Wieder online
27. Jul
Nach meinem Umzug bin ich nun wieder “richtig” online. Mein DSL 6000 ist frisch geliefert und noch ganz warm. Jetzt kann ich wieder mit Genuß bloggen und chatten und und und.
Wer mich die letzten Wochen online gesehen hat bzw. mich in Foren oder Twitter gelesen hat der muss wissen das ich über eine UMTS Schneckenleitung versucht hab ins Internet zu kommen.
Naja jetzt läuft wieder alles, ich habe meinen Umzug hinter mir und kann jetzt hoffentlich etwas öfter bloggen.
Gruß (aus meiner ersten Wohnung)
Euer Daniel
WordPress 3.0 Cheat Sheet
14. Jul
Bin gerade auf ein Cheat Sheet für WordPress 3.0 gestoßen. Zur Erklärung ein Cheat Sheet erleichtert einem Programmierer das Leben. Das WordPress Cheat Sheet ist für Themes. Es enthält die gänigsten php Codes die man zum Entwicklen von Theme für WordPress benötigt. Wenn man z.B. den Author gerade ausgeben möchte kann man eben ins Cheat Sheet schauen und sich die passende Funktion aussuchen. Für eine genau Dokumentation allerdings braucht man dann doch den WordPress Codex oder Google. Ich persönlich nutze solche Cheat Sheets recht gerne, vorallem wenn man nicht wirklich weiß wie die Funktion heißt aber ungefähr weiß was diese machen soll.
Sicherheitspatch für Online Banking
09. Jul
Die Volks- und Raiffeissen Banken welche an die FIDUCIA angeschlossen sind haben in den vergangenen Tagen einen Sicherheitspatch für das Online Banking eingespielt. Da Webinterface wurde verfeinert um der sogenannten Man-In-The-Middle Phishing Methode vorzubeugen.
Die Man-In-The-Middle Methode funktioniert wie folgt:
Normalerweiße gibt es da den Online Banking Benutzer und die Bank bzw. das Rechenzentrum der Bank.
Der Online Banking Benutzer sendet also über eine verschlüsselte Verbindung seine Daten zur Bank und erhält Daten vom Rechenzentrum welche ebenfalls Verschlüsselt sind.
Bei der Man-In-The-Middle Attake wird dem Online Banking Benutzer suggeriert er wäre mit seiner Bank verbunden. Der Login funktioniert wie gewohnt. Nach dem Login fordert das System den Benutzer auf TAN Nummer einzugeben. 100 Stück. Da sich der Kunde ja auf der “sicheren” Seite des Rechenzentrum also seiner Bank befindet schöpfen viele Benutzer kein Verdacht. Das https ist da, das Schloss-Symbol ist da und der Virenscanner aktiv und funktionsbereit.
Die TAN Nummern werden natürlich nicht von der Bank abgefragt. Hier hat sich ein Virus bzw. Trojaner zwischen den Online Banking Benutzer und dem Rechenzentrum geklinkt. Er protokolliert nicht nur die Login Informationen sonder ändert die Weboberfläche um gezielt TAN Nummer zu klauen.
Um genau diesem Vorgehen vorzubeugen wurde der Sicherheitspatch eingespielt. Benutzer mit einem befallenem System bekommen die Meldung das ein Technischer Fehler aufgetreten sei und man mit seinem Bankberater Kontakt aufnehmen soll. Also z.B. mir 
Da der Patch sehr neu ist kann es jedoch zu ungerechtfertigten Fehlermeldungen kommen, es sollte auf jeden Fall mit der Bank gesprochen werden.
Für Bücherwürmer: Der Augensammler
07. Jul
Zum Anfang: Ich bekomme für diesen Artikel keinen Cent.
Es geht um ein Buch, nicht irgendein Buch sondern ein Psychothriller. Einer von Sebastian Fitzek mit dem Namen “Der Augensammler”. Ich hab ihn jetzt durch und kann ihn nur weiterempfehlen. Sebastian Fitzek schreibt wahnsinnig spannend und bildlich. Es spritzt kein Blut in seinen Büchern aber trotzdem spürt man den Atem der Figuren in seinem Buch. In Augensammler geht es um einen Verrückten der “das älterste Spiel der Welt spielt: Verstecken. Er spielt es mit deinen Kindern.” Der Augensammler tötet die Mutter, versteckt dein Kind und gibt dir 45 Stunden Zeit es wieder zu finden.
