Administrator TechnologyImpressumKontakt

Entdecken wir gemeinsam die Welt der Informationstechnologie

Die Administrator Technology GmbH ist Entwickler und Betreiber der erfolgreichen deutschen IT-Plattform administrator.de. Sie wurde 2009 gegründet und hat sich zum Ziel gesetzt, die Möglichkeiten des Internets für die Menschen umfassend und einfach nutzbar zu machen.

Neue PHP Version und unser Zertifikat hat bei Qualys SSL Labs wieder ein A+

19.07.2016 - Hallo Administrator User,

wir haben die Tage unser SSL-Zertifikat erneuert und die Sicherheit weiter hochgeschraubt. So benutzen wir nun einen RSA 2048 Key, die Cipher Stärke wurde auf mindestens 256 Bit eingestellt und HTTP Strict Transport Security ist nun eingeschaltet. Dafür erhalten wir dann bei Qualys SSL Labs ein schönes A+

auswahl_060 - Klicke auf das Bild, um es zu vergrößern

Hier der Link dazu: https://www.ssllabs.com/ssltest/analyze.html?d=www.administrator.de& ...

Intern haben wir die Administrator Anwendung auf die 5.6 Version von PHP umgestellt und haben das "normale" Fast-CGI gegen PHP-FPM ausgetauscht. Ich hätte gerne auf PHP 7 umgestellt, aber da hat uns die MongoDB einen Strich durch die Rechnung gemacht. Die bisherige Mongo-Erweiterung für PHP 5.x wurde ersetzt und für PHP 7 nicht mehr freigegeben, und natürlich ist die neue Erweiterung nicht mehr mit der alten kompatibel. Wenn ich ganz ehrlich bin, ist dass für mich persönlich das "Aus" für MongoDB bei uns. Die MongoDB ist nett, aber das der Hersteller mal eben die API und die PHP Erweiterung einstellt und sie gegen eine mickrige Alpha-Version austauscht, die andere und weniger Befehle und Methoden benutzt, ist für mich ein absolutes "Nogo". Bei uns übernahm sie die GEO- und Such-Funktionen der Jobbörse. Jetzt muss ich diesen Teil unter einer anderen DB halt neu schreiben. Man(n) hat ja nicht anderes zu tun.

Die Administrator Seite ist außerdem intern auf einen anderen Server umgezogen (neue IP-Adresse: 82.149.225.21). Hinzu kommt, das wir die gesamte Administrator.de Anwendung virtualisiert haben und sie nun in sicheren Containern läuft. Das macht die Administration der Seite gerade mit Hilfe des Cockpit Interface von Fedora Server sehr einfach und übersichtlich.

Wer Lust hat, einen aktuellen Sicherheitsscan für unsere Seite durchzuführen ist hiermit herzlich eingeladen. Solltet ihr etwas finden, freue ich mich über eine interne Nachricht. Die Tools die wir benutzen, haben bisher nichts gefunden.

Schönen Gruß
Frank

Die Darstellung der HTML Benachrichtigungsmail funktioniert nicht in allen Mail-Clients

02.07.2016 - Seit gestern haben wir neue HTML Benachrichtigungsmails. Leider funktioniert die HTML- und CSS-Darstellung in einigen Mail Clients noch nicht einwandfrei.

Getestet sind bisher folgende Clients:

Apple macOS Mail -> funktioniert ohne Fehler
Apple iOS Mail -> funktioniert ohne Fehler
Mozilla Thunderbird Mail -> funktioniert ohne Fehler

Outlook 2013 -> nicht komplett, Zentrierung und Abstände sind falsch
Windows 10 Mail -> nicht komplett, Hintergrund, Zentrierung und Abstände sind falsch
Android 6 Mail -> CSS wird nicht erkannt, es gehen nur Texte und Links (?)

Wir arbeiten natürlich an der Behebung der Fehler, so dass es auf allen Mail-Clients einheitlich funktioniert. Mir ist leider noch nicht ganz klar, warum die Windows Software das so unterschiedlich und falsch interpretiert und warum Android aktuell gar nicht funktioniert.

Die Behebung ist aber nur eine Frage der Zeit

Wenn ihr jetzt noch Client kennt bzw. benutzt, wo unsere HTML-Mail geht oder halt nicht, dann schreibt es mir.

UPDATE: Ich habe die HTML-Mail überarbeitet, neu gestaltet und korrigiert. Sie sollte jetzt auf allen Plattformen funktionieren.

Gruß
Frank

Entwicklertagebuch: Passwortsicherheit (Update)

16.06.2016 - Hallo Administrator User,

Mit dem aktuellen Release haben wir die Bedingungen für ein besseres Passwort beim 'Passwort ändern' aktualisiert. Wie gut ein Passwort ist, zeigt der neue Live-Indikator im Formular. Wir haben dazu die 150 schlimmsten/dümmsten/einfachsten Passwörter der letzten 5 Jahre als Blacklist hinzugefügt. Zusätzlich wurde die Mindestlänge des Passworts auf 8 Zeichen gesetzt (vorher 6 Zeichen).

Beinhaltet ein Passwort jetzt z.B. 'test123' teilt der Live-Indikator dem User unmissverständlich mit, was er davon hält
Passwörter wie z.B. '111111' oder 'Password1!' etc. sind ab sofort nicht mehr möglich.

Ein gutes Passwort besteht bei uns aus Groß- und Kleinbuchstaben, Zahlen und mindestens einem Sonderzeichen.

Ich persönlich bin der Meinung, das ein gutes Passwort auch ein guter Schutz für die Daten unserer Users ist. Zusätzlich verschlüsseln wir natürlich die Passwörter und weitere Daten intern mit den aktuell höchsten Standards.

P.S. Ja, auch 'Joshua' ist ab sofort mit auf der Blacklist

Gruß
Frank

Entwicklertagebuch: Passwortsicherheit

12.05.2016 - Hallo Administrator User,

mit dem heutigen Release erhöhen wir die Passwortsicherheit auf unserer Seite. Dazu haben wir die Einstellungen 'Passwort und Loginverhalten' aktualisiert. Wenn man nun ein Passwort ändern möchte, muss man neben dem alten Passwort auch die Qualität seines Passworts berücksichtigen. Das neue Passwort muss aus mindestens 6 Zeichen, Buchstaben, Zahlen und mindestens einem Sonderzeichen bestehen. Auch die Groß- und Kleinschreibung wird berücksichtigt.

Wir haben dafür einen neuen Indikator, der die Qualität des Passworts live bewertet, hinzugefügt. Es werden ab sofort nur noch Passwörter mit der Stärke: 'Normal' (grauer Balken) und höher zugelassen (es gibt insgesamt 5 Stufen).

auswahl_056 - Klicke auf das Bild, um es zu vergrößern

User, die sich mit einem Passwort, dass unter der Passwort-Stärke 'Normal' liegt, anmelden, werden nach dem Login aufgefordert, ihr Passwort neu zu setzten. Ohne ein sicheres Passwort können sie sich im angemeldeten Zustand nicht mehr auf der Seite bewegen.

Ich weiß, dass das für einige User ärgerlich oder aufwändig ist, aber in der heutigen Zeit ist es für die Sicherheit aller User hier auf der Seite wichtig, dass keine einfachen Passwörter mehr verwendet werden.

Ich hoffe auf Euer Verständnis und freue mich auf Feedback.

Schönen Gruß
Frank