Browser machen ernst: Warnung vor unsicheren Logins

Der Stein, den die kostenlosen SSL-Zertifikate von Let’s Encrypt ins Rollen gebracht hat, lässt sich nicht mehr stoppen. Verschlüsselte Verbindungen zu Websites werden der neue Standard sein. Mit den neusten Versionen der Browser Firefox und Chrome werden Login- und Kreditkartenformulare als unsicher markiert, wenn diese nicht durch ein SSL-Zertifikat geschützt sind.

Schrittweise Angewöhnung

Konsequenterweise müssten alle Websites, die nicht per HTTPS aufgerufen werden, als unsicher markiert werden. Doch ein Überfluss an Warnungen kann abstumpfen und der gewünschte Effekt verpufft. Deshalb haben sich die Entwickler der beiden Browser für eine schrittweise Angewöhnung der Nutzer an den zukünftigen Normalzustand entschieden.

Unsichere Login-Formulare werden markiert

Zu den Informationen, mit denen Angreifer den grössten Schaden verursachen können, gehören Passwörter und Kreditkarten-Daten. Darum werden ab Chrome 56 und Firefox 51 Websites neu als unsicher eingestuft, wenn sie über unverschlüsseltes HTTP geladen werden und Formularfelder enthalten, in denen Login- oder Kreditkarten-Daten abgefragt werden. Und so sieht das aus:

Warnung vor unsicheren Login-Formularen in Firefox

Warnung vor unsicheren Login-Formularen in Firefox.

Warnung vor unsicheren Login-Formularen in Chrome

Warnung vor unsicheren Login-Formularen in Chrome.

Die Entwickler von Firefox planen zudem, Nutzern direkt in den Formularfeldern eine Warnung anzuzeigen, wenn diese unsicher sind:

Firefox: Geplante Warnung in unsicheren Formularfeldern.

Firefox: Geplante Warnung in unsicheren Formularfeldern.

HTTPS: Schutz vor Manipulation

Dass SSL-verschlüsselte Verbindungen Vertrauen schaffen, von Google bevorzugt werden und Voraussetzung für das schnellere Protokoll HTTP/2 sind, ist bekannt. Ein Aspekt von HTTPS ist bislang jedoch nicht allzu oft beleuchtet worden, verdient aber unbedingt mehr Beachtung: Schutz vor Manipulation.

Websites, die Sie über eine unverschlüsselte Verbindung aufrufen, können prinzipiell auf dem Weg zu Ihnen verändert worden sein. Oder Ihr Internet-Provider lässt zusätzliche Werbung anzeigen.

Schützen Sie Besucher Ihrer Website vor solchen Manipulationen. Dank Let’s Encrypt sind die benötigten SSL-Zertifikate nur noch einen Mausklick entfernt.

WebP: Mehr Speed für Ihre Website dank kleineren Bilddateien

Auch wenn die verfügbaren Bandbreiten von Internetanschlüssen immer grösser werden: Dateigrössen zu optimieren lohnt sich. Je weniger Bits über das Netz verschickt werden müssen, umso besser. Gerade bei Bildern ist oft noch Optimierungspotenzial vorhanden. Das Bildformat WebP soll besser als JPEG und PNG sein. Doch stimmt das wirklich?

WebP: Mehr Speed für Ihre Website dank kleineren Bilddateien

Die Geschichte

WebP wurde 2010 erstmals der Öffentlichkeit vorgestellt und seither konstant weiterentwickelt. Hinter dem Projekt steht Google, das mit dem Videoformat VP8 den Grundstein für das neue Bildformat gelegt hatte.

WebP unterstützt sowohl eine verlustbehaftete (lossy) als auch eine verlustfreie (lossless) Komprimierung und kann für statische und animierte Bilder genutzt werden. Damit kann WebP die drei im Web genutzten Bildformate JPEG, PNG und GIF ersetzen.

Wieviel spart WebP ein?

Google hat im Vergleich zu JPEG im Schnitt 25%-34% kleinere Dateigrössen gemessen. Und das bei gleichem SSIM-Index. Das heisst, die WebP-Bilder verfügen trotz kleinerer Dateigrösse über die gleich wahrgenommene Qualität wie die JPEG-Versionen.

Gegenüber PNGOUT, das PNG-Dateien komprimiert, hatten die Google-Ingenieure Dateigrösseneinsparungen von durchschnittlich 26% gemessen. Vor allem für bildlastige Websites ein schlagendes Argument für WebP. Mit den Tools ImageAlpha und ImageOptim konnten wir in unseren Tests jedoch noch kleinere Dateien im PNG-Format erzeugen, als das mit WebP der Fall war.

