Beiträge

Veröffentlicht am

Phishing-Mails im Namen von Variomedia

Heute Nacht wurden massenhaft Phishing-Mails im Namen von Variomedia an bei uns gehostete Postfächer gesendet, in denen die Empfänger dazu aufgefordert werden, das Variomedia-Webmail zu aktualisieren. Auf der verlinkten Webseite werden die Zugangsdaten des Postfachs abgefragt, die dann in den Händen von Unbefugten landen.

Phishing-Mail, die an Variomedia-Kunden geschickt wurde
Phishing-Mail, die an Variomedia-Kunden geschickt wurde

Diese Mails sind relativ gut gemacht und nicht auf den ersten Blick als Fälschung zu erkennen. Falls Sie der Aufforderung nachgekommen sind, und Ihre Zugangsdaten hier eingegeben haben, sollten Sie umgehend das Passwort des betroffenen E-Mail-Postfachs ändern.

Hinweise zur Erkennung von Phishing-Mails

Echte E-Mails von Variomedia enthalten immer eine persönliche Anrede mit Ihrem Namen.

In Phishing-Mails werden häufig E-Mail-Absenderadressen und HTTP-Links genutzt, die im Beschreibungstext eine abweichende Adresse anzeigen. So wird z.B. als Absenderadresse “Variomedia” angezeigt aber nicht die tatsächliche Absenderadresse nutzt eine .ca Domain, und im Link steht “https://www.variomedia.de/mail/pakete/”, doch der tatsächliche Link verweist auf eine .at Domain.

E-Mails von Variomedia haben immer eine Absenderadresse (nach dem @) der Domain variomedia.de oder einer oder einer Sub-Domain von variomedia.de.

Falls wir Ihnen per E-Mail einen Link auf eine unserer Webseiten senden, so achten Sie bitte darauf, dass in der Adresszeile des Web-Browsers eine Webseite unter der Domain variomedia.de oder einer Sub-Domain von variomedia.de geladen wird. Nur auf diesen Webseiten können Sie gefahrlos Ihre E-Mail-Zugangsdaten eingeben.

Ursprung der E-Mail-Adressen

Wir können nicht sicher sagen, woher die Versender die E-Mail-Adressen haben. Es scheint sich um eine relativ alte Liste zu handeln, da bei uns viele Postfächer angeschrieben wurden, die es gar nicht mehr gibt. Alle von uns stichprobenhaft getesteten E-Mail-Adressen befinden sich in Listen von früheren Leaks. In welchen Leaks Ihre eigene E-Mail-Adresse auftaucht, können Sie auf der Seite https://haveibeenpwned.com/ oder beim Angebot des deutschen Hasso-Plattner-Instituts unter https://sec.hpi.de/ilc/search?lang=de testen.

Veröffentlicht am

Preiserhöhung für neue .sexy-Domains ab dem 30.04.2022

Die Registrierungsstelle für .sexy-Domains erhöht die Preise für Neuregistrierungen deutlich. Bestehende Domains behalten ihren bisherigen Preis.

Der Preis für Domains, die ab dem 30.04.2022 (18 Uhr) registriert werden, beträgt 2.988 Euro pro Jahr (inkl. MwSt.); bisher kosteten .sexy-Domains 39,- Euro pro Jahr.

Wir interpretieren die Preispolitik der Registrierungsstelle so, dass es wohl ertragreicher ist, nur wenige Domains zu sehr hohen Preisen an zahlungskräftige Markeninhaber zu verkaufen als viele Domains zu einem günstigeren Preis.

Wir empfehlen allen Interessent:innen an einer .sexy-Domain daher, die gewünschte Domain vor dem 30.04.2022 zu registrieren, um sich den bisherigen Preis zu sichern. Eine Verfügbarkeitsprüfung ist im Kundenmenü oder über unsere Webseite möglich.