Fitzek räumt auch mit einigen Hollywood Legenden von Bilden auf. Es geht in dem Buch auch um eine blinde Figur. Fitzek hat hier nicht seiner Fantasie freien Lauf gelassen und á la Hollywood Klischee geschrieben. Bevor er sein Buch verfasst hat, hat er viele Blinde befragt. Oder habt ihr euch schon gefragt wie Bilde träumen?
Das Buch ist spannend, interessant und einfach genial.
Ihr werdet hier kein Amazon Link finden dafür aber die ISBN: 978-3-426-19851-3 (Droemer Verlag)
Wer den Augensammler schon gelesen hat darf hier natürlich gerne schreiben was er davon hält
Ich hasse mein Theme
26. Jun
Ich hasse es. Mein Theme. Das Theme Mystique von digitalnature. Nein nicht weil es schlecht geschrieben ist oder scheiße aussieht. Das Problem ist, jeder 2te Blogger benutzt das gleiche. Und irgendwie möchte ich einen Wiedererkennungswert für meine Website.
Ich bastle zwar mittlerweile an einem neuen Theme, das steht allerdings noch in den Kinderfüßen und ich komme zeitlich, durch einen Umzug, noch nicht mal zum Weiterentwickeln. Zu allem Überfluss ist meine Textmate Test-Lizenz ausgelaufen und ich habe nicht das Geld diese zu verlängern.
Also “ertragt” noch das meine Website wie jede zweite aussieht, ich werde es bald ändern.
Befreie dich von der Datenkrake
24. Jun
Manch ein Webmaster weiß mehr über den PC seiner Besucher mehr als der Besucher selber. Oder wusstest du als “Nicht”-Webmaster das ich sehen kann welche Auflösung eingestellt ist, welches Betriebssystem du verwendest und wo du her kommst?
Genau aus diesem Grund darf man Google Analytics nicht verwenden, es sei den man weißt ausdrücklich dem Besucher seiner Website darauf hin, dass Google mitspielt. Den Google Analytics speichert nicht nur die oben genannten Daten sondern vorallem die komplette IP Adresse.
Grundsätzlich ist Datenschutz eine ganz feine Sache. Ich will ja auch nicht das irgendwelche Leute meine Daten haben. Aber dennoch ist hin und wieder der Datenschutz zu hinterfragen. Das glaube ich zumindest.
2 Beispiele:
Ein Webmaster darf die IP-Adressen seiner Besucher nicht speichern. Wie soll er dann einen DDOS-Angriff abwehren?
Rechenzentren die Online Banking Anwendung bereitstellen, müssen (laut meinen Infos) IP-Adressen nach 6 Tagen löschen und dürfen die IP-Adresse nur mit richterlichem Beschluss weitergeben. Wie soll man da jemals einen Phisingbetrüger fassen?
Ich sehe das Problem wie folgt: Google speichert erstmal die Daten auf ihren eigenen Servern. Damit hätte theoretisch Google auch Zugriff auf die Daten. d.h. Ein Benutzer der auf einer Pornoseite mit Google Analytics surft, könnte, wenn Google das wollte, Werbung für Sex-Spielzeuge angezeigt bekommen. Das nächste Problem, Google speichert natürlich alles was es in die Flossen kriegen kann. Scheiß egal ob offenes W-LAN, Bilder von Straßenzügen und die dazugehörigen Autos, Hausfassaden, Menschen, alles wird gespeichert. Auch die volle IP-Adresse. Damit lässt sich sogar die Anschrift herausfinden.