Kritik von Experten

Längst nicht alle Experten sind von WebP überzeugt. Kritiker zweifeln den Nutzen des Dateiformats im Alltagsbetrieb an. So sind WebP-Dateien zwar kleiner als Dateien, die ihre älteren Konkurrenzformate produzieren, verbrauchen auf dem Gerät des Betrachters hingegen auch mehr Rechenzeit bei der Darstellung. Unter Umständen schmilzt damit der durch die geringere Dateigrösse erzielte Geschwindigkeitsvorteil dahin.

Ausserdem wird kritisiert, dass mit neueren Algorithmen auch mit JPEG und PNG vergleichbar kleine Dateigrössen möglich sind. Ein weiteres Format sei damit unnötig. Die noch geringe Verbreitung zeigt sich auch im Livebetrieb: Benutzer kennen JPEG und PNG und können die Formate mit all ihren Geräten anzeigen. WebP hingegen wird nur von den Browsern Chrome und Opera ohne Plugins verstanden. Schickt ein Benutzer z.B. ein WebP-Bild per E-Mail an einen Empfänger, kann dieser oft nichts mit der Datei anfangen.

WebP auf der eigenen Website nutzen

Mit wenig Aufwand können Sie den Besuchern, die mit einem WebP-kompatiblen Browser unterwegs sind, die passende Datei anzeigen. So funktioniert’s:

Mit WordPress

Für das beliebteste CMS unserer Kunden stehen zwei Plugins zur Verfügung, mit denen sich mit wenigen Klicks WebP-Support einbauen lässt. Kombinieren Sie das Bildoptimierungsplugin Optimus und das Caching-Plugin Cache Enabler um ganz einfach WebP-Bilder auszuliefern, wenn der Browser Ihres Besuchers das Dateiformat unterstützt.

Übrigens: Wir nutzen Optimus und Cache Enabler in unserem Blog. Wenn Sie diesen Beitrag mit Chrome oder Opera lesen, sind die Bilder im WebP-Format eingebunden.

Mit Joomla

Im Einsatz mit Joomla hilft das Plugin WebP for Joomla. Es konvertiert zum einen Bilder aus den Formaten JPEG und PNG und stellt zum anderen sicher, dass die Dateien nur an Browser ausgeliefert werden, die das Format unterstützen.

Das Plugin setzt für die Umwandlung auf die GD Library, die bei allen von uns angebotenen PHP-Versionen integriert ist und den nötigen WebP-Support mitbringt.

Unterstützung selbst erkennen

Ob Ihre Besucher mit einem Browser unterwegs sind, der WebP unterstützt, können Sie mit einer Rewrite-Regel in der .htaccess-Datei erkennen:

<IfModule mod_rewrite.c>
  RewriteEngine On
  RewriteCond %{HTTP_ACCEPT} image/webp
  RewriteCond %{DOCUMENT_ROOT}/$1.webp -f
  RewriteRule (.+)\.(jpe?g|png)$ $1.webp [T=image/webp,E=accept:1]
</IfModule>

<IfModule mod_headers.c>
  Header append Vary Accept env=REDIRECT_accept
</IfModule>

AddType image/webp .webp

Quelle: Ilya Grigorik

Kann der Browser WebP darstellen, erhält er mit dieser Regel automatisch das Bild mit der passenden Dateiendung. Das bedingt, dass Sie Ihre Bilder zusätzlich im WebP-Format auf dem Server ablegen. Am einfachsten erreichen Sie das mit einem Dienst wie Optimus, der sich über eine API ansprechen lässt und bestehende JPEG- und PNG-Bilder nach WebP konvertiert. Oder Sie konvertieren die Bilder bereits, bevor Sie sie auf den Server laden. Eine ganze Menge von Bildbearbeitungsprogrammen unterstützt WebP übrigens von Haus aus. Darunter Apps wie Sketch, Pixelmator und GIMP. Bringt Ihre favorisierte Software keine native Unterstützung mit, lässt sie sich oft mit einem passenden Plugin erweitern.

Fazit

Die Formate PNG und JPEG mag WebP zwar nicht komplett ersetzen, dazu fehlt die nötige Unterstützung in Browsern wie Firefox, Safari oder IE. Nutzen Sie ein Content-Management-System wie WordPress oder Joomla, genügt aber bereits die Installation eines Plugins um Ihre Website mit WebP auszustatten und je nach Besucher die passende Datei auszuliefern.

Steht für Ihr CMS kein Plugin zur Verfügung oder bauen Sie Ihre Website manuell? Dann ist der Aufwand ein wenig grösser, um WebP in Ihren Workflow einzubauen. Dieser Zusatzaufwand lässt sich jedoch gut automatisieren.