Veröffentlicht am

Neue Generation der OX Drive App für iOS

Open-Xchange hat im Februar eine neue Generation der OX Drive App für iOS vorgestellt, die besser in iOS integriert ist. Mit dieser neuen Version können Sie nun auf Ihre Daten in OX Drive auch über die reguläre iOS Dateien App zugreifen.

Da es sich nicht um ein einfaches Update handelt, sondern um eine komplett neu entwickelte App, die nur mit einem Open-Xchange-Server der aktuellen Version 7.10.6 funktioniert, erhalten Sie diese App nicht über die automatische Update-Funktion des App Stores. Sie müssen die alte OX Drive App (“OX Drive”) deinstallieren, und die neue OX Drive App (“OX Drive by Open-Xchange”) installieren.

Die alte OX Drive App für iOS funktioniert jedoch auch weiterhin, Sie müssen also nicht sofort ein Update vornehmen.

Die Änderung betrifft nur iOS Geräte, die OX Drive App für Android muss nicht neu installiert werden.

Veröffentlicht am

Start der neuen Top-Level-Domain .day am 01.02.2022

Logo der neuen Top-Level-Domain .day (Google Registry)

In Kürze startet die neue Domainendung .day für alle, die eine Domain für einen besonderen Tag suchen oder in einem Blog über ihren Tag berichten.

Noch bis zum 24.01.2022 können Inhaber:innen von Markenrechten die zu ihrer Marke passende .day-Domain bevorzugt registrieren. Zwischen dem 25.01.2022 und dem 01.02.2022 ist eine bevorzugte Registrierung für alle Interessent:innen möglich, die einen täglich sinkenden einmaligen Aufpreis bezahlen (“Early Access Period”).

Ab dem 01.02.2022 um 17 Uhr ist dann die freie Registrierung zum Normalpreis von 21,- Euro pro Jahr möglich. Einige besonders attraktive Premiumdomains werden zu höheren Preisen angeboten.

Gerne nehmen wir Ihre unverbindlichen Vormerkungen hier an. Auf der Seite finden Sie auch weitere Informationen zur Einführung von .day-Domains.

Veröffentlicht am

Keine Gefahr durch “Log4j”-Sicherheitslücke

Am 09.12.2021 wurde unter dem Namen Log4Shell eine schwere Sicherheitslücke in der von vielen Java-Anwendungen genutzten Softwarebibliothek Log4j bekanntgegeben, die das Ausführen von beliebigem Schadcode auf betroffenen Servern ermöglicht.

Java ist eine eigentlich als sehr sicher geltende Programmiersprache, die daher häufig für Server-Dienste genutzt wird und auch bei uns für einige Dienste zum Einsatz kommt. Die Log4j- Softwarebibliothek wird von vielen Java-Anwendungen zum Schreiben von Protokolldateien (Logs) genutzt. Durch spezielle Zeichenketten (z.B. im User Agent-Header einer gewöhnlichen HTTP-Anfrage) können Angreifer das Nachladen von beliebiger Software veranlassen, sofern diese unverändert zur Protokollierung an Log4j durchgereicht werden.

Wir haben nach Bekanntwerden der Sicherheitslücke alle von uns genutzten Java-Anwendungen überprüft und bei von der Sicherheitslücke betroffenen Anwendungen umgehend die von den Log4j-Entwicklern vorgeschlagenen Gegenmaßnahmen umgesetzt. In den Log-Dateien der betroffenen Server gibt es keine Hinweise darauf, dass diese Sicherheitslücke vor der Umsetzung der Gegenmaßnahmen erfolgreich ausgenutzt wurde.

Web-Anwendungen wie WordPress, Typo3, Magento usw., die von unseren Kund:innen oder uns auf unseren Webservern installiert werden, sind nicht von dieser Sicherheitslücke betroffen, da sie kein Java nutzen.

Veröffentlicht am

PHP 8.1 verfügbar

Das Entwicklerteam der von Web-Anwendungen am häufigsten genutzten Programmiersprache PHP stellt jedes Jahr gegen Ende November eine neue Version der Programmiersprache bereit.