Die Lösung (aus meiner Sicht): Piwik. Ich glaube irgendwann schon mal erwähnt in diesem Blog. Piwik arbeitet wie Google Analytics auch wenn natürlich nicht so ausgereift. Logisch bei Google arbeiten wahrscheinlich ein kleines bisschen mehr Leute hinter der Entwicklung die mehr Zeit haben und mehr Geld verdienen. Das macht aber Piwik nicht unbedingt schlechter. So lässt sich über ein Plugin z.B. die komplette IP-Adresse zensieren.
Und mit der neuersten Piwik Version sieht Piwik sogar menschlich aus. Früher sah Piwik eher wie die verdauten Überreste eines Alien aus. Piwik ist natürlich nur zu empfehlen der einen schnellen Webserver oder Webspace hat, da es schon recht Speicher und Rechenintensiv ist.
Was haltet ihr von Piwik oder benutzt ihr ein anderes Analyse Programm?
PS: Keine Angst bei mir werden in Piwik die letzten 4 Oktetten deiner IP genullt. Heißt alle haben die IP 0.0.0.0
Adressdaten + Impressum
21. Jun
In letzter Zeit mach ich mir immer mehr Gedanken über meine Daten im Internet. Zu meinen Anfängen war es mir schon fast “scheißegal” wer meine Daten hat. Aber irgendwann bin ich aus meinem Koma aufgewacht. Auf Facebook und ähnlichen Netzwerken bin ich eigentlich nur noch minimal registriert und nur noch um eben dort zu sein.
Mein Foto ist gewichen, ich schreibe weniger aus meinem Privatleben und mehr über allgemeine Themen, dass hoffe ich zumindest 
Aber ein Dorn habe ich noch im Auge. Mein Impressum und die damit verbundene Pflicht meine Adressdaten zu veröffentlichen. Letztens bin ich auf einen Blog gestoßen dessen Adressdaten einfach fehlten. Der Blogger argumentierte sinngerecht; ihm seien seine Persönlichkeitsrechte wichtiger als die Pflicht seine Adressdaten zu veröffentlichen. Man kann die Adresse per E-Mail Anfragen.
Allerdings sehe ich hier ein großes Problem: Ein Impressum und die dazugehörigen Adressdaten müssen meinem Kenntnisstand folgende Kriterien erfüllen:
- leicht erkennbar
- unmittelbar erreichbar
- ständig verfügbar
Befindet sich der Blogger 2 Wochen im Urlaub oder hat ihm sein Internetprovider das Kabel durch getrennt sind 2 von 3 Punkte schon mal nicht erfüllt.
Außerdem werden E-Mail Adressen schnell von Bots aufgelesen und zugespamt.
Deshalb hatte ich die Idee meine Adressdaten vor Bots zu schützen, sie immer bereit zu stellen und meine Daten nur im “Austausch” preis zu geben.
Und das soll so ablaufen:
- Ein Besucher benötigt meine Adressdaten aus irgendeinem Grund
- Der Besucher schaut sich das Impressum an
- Um an meine Adressdaten zu kommen muss zunächst ein Captcha lösen
- Das Captcha gibt eine E-Mail Adresse preis
- Der Besucher schickt (wie in einer Beschreibung ersichtlich) der E-Mail Adresse eine Mail, Inhalt egal.
- Ein Autoresponser sendet automatisch eine E-Mail zurück mit den Adressdaten
- Der Besucher erhält die Adressdaten
- Der Webmaster erhält die Mail zur Adressanforderung
Meine Adressdaten sind:
- unmittelbar erreichbar (Der Autoresponser antwortet vollautomatisch, Adressausgabe kann nicht unterdrückt werden)
- ständig verfügbar (der Server und der Autoresponser läuft 24/7
- leicht erkennbar (mit ausführlicher Beschreibung mit 3 Klicks erledigt)
Ich habe als Admin Überblick darüber wie oft meine Adresse an die Öffentlichkeit ging, ich habe eine E-Mail Adresse um bei Missbrauch möglicherweiße rechtlich vorzugehen.
Hier noch eine Grafik die meine Idee erklären soll: (nicht wundern, eben zusammengeklickt)
Was haltet ihr von diesem Verfahren? Darf ich die E-Mail Adressen in meinem Postfach “horten”?
