Beiträge

Veröffentlicht am

Apache-Modul “mod_speling” verfügbar

Auf unseren Linux-basierten Webservern wird (im Gegensatz zu normalen Windows-PCs) zwischen Groß- und Kleinschreibung bei Datei- und Verzeichnisnamen unterschieden, wenn Sie z.B. in Ihrem Webspace-Verzeichnis eine Datei “index.php” ablegen, und diese im Web-Browser als “INDEX.PHP” aufrufen, so wird der Aufruf fehlschlagen. Beim Domainnamen hingegen wird nicht zwischen Groß- und Kleinschreibung unterschieden, so macht es z.B. keinen Unterschied, ob Sie “variomedia.de” oder “VARIOMEDIA.DE” in Ihrem Browser aufrufen.
Manchmal ist es auch wünschenswert, dass kleine Tippfehler bei URLs automatisch korrigiert werden. z.B. wenn im Browser statt “.html” als Dateiendung “.htm” eingegeben wird.

Mit dem Apache-Modul mod_speling können diese Fehler in URLs automatisch korrigiert werden, der Webserver leitet dann auf die korrekte URL weiter. Falls es zu einer ungültigen URL mehrere möglicherweise passende Dateien auf dem Server gibt, wird eine Auswahl dieser Dateien angezeigt.

Das Modul wurde gestern auf allen Webservern installiert, ist jedoch aus Sicherheits- und Performancegründen standardmäßig deaktiviert. Um es zu aktivieren, muss eine .htaccess-Datei mit der Option “CheckSpelling on” im gewünschten Webspace-Verzeichnis erstellt werden. Sie können dabei wählen, ob ausschließlich Groß-/Kleinschreibung oder zusätzlich auch (maximal 1) Tippfehler automatisch korrigiert werden sollen:

Tippfehler und Groß-/Kleinschreibung korrigieren
<IfModule mod_speling.c>
  CheckSpelling on
</IfModule>

Nur Groß-/Kleinschreibung korrigieren
<IfModule mod_speling.c>
  CheckSpelling on
  CheckCaseOnly on
</IfModule>

Wie bei .htaccess-Dateien üblich gilt diese Einstellung dann auch für alle Unterverzeichnisse.

Veröffentlicht am

Aktion im Februar: .cz-Domains dauerhaft für 12,- Euro / Jahr

Im Februar haben wir für unser Kunden ein besonderes Angebot, wenn Sie sich für eine tschechische Domain interessieren: Wenn Sie zwischen dem 1.2. und dem 28.2. eine (oder mehrere) .cz-Domain(s) beauftragen, berechnen wir für diese anstelle des Normalpreises von 33,- Euro nur 12,- Euro pro Jahr.

Dieser Preis gilt dauerhaft, also auch für alle künftigen Verlängerungen der im Aktionszeitraum registrierten (oder übernommenen) .cz-Domains.

Wenn Sie einen Neukunden werben, der mindestens eine .cz-Domain bei uns registriert, erhalten Sie für die Werbung dieses Kunden eine einmalige Gutschrift über 10,- Euro. Der Neukunde muss dazu im Bestellvorgang Ihre Kundennummer als Referenz im Kommentarfeld angeben. Natürlich gilt der reduzierte Preis von 12,- Euro auch für diese Neukunden dauerhaft.

Veröffentlicht am

Freigabe von 16.000 gesperrten .berlin-Domains

Heute teilte die Registrierungsstelle für .berlin-Domains (dotBerlin) mit, dass über 16.000 bisher gesperrte Domainnamen am 21. Januar zur Registrierung freigegeben werden. Die zuvor wirksame Sperre bestand überwiegend aus technischen Gründen (“Name Collision”). Die nun freigegebenen Domains sind zu einem großen Teil relativ wertlos (z.B. b2k1k4j-v3ah.berlin), es befinden sich aber auch einige durchaus interessante Domainnamen auf der Liste:

  • Vornamen wie anton.berlin, kerstin.berlin, thomas.berlin, yvonne.berlin und viele andere
  • Familiennamen wie becker.berlin, henkel.berlin, schulze.berlin und andere
  • großartige Domains wie drillinge.berlin, ehrenamt.berlin, knast.berlin, stau.berlin oder wohnsitz.berlin.