Heute (25.11.2021) wurde die PHP-Version 8.1 veröffentlicht. Wir haben diese neue PHP-Version bereits auf allen Webservern installiert, so dass Sie sie ab sofort nutzen können.

Änderungen in PHP 8.1

Da es sich bei PHP 8.1 um ein Minor-Release handelt, fallen die nicht zu den Vorgängerversionen abwärtskompatiblen Änderungen eher geringfügig aus. Dennoch kann es bei einigen Web-Anwendungen zu Fehlern bei der Nutzung von PHP 8.1 kommen, die jedoch in den kommenden Wochen und Monaten durch Updates dieser Anwendungen behoben werden sollten.

Eine Änderung, die zu Problemen führen kann, ist die Änderung der Standardeinstellung für die MySQLi-Fehlerbehandlung. Bisher war die Standardeinstellung MYSQLI_REPORT_OFF, damit wurden eventuelle Fehler nicht abgefangen, und die Programmausführung im Fehlerfall einfach fortgesetzt. In PHP 8.1 ändert sich die Standardeinstellung auf MYSQLI_REPORT_ERROR|MYSQLI_REPORT_STRICT, damit wird im Fehlerfall eine Exception generiert. Falls diese Exception nicht behandelt wird, können Programme jetzt Fehler anzeigen.

Eine Übersicht über alle Änderungen und Neuerung in PHP 8.1 finden Sie hier.

Neuerungen in PHP 8.1

In PHP 8.1 wurde ein neuer Datentyp für sogenannte Enumerations (enum) hinzugefügt. Eine Enumeration kann eine feste Anzahl an beliebig vorgegebenen Werten annehmen. Eine Enumeration könnte beispielsweise genutzt werden, um die verschiedenen Farben eins Kartenspiels abzubilden:

enum Suit {
case Hearts;
case Diamonds;
case Clubs;
case Spades;
}

Eine wichtige Neuerung sind die sogenannten Fibers, damit können in PHP mehrere Aufgaben nebenläufig ausgeführt werden. Es handelt sich jedoch nicht um echte Parallelität; wird ein Fiber gestartet, so wird das Hauptprogramm angehalten, bis der Fiber unterbrochen oder beendet wird . Dieses Feature richtet sich hauptsächlich an Entwickler von PHP-Frameworks, die damit beispielsweise Event Loops implementieren können.

Eine weitere Neuerung ist der sogenannte Inheritance Cache für OpCache. Bisher wurden Vererbungsbeziehungen zwischen Klassen in OpCache nicht vollständig aufgelöst zwischengespeichert, so dass dies immer zur Laufzeit geschehen musste (Linking). Dieser Vorgang ist relativ aufwändig und verlangsamt den Programmstart. In PHP 8.1 werden Klassen jetzt vollständig gelinkt im OpCache zwischengespeichert, dies führt zu einer Performance-Verbesserung von bis zu 8%.

Verbesserungen in PHP 8.1

Wir konnten in ersten Tests eine Verbesserung der Ausführungsgeschwindigkeit von bis zu 10% im Vergleich zur Vorgängerversion PHP 8.0 feststellen. Durch die Umstellung auf PHP 8.1 kann sich die Seitenladezeit von Web-Anwendungen wie WordPress also etwas verbessern.

PHP 8.1 aktivieren

Sie können PHP 8.1 wie gewohnt entweder über unser Kundenmenü aktivieren, oder per .htaccess-Konfgurationsdatei im gewünschten Anwendungsverzeichnis mittels folgender Direktiven:

AddHandler application/x-httpd-php81 .php

Einschränkungen auf Legacy-Webservern

Beachten Sie bitte, dass Sie PHP 8.1 auf unseren Legacy-Webservern mit Unterstützung für PHP-Versionen älter als PHP 5.6 nicht im vollen Funktionsumfang nutzen können.