Wohin mit der GEZ?
16. Jun
Die GEZ wird ja bis 2013 in den ewigen Jagtgründen versinken. Die Gebühreneintreiber werde nicht länger Gebühren eintreiben sondern der Staat verlangt nun Rundfunkgebühren. Für alle Haushalte. Ob das gut oder schlecht ist sei mal dahin gestellt. Auf jeden Fall freue ich mich wahnsinnig das die GebührenEinzugsZentrale zu Grunde geht.
Wurde auch langsam mal Zeit. Ließt man sich Foren oder Blogs durch dann kann man sich gar nicht mehr vorstellen was sich die GEZ eigentlich erlaubt. Ein Blog der sehr informativ ist, ist gez-abschaffen.de von Bernd Höcker. Er nimmt garantiert kein Blatt vor den Mund und hat sich leider damit auch schon einigen Unmut der GEZler eingefangen.
Egal, wichtig ist das die GEZ aus Deutschland abGEZogen wird. Nur was machen wir mit den armen GEZlern? Ich meine das sind doch auch irgendwie Menschen oder? Die bekommen doch nach den ersten Wochen schon Entzug und wollen sich als Beamte ausgeben oder ungefragt die Wohnung betreten. Ich kann mir schon den ersten GEZler vorstellen der schweißgebadet und zitternd in seinem Bett liegt und an nichts anderes denkt als endlich wieder Gebühren einzutreiben. Wie in Trance tapst dieser dann im Nachthemd auf die Straße und sieht Fenster an welche bläulich flimmern um vielleicht einen Schwarzgugger zu erwischen.
Vielleicht wird irgendwo eine Insitution geöffnet: “Die anonymen Gebühreneintreiber”.
Hallo … ich bin Horst … 98 % der Haushalte halten TV Geräte zum Empfang bereit … und ich bin ein GEZler. Ich habe meine Tickts … Sie sind gesetzlich verpflichtet GEZ Gebühr zu bezahlen … eigentlich ganz gut unter Kontrolle…
Hallo Horst
Aber da Deutschland keine Arbeitslosen möchte müssen wir unsere GEZler irgendwo unterbringen. Vielleicht erfasst ja Google demnächst was wir für TV Programme empfangen können, dann hätten die meisten schon einen sicheren Arbeitsplatz. Klar einige werden sich Selbstständig machen, es gibt ja mittlerweile die Möglichkeit CDs mit speziellen Bankdaten an die man nicht ganz legal gekommen ist, gut bezahlt los zu werden.
Liebe GEZ wir werden dich nicht vermissen!
Einfach mal gelöscht
10. Jun
Früher war es einfach ein Dokument, ein Bild oder ein Film zu “löschen” bzw. zu vernichten. Kleines Lagefeuer und die zu vernichtenden Dokumente oder nicht für die Veröffentlichung gedachten Bilder dazugeben, fertig.
Hier kann man ziemlich sicher sein das niemand mehr aus der Asche etwas wiederherstellt.
In der digitalen Zeit sieht das schon etwas anders aus. Viele glauben das ihre “Meine schweizer Konten.pdf” im Papierkorb sicher gelöscht wurden. Unser liebes Windows und soweit ich weiß alle andere Betriebssysteme löschen hier nicht die Datei sondern nur die Information wo die Datei liegt. Das bedeutet die Daten liegen noch auf der Festplatte, können aber überschrieben werden…. Irgendwann… und das kann im schlimmsten Fall ewig dauern. So lassen sich gelöschte Daten schnell wiederherstellen, gibt es sogar Freeware dafür.
Die nächsten glauben aber wenn ich meine Festplatte formatiert habe, dann ist alles weg. Ich sag es mal so: Der Laie kann jetzt sehr schlecht Daten wiederherstellen. Ein Profi hat da weniger Probleme.
Am sichersten sind nach wie vor Datenlöschungen und selbst hier gibt es keine 100 %tige Sicherheit.
Soweit mein kleine Kurs in die “lokale” Digitalwelt. Da gibt es aber noch etwas in der digitalen Welt. Ein kleiner Fortsatz, eigentlich unbedeutend wie ein Blinddarm. Nennt sich Internet, erkläre ich mal wann anders.