Brute-Force-Attacken: 5 Tipps um dagegen gewappnet zu sein

Mit Brute-Force-Attacken versuchen Angreifer Websites zu kapern. Wir zeigen, was Brute-Force-Attacken genau sind und geben Tipps, wie Sie Ihre Website gegen solche Angriffe schützen.

Brute-Force-Attacken

5 Tipps, um gegen Brute-Force-Attacken gewappnet zu sein.

Was sind Brute-Force-Attacken?

Die Brute-Force-Methode (aus dem Englischen «brute force» = rohe Gewalt) im Kontext von Websites lässt sich einfach definieren: Angreifer versuchen Benutzername-Passwort-Kombinationen zu erraten, um sich Zugriff zur Administrationsoberfläche von Content-Management-Systemen wie WordPress, Joomla oder Drupal zu verschaffen.

Brute-Force-Attacken nehmen meistens Passwortlisten als Grundlage, die immer wieder einmal durchs Netz geistern. Sogenannte Wörterbuchangriffe sind deshalb so verbreitet, weil viele Nutzer schlechte Passwörter hinterlegt haben oder das identische Passwort mit mehreren Diensten nutzen. Werden bei einem dieser Dienste Passwörter entwendet, haben Angreifer leichtes Spiel und können sich auch bei anderen Diensten mit den ergatterten Benutzerdaten einloggen.

Doch keine Sorge: Mit wenig Aufwand schützen Sie sich effektiv davor, dass solche Angriffe auf Ihrer Website Erfolg haben.

5 Ratschläge für den Kampf gegen Brute-Force-Angriffe

Sie ahnen bestimmt schon, was unser erster Tipp ist. Genau:

1. Sichere Passwörter

Das beste Mittel gegen Eindringlinge, die Ihr Passwort erraten wollen, ist ein starkes Passwort. Ein sicheres Passwort

  1. besteht aus mindestens 8 Zeichen,
  2. enthält keine Wörter, die in einem Wörterbuch vorkommen,
  3. enthält keine Zeichenfolgen, die in einem näheren Zusammenhang mit Ihnen stehen (Geburtsdaten, Haustiernamen, etc.),
  4. enthält mindestens eine Zahl, ein Sonderzeichen und besteht aus Gross- und Kleinbuchstaben.
  5. und ganz wichtig: Wird nur mit einem Dienst verwendet.

Am einfachsten verwenden Sie dafür einen Passwortmanager, denn wer kann sich schon viele verschiedene Passwörter merken. Das kann ein lokales Programm wie KeePassX und Password Gorilla oder auch ein Dienst wie 1Password und LastPass sein, wenn Sie die Passwörter auf mehreren Geräten griffbereit haben möchten.

2. Login-Seite zusätzlich absichern

Die Login-Seiten für Content-Management-Systeme sind jeweils unter typischen Adressen erreichbar (das Beispiel WordPress unter /wp-admin). Dieses typische Merkmal machen sich Angreifer zur Nutze und setzen Login-Versuche automatisiert und gezielt auf diese Adressen ab. Versehen Sie die Login-Seite für die Administrationsoberfläche Ihrer Website mit einem zusätzlichen Passwort, benennen Sie die typische Adresse um (in WordPress zum Beispiel mit einem Plugin) oder erlauben Sie den Zugriff zur Login-Seite nur ausgewählten IP-Adressen.

3. Standardbenutzernamen ändern

Oft geben Content-Management-Systeme bei der Einrichtung einen Standardbenutzernamen vor. Im Beispiel WordPress lautet dieser admin. Wählen Sie gleich bei der Einrichtung einen anderen Benutzernamen oder ändern Sie den Namen nachträglich. Mit dieser kleinen Massnahme ist Ihre Website bereits für eine Mehrzahl der Brute-Force-Attacken ausserhalb der Schusslinie.

4. Zwei-Faktor-Authentifizierung einbauen

Bereits Punkt 2 folgt diesem Credo: Mit einem zweiten Schritt, der vor den eigentlichen Anmeldevorgang geschoben wird, sind Brute-Force-Attacken praktisch kein Thema mehr. Erweitern Sie die Login-Seite mit einem Captcha oder, noch besser, mit einer Zwei-Faktor-Authentifizierung (2FA). Damit ist für den erfolgreichen Login ein zusätzliches Element nötig, das in einer entsprechenden Smartphone-App oder per SMS geliefert wird.