Da in PHP 8.1 die Unterstützung für ältere Versionen der Verschlüsselungsbibliothek OpenSSL entfernt wurde, kann dort die OpenSSL-Extension nicht genutzt werden, und es fehlt die Wrapper-Unterstützung für HTTPS und andere verschlüsselte Protokolle.

Von dieser Einschränkung sind nur Kunden und Reseller betroffen, die Hosting-Pakete auf einem Legacy-Webserver gebucht haben, da sie eine ältere PHP-Version als PHP 5.6 benötigen.

PHP 7.4 Security-only-Support

Ab dem 28. November 2021 werden die regulären Entwicklungsarbeiten an der PHP-Version 7.4 eingestellt. Es wird ab dann dann noch für ein weiteres Jahr regelmäßige Updates durch das PHP-Entwicklerteam bei sicherheitsrelevanten Problemen geben, kleinere Fehler werden jedoch nicht mehr behoben.

PHP 7.3 End-of-Life

Ab dem 6. Dezember 2021 wird die Unterstützung der PHP Version 7.3 eingestellt, es wird dann keine weiteren Updates für diese PHP-Version durch das PHP-Entwicklerteam mehr geben. Sie sollten diese PHP-Version daher nach Möglichkeit nicht mehr nutzen. Wir werden jedoch bei schweren sicherheitsrelevanten Problemen zurückportierte Updates aus neueren PHP-Versionen bereitstellen.

Veröffentlicht am

PHP 8.1 RC3 zum Testen verfügbar

Auf unseren Webservern steht ab sofort der dritte Release Candidate der kommenden PHP-Version 8.1 zu Testzwecken zur Verfügung.

Beachten Sie dabei bitte, dass es sich noch nicht um die endgültige Release-Version handelt, die planmäßig gegen Ende November erscheinen soll. Bis dahin werden insgesamt 6 Release Candidate Versionen erscheinen, die nur zu Testzwecken genutzt werden sollten.

Mit dem Testen der Release Candidate Versionen können Sie die PHP Entwickler bei der Suche nach letzten Fehlern und Problemen unterstützen und die Kompatibilität Ihrer Web-Anwendungen mit der neuen PHP-Version testen.

Änderungen in PHP 8.1

Da es sich um ein neues Minor-Release handelt, fallen die nicht abwärtskompatiblen Änderungen zur Vorgängerversion 8.0 nur geringfügig aus.

Eine Änderung, die zu Problemen führen kann, ist die Änderung der Standardeinstellung für die MySQLi-Fehlerbehandlung. Bisher war die Standardeinstellung MYSQLI_REPORT_OFF, damit wurden eventuelle Fehler nicht abgefangen, und die Programmausführung im Fehlerfall einfach fortgesetzt. In PHP 8.1 ändert sich die Standardeinstellung auf MYSQLI_REPORT_ERROR|MYSQLI_REPORT_STRICT, damit wird im Fehlerfall eine Exception generiert. Falls diese Exception nicht behandelt wird, können Programme jetzt Fehler anzeigen.

Eine Übersicht über alle Änderungen und Neuerung in PHP 8.1 finden Sie hier.

Neuerungen in PHP 8.1

Eine wichtige Neuerung sind die sogenannten Fibers, damit können in PHP mehrere Aufgaben nebenläufig ausgeführt werden. Es handelt sich jedoch nicht um echte Parallelität; wird ein Fiber gestartet, so wird das Hauptprogramm angehalten, bis der Fiber unterbrochen oder beendet wird . Dieses Feature richtet sich hauptsächlich an Entwickler von PHP-Frameworks, die damit beispielsweise Event Loops implementieren können.

Eine weitere Neuerung ist die Unterstützung von Enumerations, damit können einfache Datentypen mit mehren vordefinierten Werten umgesetzt werden.

Verbesserungen in PHP 8.1

Wir konnten in ersten Tests eine Verbesserung der Ausführungsgeschwindigkeit im Vergleich zur Vorgängerversion 8.0 um bis zu 10% feststellen.