Die vollständige Liste aller Begriffe von dotBerlin finden Sie auf der Seite der Registrierungsstelle. Wir haben die Liste einmal mit den Wörtern in einem deutschen Wörterbuch abgeglichen. Heraus kamen etwas über 300 wirklich gute Domainnamen, viele weitere Namen, Branchen, Orte und Berufe verstecken sich noch in der vollständigen Liste.

Veröffentlicht am

Neue Domainpreise ab dem 1. Januar 2015

Wie bereits angekündigt, ändern wir zum Jahreswechsel die Preise zahlreicher Top-Level-Domains. Insgesamt senken wir für 252 TLDs – darunter .eu, .at und .ch – den Preis um durchschnittlich 16%. Diese Preissenkung wurde durch größere Abnahmemengen und verbesserte Prozesse möglich.

Für 46 TLDs – darunter auch die TLDs .com, .net und .org – müssen wir den Preis leider um durchschnittlich 14% erhöhen. Die Gründe für die Preiserhöhung liegen im stetig steigenden Preis des Dollars in den vergangenen Monaten und den regelmäßigen Preiserhöhungen der Registrierungsstellen, die wir viele Jahre lang nicht an unsere Kunden weitergegeben haben.

In unserer Domainpreisliste finden Sie die neuen Preise aller Top-Level-Domains.

Die neuen Preise gelten für alle Registrierungen, Verlängerungen und Übernahmen ab dem 1. Januar 2015.

Veröffentlicht am

Aktuelle Änderungen an der Webserver-Konfiguration

Gegenwärtig wechseln wir die Server-Plattform bestehender älterer Webserver auf unsere aktuelle Softwareumumgebung, die wir seit Januar 2014 für neue Benutzeraccounts einsetzen. Dabei aktualisieren wir auch die verwendete Webserver-Software Apache von Version 2.2 auf 2.4, wodurch es vereinzelt zu Problemen aufgrund geänderter Konfigurationsdirektiven kommen kann.

Betroffen sind Benutzeraccounts, die vor dem Januar 2014 angelegt wurden.

Grundsätzlich sollten bestehende .htaccess-Konfigurationsdateien sowie HTML-Dateien mit “Server-Side-Includes” weiterhin funktionieren, in wenigen Ausnahmefällen kann es jedoch zu Problemen kommen. Eine ausführliche Dokumentation der mit Apache 2.4 möglichen Konfigurationsoptionen und SSI-Direktiven finden Sie hier.

Die Änderungen im Einzelnen:

  • Verzeichnisindex
    Auf den alten Webservern wurde für Verzeichnisse ohne Indexdatei (index.php, index.html usw.) standardmäßig eine Auflistung aller Dateien angezeigt, dieser Verzeichnisindex ist auf den neueren Webservern aus Sicherheitsgründen deaktiviert. Falls es keine gültige Index-Datei gibt, wird eine Fehlermeldung angezeigt. Diese Änderung wurde notwendig, da viele Kunden dieses Verhalten des Webservers nicht erwartet haben, und dadurch unter Umständen Dateien mit sensiblen Inhalten ungewollt  im Internet auffindbar waren. Um den Verzeichnisindex wieder zu aktivieren, legen Sie in in Ihrem Benutzerverzeichnis (bzw. dem gewünschten Unterverzeichnis) auf dem Webserver eine .htaccess-Datei mit der Option “Options +Indexes” an.
  • .htaccess-Dateien
    In .htaccess-Dateien ist unbedingt auf korrekte Groß- und Kleinschreibung bei den Konfigurationsdirektiven zu achten.
  • Server-Side-Includes
    Die Syntax für SSI-Expressions wurde in Apache 2.4 geändert, die alte Syntax lässt sich durch eine .htaccess-Datei mit der Option “SSILegacyExprParser on” wieder aktivieren.
  • Cronjobs
    Es ist in Einzelfällen vorgekommen, dass Cronjobs, die auf den bisherigen Servern liefen jetzt nicht mehr aktiv sind. Bitte fügen Sie diese wieder hinzu, sollte Ihr Benutzeraccount von dem Problem betroffen sein.
  • PHP
    Auf den neuen Webservern steht PHP 4 nicht mehr zur Verfügung, da es mittlerweile veraltet ist und sei Jahren nicht mehr mit Sicherheitsupdates versorgt wird. Verfügbar sind die PHP-Versionen 5.2, 5.3, 5.5 und 5.6. Die Standard-PHP-Version hat sich nicht geändert, für ältere Accounts ist dies weiterhin PHP 5.3. Sie können auch eine andere PHP-Version auswählen, Informationen dazu finden Sie hier. Bitte beachten Sie: Die Deaktivierung des ebenfalls veralteten PHP 5.2 ist für den 1.7.2015 geplant.
    Aus Sicherheitsgründen wurde weiterhin die PHP-Einstellung “allow_url_fopen” in allen PHP-Versionen standardmäßig deaktiviert. Sie können diese Einstellung über eine php.ini-Datei mit der Option “allow_url_fopen = on” wieder aktivieren.
  • SSH Host Keys
    Wir haben einige bestehende Webserver mit sehr vielen Präsenzen auf mehrere neue Server aufgeteilt, um die Leistung zu verbessern. Daher kommt es bei einigen Kunden-Accounts zu einer Warnung beim SSH- bzw. SFTP-Zugriff, dass sich der Host-Key geändert hat.
  • HTTP Status Codes
    Mit der neuen Apache-Version werden nur noch offizielle HTTP Status-Codes unterstützt. Die Verwendung inoffizieller Status-Codes wie 421 oder 509 in .htaccess-Direktiven führt jetzt zu einem Server-Fehler.
  • Server-Betriebssystem
    Durch den Wechsel der verwendeten Linux-Distribution von CentOS 5 auf Ubuntu 14.04 kann es für Kunden, die eigene Binärpakete nutzen, ebenfalls vereinzelt zu Problemen aufgrund aktuellerer Softwarepakete und Systembibliotheken kommen.
Veröffentlicht am

PHP 5.6 auf allen neuen Webservern

Ab sofort steht auf allen neuen Webservern PHP in der Version 5.6 zur Verfügung.  In unseren FAQ finden Sie eine Anleitung, wie sich PHP 5.6 für Ihren Benutzeraccount aktivieren lässt.

Kunden, die derzeit noch auf älteren Webservern liegen und PHP 5.6 daher noch nicht nutzen können, werden in den nächsten Wochen auf neuere Webserver umgezogen. Neu eingerichtete Benutzeraccounts werden ausschließlich auf neuen Webservern eingerichtet.

Veröffentlicht am

Ruhe in Frieden: SSL 3

SSL und TLS werden im Internet zum Verschlüsseln des Datenverkehrs zwischen Clients und Servern verwendet.  Es findet unter anderem Verwendung bei dem verbreiteten HTTPS-Protokoll, aber auch beispielsweise bei der Kommunikation zwischen E-Mail-Servern. Bei SSL handelt es sich ursprünglich um einen Standard von Netscape, während TLS seit 1999 der offizielle Nachfolger ist und von der IETF – dem Standardorgan des Internets – spezifiziert wird.

Da uns die Sicherheit der von unseren Kunden genutzten Dienste sehr am Herzen liegt, hatten unsere Server stets sehr ausgefeilte TLS-Konfigurationen, die maximale Sicherheit mit praktikabler Kompatibilität balancierten.  Deshalb war auch SSL in der Version 3 (die letzte Version vor TLS aus dem Jahr 1996!) aktiviert, da es keine handfesten Gründen dagegen gab.

Da sich nun jedoch die Gerüchte mehren (hier oder hier), dass Microsoft in dieser Woche kritische Probleme mit SSL 3 veröffentlichen will, nehmen wir es zum Anlass und deaktivieren es auf allen unseren Systemen.

Das bedeutet, dass ab sofort nur noch Verschlüsselung mit TLS 1.0 (aus dem Jahr 1999!) und neuer möglich ist.

In der Praxis bedeutet dies, dass Internet Explorer 6 unter Windows XP nicht mehr auf HTTPS-Seiten auf unseren Servern zugreifen kann.