5. Zusatzdienste verwenden

Mit den oben genannten Tipps sind Sie bereits ganz gut gegen erfolgreiche Brute-Force-Attacken abgesichert. Brute-Force-Attacken können je nach Grösse Auswirkungen auf die Performance Ihrer Website haben und zu einem regelrechten DDoS-Angriff mutieren. Anfragen der Angreifer fressen dabei die Serverressourcen, die für Anfragen von legitimen Besuchern Ihrer Website fehlen. Hier können Anbieter wie CloudFlare, Sucuri oder Incapsula helfen, die Angriffe bereits abzuwehren, bevor diese überhaupt erst Ihre Website erreichen.

Es kann jeden treffen

Die genannten Tipps helfen Ihnen, sich gegen Brute-Force-Angriffe zu wappnen. Seien Sie sich bewusst: Jede Website kann Ziel eines solchen Angriffs werden. Völlig unabhängig davon, ob die Website viel- oder wenigbesucht ist. Brute-Force-Angriffe verlaufen meistens völlig automatisiert und Angreifer interessiert es nicht, wie beliebt eine Website ist.

Haben Sie zusätzliche Massnahmen im Einsatz, um sich gegen Angriffe zu schützen? Hinterlassen Sie uns Ihre Tipps als Kommentar.

Open Device Labs: Testlabore fürs Web

Sagenhafte 390 verschiedene Mobilgerätetypen haben in den vergangenen 30 Tagen auf unsere Website zugegriffen. Wie sieht’s bei Ihnen aus? Damit sichergestellt ist, dass Ihre Website auf all diesen Geräten gut aussieht und ganz wichtig, richtig funktioniert, bieten sich verschieden Testmethoden an. Eine davon sind Device Labs. Heute zeigen wir Ihnen, was Device Labs sind und wo Sie öffentliche, sogenannte Open Device Labs in der Schweiz finden.

Open Device Lab

Open Device Labs: Testlabore fürs Web (Bild: lab-up.org CC BY 3.0)

Gerätesammlung

Wer seine alten Gadgets zu Hause hortet, hat die besten Voraussetzungen für ein eigenes Device Lab. Device Labs sind Ansammlungen von zumeist Mobilgeräten wie Smartphones oder Tablets jeder Couleur. Gepaart mit passender Software, mit der sich die Geräte synchron steuern lassen und einem Möbel, mit dem sich die Geräte ansprechend präsentieren lassen, ergibt der Gerätehaufen ein veritables Device Lab.

Open Device Labs

Mobilgeräte gehören nicht zu den günstigsten Anschaffungen. Deshalb ist der Aufbau eines Device Labs mit hohen Kosten verbunden. Und darum sind Open Device Labs entstanden. Wie es der Zusatz Open vermuten lässt, stehen Open Device Labs für Interessierte offen um dort ihre Projekte zu testen.

Meist in Coworking-Spaces zu finden, sind Device Labs häufig direkt in Agenturbüros beheimatet. Dort sind einerseits die finanziellen Möglichkeiten vorhanden, um umfassende Labs aufzubauen und andererseits ist auch der Bedarf für umfangreiche Tests da. Stehen solche Inhouse Device Labs Interessierten offen, spricht man von Open Device Labs.

Open Device Labs in der Schweiz

Open Device Labs sind vor allem in Grossbritannien und Deutschland verbreitet, finden sich aber in allen Teilen der Welt. So auch in der Schweiz. OpenDeviceLab.com listet zurzeit 3 Labs in der Schweiz, die öffentlich zugänglich sind. Eines in Zürich, eines in Lausanne und eines in Genf. Doch auch an anderen Orten stehen Geräteparks zum Testen bereit. So zum Beispiel bei We Are Cube in Bern oder bei Wondrous in Basel.

Virtuelle Labore

Wer keine physisches Device Lab sein Eigen nennt oder in der Nähe weiss, kann auf virtuelle Lösungen zurückgreifen. Wenn auch virtuelle Lösungen nie die haptischen Eigenschaften echter Geräte ersetzen können, sind virtuelle Device Labs eine gute Möglichkeit, eigene Projekte mit möglichst vielen verschiedenen Geräten kompatibel zu machen. Bekanntester Anbieter einer solchen Lösung ist Browserstack, dessen Angebot sich auch in automatisierte Deployments einbinden lässt.

Device Lab selber machen

Sind die benötigten Geräte sowieso schon vorhanden, lässt sich ein Device Lab auch problemlos selber machen. Sei es mit einem vorgefertigten Möbel oder einer Halterung Marke Eigenbau. Die passende Software liefert ein Schweizer Unternehmen: Mit Ghostlab können Tests auf mehreren Geräten gleichzeitig durchgeführt werden. Und wenn aus dem eigenen Device Lab ein Open Device Lab werden soll, helfen die Macher von OpenDeviceLab.com, LabUp!, mit Tipps und Tricks beim Aufbau.