PHP 8.1 aktivieren

Sie können PHP 8.1 wie gewohnt entweder über das Kundenmenü aktivieren, oder über eine .htaccess-Konfigurationsdatei im Anwendungsverzeichnis auf dem Webserver mittels folgender Direktive:
AddHandler application/x-httpd-php81 .php


Veröffentlicht am

Datenbankserver nicht mehr über öffentliche IP-Adressen erreichbar

Die meisten unserer Datenbankserver (MySQL und MariaDB) waren bisher über öffentliche IP-Adressen auch außerhalb unseres Rechenzentrums erreichbar. Dies ist aus Sicherheitsgründen nicht ideal, weshalb wir für neue Datenbankserver seit Anfang 2020 nur noch interne IP-Adressen nutzen.

Für ältere Datenbankserver werden wir nun zum 04.10.2021 ebenfalls eine Umstellung auf interne IP-Adressen vornehmen, damit alle Datenbankserver nur noch innerhalb des Rechenzentrums von unseren Webservern aus erreichbar sind. Für Zugriffe außerhalb unseres Rechenzentrums ist dann der Aufbau eines SSH-Tunnels zu einem unserer Webserver erforderlich.

Wen betrifft diese Änderung?

Diese Änderung ist nur für wenige Kunden relevant, die von ihrem Rechner über lokal installierte Clientsoftware wie HeidiSQL oder Warenwirtschaftssysteme direkt auf unsere Datenbanken zugreifen. Falls Sie unsere Datenbanken nur für Web-Anwendungen wie WordPress nutzen, und nicht von außerhalb auf die Datenbankserver zugreifen, ändert sich für Sie nichts.

Welche Datenbankserver sind betroffen?

Die Änderung betrifft folgende Datenbankserver (MySQL 5.5, 5.6, 5.7, 8.0, MariaDB 10.1 bis 10.5):

  • db1
  • db2
  • db3
  • db4
  • db5
  • db6
  • db7
  • db8
  • db9
  • db10
  • db12
  • db13
  • db15
  • db19
  • db21
  • db22
  • db26
  • db27

Alle anderen Datenbankserver sind schon von Anfang an nur über interne IP-Adressen erreichbar.

Wie funktioniert ein SSH-Tunnel?


Ein SSH-Tunnel stellt eine verschlüsselte VPN-Verbindung zu einem unserer Webserver her. Über diesen Tunnel können Sie sich dann mit unseren Datenbankservern verbinden, als würde es sich um lokale Datenbankserver handeln.

In unserem FAQ-Artikel “Wie kann ich mich verschlüsselt mit einem MySQL-Server verbinden?” beschreiben wir den Verbindungsaufbau über einen SSH-Tunnel für verschiedene Software-Clients und Betriebssysteme.

Wir haben festgestellt, dass nur auf etwa 0,6% aller Datenbanken ohne einen SSH-Tunnel zugegriffen wird. Nutzer, die mit einem lokalen SQL-Client auf die Datenbankserver zugreifen, haben hier nur einen überschaubaren Umstellungsaufwand. Aufwendiger könnte die Umstellung z.B. von Warenwirtschaftssystemen werden. Wir beraten Sie hier gern und helfen, eine pragmatische Lösung zu finden.

Wichtig ist: Nutzer, die weiterhin von außerhalb unserer Webserver auf unsere MySQL- und MariaDB-Datenbanken zugreifen möchten, müssen vor dem 04.10.2021 aktiv werden, damit dieser Zugriff auch nach der Umstellung noch funktioniert.

Wir werden alle Kunden, von denen wir aus Logdateien wissen, dass sie in den letzten Wochen entsprechende Zugriffe auf Datenbanken hatten, explizit anschreiben. Hören Sie nichts von uns, besteht mit großer Wahrscheinlichkeit auch kein Anpassungsbedarf.