Es ist jedoch weiterhin möglich unter Windows XP mit Internet Explorer 8, Firefox oder Chrome diese Seiten abzurufen. Wir denken daher nicht, dass ernsthafte Einschränkung bei der Nutzung unserer Webserver zu erwarten sind. Ebenfalls aktualisiert wurden die Konfigurationen unserer E-Mail-Server.

Update vom 15.10.2014: Mittlerweile wurde die Schwachstelle von Google (statt wie anfangs vermutet Microsoft) veröffentlicht: sie wurde POODLE getauft und ist ein naher Verwandter des älteren BEAST-Angriffs. Das bedeutet, es benötigt einen aktiven Angreifer und ist somit nicht mit Shellshock oder gar Heartbleed vergleichbar. Wir sehen uns in der Maßnahme, SSL 3 abzuschalten bestätigt. Es sind keine weiteren Maßnahmen notwendig.

Veröffentlicht am

Bash-Sicherheitslücke “ShellShock”

Am 24.09. wurde eine Sicherheitslücke in der auch auf unseren Webservern verwendeten Unix-Shell “Bash” bekannt, die es Angreifern per HTTP ermöglicht, über CGI-Scripte (PHP, Python, Perl) mit Shell-Aufrufen eigene Befehle auf dem Webserver auszuführen (CVE-2014-6271). Für diese Sicherheitslücke waren wenige Stunden nach Bekanntwerden Patches verfügbar, die wir selbstverständlich sofort auf allen Servern eingespielt haben.

In den folgenden Tagen wurden weitere Probleme in Bash bekannt, die jedoch weniger schwerwiegende Angriffsmöglichkeiten auf unseren Servern geboten haben (CVE-2014-7169, CVE-2014-7186, CVE-2014-7187, CVE-2014-6277 CVE-2014-6278). Auch für diese Sicherheitslücken haben wir kurz nach Bekanntwerden Patches installiert.

In den Webserver-Logs finden sich keine Hinweise, dass diese Sicherheitslücken in der Zeit zwischen Bekanntwerden bis zum Einspielen der Updates von Angreifern ausgenutzt wurden.

Veröffentlicht am

SEPA-Lastschrift jetzt aus allen Euro-Ländern möglich

Das Lastschriftverfahren ist unter unseren Kunden in Deutschland die beliebteste Zahlungsweise, da sie bequem, sicher und kostengünstig ist. Mit Einführung des SEPA-Lastschriftverfahrens können wir nun auch Lastschriften von Konten außerhalb Deutschlands durchführen, sofern diese in Euro geführt werden. SEPA-Lastschriften sind damit aus folgenden Ländern möglich:

  • Belgien
  • Deutschland
  • Estland
  • Finnland
  • Frankreich
  • Griechenland
  • Irland
  • Italien
  • Lettland
  • Luxemburg
  • Malta
  • Niederlande
  • Österreich
  • Portugal
  • Slowakei
  • Spanien
  • Zypern

Kunden mit einem Konto in diesen Ländern können uns ihre Bankverbindung per E-Mail mitteilen oder unser Lastschrift-Formular nutzen. Sowohl aus diesen Ländern als auch außerhalb der Eurozone können Rechnungen weiterhin per Kreditkarte (im Kundenmenü) oder per Überweisung bezahlt werden.

Veröffentlicht am

Mögliches Sicherheitsproblem auf den Webservern: FollowSymLinks

Wir haben aufgrund möglicher Sicherheitsprobleme auf den Webservern eine Änderung an der Server-Konfiguration vornehmen müssen. Die Konfigurationsdirektive “FollowSymLinks” kann ab sofort nicht mehr in .htaccess-Dateien benutzt werden. Falls Sie diese Option nutzen, wird für Ihre Webseite jetzt eine Fehlermeldung angezeigt.

Bitte entfernen Sie diese Option in allen .htaccess-Dateien, oder ersetzen sie durch “SymLinksIfOwnerMatch”. Wir nehmen diese Änderung im Laufe des Tages automatisch für alle bestehenden .htaccess-Dateien vor.

Update: Die Option “All” kann ebenso nicht mehr in .htaccess-Dateien benutzt werden, da sie  “FollowSymLinks” impliziert.