw. Azure Active Directory - Anmeldung an der Windows Domäne, Office 365, Exchange Online
• Anmeldung an Web-Portalen
• Anmeldungen, die Geld-Transaktionen ermöglichen (für diese Banking-Anmeldungen ist eine 2-Faktor-Authentifizierung zwingend vorgeschrieben)

Die 2-Faktor-Autenfizierung ist, da, wo sie möglich ist, grundsätzlich zu empfehlen, da eine Kombination aus Smartphone und Rechner die Sicherheit bietet (etwas was ich weiß und etwas was ich habe), das diese Kombination nur äußerst schwer knackbar ist. Microsoft bietet mit der Authenticator App eine Solche Lösung für alle Azure-Active Directory basierenden Portale.

(Post ID:1435, erstellt am: 05.02.2020 15:03:57 von: Patrick Bärenfänger)

Internet Explorer 11 unter Win7Server2008R2 Sicherheitslücken

Im Zuge des Support-Endes für Windows 7 und Windows Server 2008 (und 2008 R2) ist zusätzlich zu beachten, dass der auf diesen Plattformen enthaltene Internet Explorer 11 keine Sicherheits-Updates mehr bekommt.

Sicherheitslücke aktiv

Bereits wenige Tage nach dem Januar Patchday wurde eine kritische Sicherheitslücke in der IE11-Plattform entdeckt, die sich von Kriminellen ausnutzen lässt, im den PC/Server unter ihre Kontrolle zu bringen und beispielsweise Crypto-Software zu installieren. Dazu reicht es, wenn Benutzer auf Terminalserver oder Windows 7 im Internet surfen. Gut gemachte Trojaner werden auch von aktuellen Firewalls und Virenscannern nicht blockiert.

IE11 wird immer nur auf aktuell im Support befindlichen Betriebssystemen mit Sicherheits-Updates versorgt.
Da der neue Edge on Chromium Enterprise auch nicht auf der Windows 7 /Server 2008 Plattform unterstützt wird, ist es ein extrem hohes Risiko, Windows 7 Maschinen oder Windows Server 2008 basierte Terminalserver weiter zu betreiben.

Fazit

Sicherer ist man, wenn die Terminalserver mindestens Windows Server 2012 R2 und die Endgeräte mindestens Windows 10 Version 1809 haben. Besser noch, man aktualisiert auf die jeweils aktuelle Windows 10 Version und mindestens Server 2016.
(Post ID:1433, erstellt am: 20.01.2020 12:20:01 von: Patrick Bärenfänger)

Gehackt in 2 Sekunden

Vom Hasso-Plattner-Institut (HPI) stammt eine aktuelle Auswertung der beliebtesten Kennwörter der Deutschen. Dazu haben die Forscher 67 Millionen Zugangsdaten aus 178 Datenlecks, die eine E-Mail-Adresse mit deutscher Domain-Endung enthalten, ausgewertet. Vom Institut stammt auch der "Identity Leak Checker", mit dem man prüfen kann, ob sein #Kennwort verbrannt sind. Die in Deutschland meist verwendeten Kennwörter sind: 123456, 123456789, 12345678, 1234567, password 111111, 1234567890, 123123, 000000, abc123, dragon iloveyou, password1, monkey, qwertz123, target123 tinkle, qwertz, 1q2w3e4r, 222222 Wenn Ihr Kennwort dabei ist, ist es Zeit, es kurzfristig zu ändern. Damit eine messbare Sicherheit entsteht, gibt es hier auch den beliebten Kennwortgenerator für Sie. Lesen Sie auch meinen Artikel zur #Passwort Sicherheit hier im Blog. Fun-Fact - Das beliebteste Passwort in China und Taiwan ist: "ji32k7au4a83". Was auf den ersten Blick nach einem generierten Passwort klingt und sicher aussieht, steht in den Ländern im Wörterbuch, ist also innerhalb von wenigen Minuten gehackt. Das Passwort stammt aus dem sogenannten Zhuyin-Fuhao-System, einem System, um die chinesischen Schriftzeichen von Mandarin auf der Tastatur einzugeben. Dahinter steckt die buchstabengetreue Umsetzung eines nicht in lateinischen Buchstaben geschriebenen Wortes in lateinische Schrift. Und dann heißt "ji32k7au4a83" nichts anderes als "My Password". (Post ID:1431, erstellt am: 22.12.2019 11:30:30 von: Patrick Bärenfänger)

Cookie-Richtlinie verschärft

Seit der Datenschutzgrundverordnung im Mai 2018 galten auch schon verschärfte Regeln für die Cookie-Nutzung. Da das Telemediengesetz die EU-Cookie-Richtlinien entwas entschärft hatte, reichte bisher für Cookies ein Hinweis, den man mit OK bestätigen konnte.

Mit einem aktuellen Urteil des Europäischen Gerichtshof in Luxemburg reicht das nicht mehr aus. Es ist davon auszugehen, das diese Entscheidung Auswirkungen auf deutsches Recht und das TMG haben wird.