Aktualisierung vom 30.09.2021: Ursprünglich sollte die Änderung am Freitag, den 01.10.2021 durchgeführt werden. Um bei eventuellen Problemen für Kunden besser erreichbar zu sein, haben wir die Umstellung auf Montag, den 04.10.2021 verschoben.

Veröffentlicht am

Preiserhöhung für die Nutzung des Legacy-Servers

Vor zwei Jahren haben wir die Unterstützung der veralteten PHP-Versionen 5.2, 5.3 und 5.5 auf unseren Webservern beendet. Die Nutzung dieser PHP-Versionen ist nur noch über spezielle Legacy-Server möglich, die wir manuell mit Sicherheitsupdates versorgen. Dieser Service kostete bisher 20,- Euro monatlich pro Benutzeraccount.

Da inzwischen nur noch sehr wenige Kunden den Legacy-Server nutzen, müssen die anfallenden Kosten von den verbliebenen Kunden getragen werden. Wir erhöhen den Preis für die Nutzung des Legacy-Servers daher zum 01.09.2021 auf 40,- Euro monatlich (inkl. MwSt.). Zum 31.08.2022 möchten wir den Dienst komplett einstellen.

Wir haben alle Kunden, die noch einen Benutzeraccount auf dem Legacy-Server nutzen, per E-Mail über die Änderung informiert. Kunden, die den Legacy-Server vorerst weiterhin nutzen möchten, müssen Sie nichts weiter tun. Wir berechnen die Nutzung dieses Servers ab dem 01.09.2021 monatlich mit dem neuen Preis.

Reseller, mit einem dedizierten Server, der als Legacy-Server eingerichtet ist, bezahlen künftig 120,- Euro monatlich.

Wenn Sie den Legacy-Server nicht mehr nutzen möchten, führen Sie bitte folgende Schritte durch:

  1. Aktivieren Sie für Ihren Benutzeraccount oder die jeweilige Domain eine aktuellere PHP-Version, mindestens PHP 5.6. Eine Anleitung dazu finden Sie im FAQ-Artikel “Wie kann ich eine bestimmte PHP-Version auswählen?“.
  2. Wenn Ihre Webseite damit problemlos funktioniert, beauftragen Sie uns bitte per E-Mail zur Verschiebung des Benutzeraccounts auf einen regulären Webserver. Die Nutzung des Legacy-Servers ist jederzeit (ohne Einhaltung einer Frist) zum Ende eines Kalendermonats kündbar.

In unseren FAQ beantworten wir einige häufige Fragen zur Abschaltung der älteren PHP-Versionen. Sollten Sie bei der Umstellung auf eine neuere Version Hilfe benötigen, lassen Sie es uns bitte wissen.

Bei selbst entwickelten Webseiten sind oft nur wenige Schritte nötig, die Webseite zumindest mit PHP 5.6 zu betreiben. Komplexere Shop-Systeme und CMS benötigen hingegen in manchen Fällen so viele Anpassungen, dass der Umstieg auf eine moderne Anwendung meist einfacher ist. Gern beraten wir Sie auch dazu.

Veröffentlicht am

Update auf Node.js 14

Node.jsAuf unseren Webservern ist aktuell noch Node.js in Version 10 installiert. Dies war die zum Zeitpunkt der Erstellung unseres Webserver-Grundsystems aktuelle Long-Term-Support-Version (LTS).

Node.js wird auf unseren Webservern normalerweise nur in der Shell (SSH) genutzt; eine häufig genutzte Node.js-Anwendung ist Less.js.

Die Node.js-Version 10 wird ab dem 30.04.2021 nicht mehr weiter von den Node.js-Entwicklern unterstützt. Wir werden daher alle Webserver am 03.05.2021 auf die aktuelle LTS-Version 14 umstellen. Dieses Update kann unter Umständen zu Kompatibilitätsproblemen mit älteren Node.js-Anwendungen führen. Bei mittels npm installierten Node.js-Paketen sollten Sie ggf. ein Update durchführen.