Es muss nicht unbedingt gleich ein eigenes Lab sein. Falls bei Ihnen Geräte herumliegen, die noch funktionieren aber nicht mehr genutzt werden, ziehen Sie doch eine Spende ans Open Device Lab in Ihrer Nähe in Betracht. Die lokale Web-Community wird es freuen.

Das war unser 2016

Ein weiteres Jahr in der cyon-Geschichte neigt sich dem Ende zu. Bevor es im neuen Jahr wieder in neuer Frische los geht, folgen wir der Tradition der vergangenen Jahre, blicken noch einmal kurz zurück und lassen einige Highlights Revue passieren.

Weihnachtsevent 2016: Das cyon-Team grüsst aus der Schokoladenmanufaktur

Weihnachtsevent 2016: Das cyon-Team grüsst aus der Schokoladenmanufaktur.

Das Jahr in Zahlen

  • 176’000 kWh Strom aus regionalen Wasserkraft- und Solaranlagen hat unsere Infrastruktur im vergangenen Jahr verbraucht. Das entspricht dem Energieverbrauch von 44 Haushalten. Umgerechnet reichen für den Betrieb Ihrer Website somit 1.9 kWh.
  • Über 275 Millionen E-Mails haben unsere Kunden erhalten. Und 333 Millionen verschickt. Das sind fast 20 E-Mails, die jede Sekunde durch unsere Leitungen sausen.
  • Unsere Spamfilter haben 627 Millionen unerwünschte Nachrichten weggefiltert.
  • Unser Netzwerk musste insgesamt 12 Stunden DDoS-Attacken aushalten, die im Schnitt eine Stärke von 16 Gbit/s hatten.
  • 176’000 Sicherheitslücken in den beliebtesten Content-Management-Systemen wurden von unserem System automatisch geschlossen. Und Website-Besitzer dadurch vor grösserem Unheil bewahrt.
  • 147 Terabyte Daten lagern auf unseren Servern. Das sind 38% mehr als noch im Vorjahr.
  • 4 neue Team-Mitglieder durften wir dieses Jahr begrüssen. Damit ist cyon mittlerweile 26 Frau/Mann stark.

Die Highlights 2016

  • Schluss mit Tricks: Seit Mitte Jahr können Sie nun auch den Zielordner für Ihre Hauptdomain ändern. Für diese Neuerung war ein grösserer Umbau an unserem System nötig, der nebst dem Setzen des Zielordners weitere neue Funktionen ermöglicht. Mehr dazu dann im neuen Jahr.
  • Über 21’000 Websites nutzen mittlerweile unsere kostenlosen SSL-Zertifikate von Let’s Encrypt. Und täglich werden es mehr. Ab Januar 2017 werden die beliebtesten Browser Adressen noch klarer kennzeichnen, wenn diese nicht über eine verschlüsselte Verbindung aufgerufen werden. Ein Grund mehr, die kostenlosen SSL-Zertifikate für Ihre Website zu aktivieren. Gewohnt einfach per Knopfdruck, versteht sich.
  • Wir haben unsere erste Lehrstelle überhaupt ausgeschrieben. Die Resonanz war grossartig und viele junge Talente haben sich beworben. Das hat uns dazu bewogen, gleich zwei der Bewerber anzustellen. Im August 2017 beginnen die beiden Lernenden ihre Lehre in unserem Software Engineering-Team.
  • Mit unserem neuen Sitebuilder ist es nun auch für Laien supereinfach, eine ansprechende Website zu gestalten. Dank integrierten E-Mail-Adressen bietet der Sitebuilder alles, was Sie für die digitale Kommunikation benötigen.
  • Und auch für Geeks haben wir kurz vor Weihnachten etwas unter den Baum gelegt. Unser Cloudserver-Angebot Geekserver ist knapp viermal günstiger geworden. So betreiben Sie Ihren ganz eigenen Linux-Server bereits ab CHF 10.- pro Monat. Perfekt für Projekte, die auf unseren Webhosting-Angeboten nicht funktionieren.

Der Blick in die Zukunft

Wir werden auch im neuen Jahr alles daran setzen, Ihnen das schönste Hosting-Erlebnis zu bieten. Freuen Sie sich auf noch mehr Speed mit einem neuen Cache, auf eine komplett neue Infrastruktur und vieles mehr. Wir können es kaum erwarten und wünschen Ihnen einen erfolgreichen Start ins 2017. Herzlichen Dank für Ihre Treue.

Seite 5 von 105« Erste...34567...102030...Letzte »