Daher ist es sinnvoll, bereits jetzt mit der "opt-in Methode" Besucher seiner Website aktiv dazu aufzufordern, den verwendeten Cookies zuzustimmen. Dazu muss (auch bisher schon) ein Hinweis auf die Datenschutzerklärung und darin detailliert erklärt werden, wofür und welche Cookies benutzt werden.

Ein Mustertext könnte der Folgende sein (ohne Anspruch auf Rechtssicherheit):
Wir verwenden Cookies, die technisch notwendig sind und um Ihren Komfort zu erhöhen. Die weitere Nutzung unserer Webseiten ist nur zulässig, wenn Sie auf [Zustimmen] klicken. Weitere Informationen zur Cookie-Nutzung in unserer [Datenschutz-Erklärung]
[Ablehnen] [Zustimmen]

Der Mustertext verbietet hier ausdrücklich den Besuch der Seite, wenn man nicht zustimmt. Der jeweils gewählte Status ist durch die Auswahl des Benutzers damit dokumentiert. Gleichermaßen wird darauf hingewiesen, dass die Cookies nur im Sinne des Benutzers und nicht für Tracking und Werbung verwendet werden.

(Post ID:1420)

Unitymedia verteilt Fritzbox Update 7.10

In den letzten Tagen hat #Unitymedia (lgi), die jetzt zu #vodafone gehören, für die Kabel-Fritzbox 6490 das Update 7.10 verteilt, das entscheidende Verbesserungen bei der Nutzung des WLAN-Mesh Netzwerks bringt.

Darüber hinaus wurden einige Fehler behoben und die Firmware optimiert.

Durch Ziehen des Strom-Steckers und wieder Einstecken nach mindestens 30 Sekunden wird das Update automatisch ausgelöst.

Neue Funktionen und Verbesserungen

Über 50 Neuerungen und Verbesserungen: mehr Leistung und Komfort im WLAN, Mesh und Smart Home

Nahtlos verbunden im Mesh: WLAN Mesh Steering, gemeinsames Telefonbuch und Smart Home

Gut informiert: Wichtiges kommt einfach und direkt per Mail an die E-Mail-Adresse Ihres MyFRITZ!-Kontos >mehr

Zusatznutzen für FRITZ!Fon: Zugang zum WLAN-Gastzugang einfach teilen, Rufnummern direkt sperren, u.v.m

Praktisch im Betrieb: Schnelle Übersicht zu Updates für FRITZ!-Produkte, Abschaltbarkeit der LEDs >mehr

Neue Produkte stärker unterstützt: FRITZ!Repeater 3000 und Smart-Home-Taster FRITZ!DECT 400

(Post ID:1418)

Google Chrome oder Edge on Chromium

Suchbild: Wer erkennt, wer von beiden Browsern im Foto der Google Chrome für Enterprise und welcher Microsoft Edge auf Chromium-Basis ist? Die Auflösung später.

• Beide #Browser (wie auch einige Andere Modelle) basieren auf dem Open-Source Chromium Projekt. Der Microsoft Browser ist damit in weiten Teilen kompatibel. Hier die ersten Unterschiede:
• Edge schlägt bei den Erweiterungen erstmal nur welche aus dem Microsoft Store vor. Mit einem Mausklick kann man aber den Google #Chrome store auch für #Edge frei schalten
• Konto und Synchronisation sind wie erwartet ein Microsoft Konto und Onedrive und kein Google Konto mit Google Drive
• Updates kommen über den Chrom Update-Helper bei BEIDEN (also nicht über Windows Updates beim Edge)
• Es soll einen Internet Explorer 11 Kompatibilitätsmodus geben (noch nicht gefunden). Damit wäre der Dinosaurier und alte IE11 endlich überflüssig.

Microsoft plant das Release nach aktuellen Erkenntnissen im Frühjahr 2020 mit dem nächsten großen #Windows 10 Feature Update.

Wer genau hin schaut, sieht auf der rechten Seite Edge. Man erkennt es an dem eckigeren Design, den anderen Symbolen und am Feedback Smilie-Button (den man übrigens abschalten kann).

Chrome - welches Flash-Plugin ist aktiv

Obwohl der Browser Google Chrome ab der Version 76 vermutlich das Flash-Plugin ab Werk ausschaltet, ist es dennoch im Browser enthalten und wird zunächst - wenn man keine andere Einstellung per Gruppenrichtlinie verteilt, aktualisiert.
Wer herausfinden möchte, welche Version vom Flash Plugin installiert ist, kann den Befehl:
chrome://version/
in der Adresszeile vom Chrome Browser eingeben und erhält eine detailierte Versionsübersicht der Software. Darunter auch das Flash-Modul:
Flash: 32.0.0.207
Sieht dann etwa so aus.

(Post ID:1399)

Unitymedia verteilt Fritzbox Update 7.02

Ab 30.04.2019 verteilt Unitymedia das FritzBox Update 7.02 für seine 6490 Modelle. Behoben werden einige Fehler, die die 7.01 Version noch hatte. Kunden können entscheiden, ob sie das Update sofort machen oder einen Monat lang warten.
Ab 21. Mai 2019 spielt dann Unitymedia spätestens das Update über Nacht ein.