Zumindest RTL hat vom Internet keinen blassen Schimmer. Ich habe mir heute wieder eins von den hirnlosen Doku-Soaps angetan. Ja ich weiß, reine Zeitverschwendung, aber manchmal will man einfach mal lachen wie doof solche Sendungen sind, oder sollte ich weinen? Jeder weiß das Fastfood scheiße ist und doch isst man es ab und zu. So auch mit Doku-Soaps.
Dort kommt es vor das z.B. Nacktfotos von minderjährigen veröffentlicht werden oder private Filmchen heimlich ins Netz geladen werden. Und am Schluss “wurden die Bilder aus dem Internet gelöscht”. Einfach so. In den Papierkorb gezogen und weg waren die Bilder. So wollen uns das Privatsender und mittlerweile öffentlich Rechtliche, welche ja SOOO gutes Programm machen, verklickern. Genauso wie das Hartz 4 Empfänger immer faul und ungebildet sind und alle Jugendliche kriminell sind. 
Aber vielleicht erklärt mal jemand den Doku-Soaps-Regisseuren, dass mit archive.org und Google Cache so schnell kein Video gelöscht und kein Bild eben mal aus dem Internet entfernt wurde. Viel schwerwiegender ist aber das ein Video oder ein Bild welches nur im geringsten anstößig ist sofort auf zig anderen Seite verteilt wird. Und wenn ihr schon dabei seit erste Hilfe im Bereich zu geben ich hätte da noch ein paar Politiker denen man erklären muss warum Domains mit einem . getrennt werden. Aber vielleicht ist das auch alles viel zu schwierig und die Privatsender passen einfach ihr Niveau dem der Zuschauer an.
Kleiner Blogbeitrag aus dem Urlaub
Was ist iTAN?
03. Jun
iTAN oder indizierte TransAktionsNummer ist die häufigst genutzte Art seine Transaktionen digital zu unterschreiben. Leider ist es auch die unsicherste Art.
Bei der iTAN bekommt man einen TAN Bogen. Dieser ist mit knapp 200 TANs bestückt. Die TANs haben eine fortlaufende Indexnummer. Wird nun einen Überweisung zur Bank gesendet verlangt das System natürlich erstmal eine PIN um überhaupt den Zugangsweg zu öffnen. Nun erzeugt die Bank per Zufall eine Indexnummer die uns mitgeteilt wird. Jetzt suchen wir aus dem TAN-Bogen anhand der Indexnummer die richtige TAN aus. Solange die TAN nicht eingegeben wurde gilt diese als reserviert und wird nach 5 Minuten oder beim Abbruch durch den Benutzer automatisch entwertet. Dies ist übrigens ein Fehlversuch!
Gefahr hierbei sind Phisingseiten und Viren. Eine Phisingsite kann nämlich Indexnummer und TAN anfragen. Ebenfalls könnte ein Virus die TAN erspähen indem er nach der TAN Eingabe eine Fehlermeldung erzeugt und die TAN an einen Phising-Server sendet. Außerdem könnte ein Virus kurz vor dem Absenden die Überweisung abändern.
Aktuell gibt es einen Trojaner der nach Login im Online Banking System 100 TAN über eine virtuelle Tastatur abfrägt. Hier gilt mal wieder, die Bank wird NIEMALS 100 TANs verlangen! Wenn so etwas oder ähnliche Vorgänge im Online Banking passieren ist die Bank zu informieren!
Um einige dieser Gefahren zu minimieren gibt es das iTAN+ Verfahren. Ein etwas verfeinertes Verfahren. Welche Banken dieses Verfahren einsetzen kann ich leider nicht genau sagen.
Beim iTAN+ gibt es genauso wie beim normalen iTAN Verfahren eine TAN-Liste welche indiziert ist. Allerdings wird die Indexnummer nicht in Klarschrift angezeigt welche ein Virus speichern könnte, sondern ähnlich wie in einem Captcha als Bild. Im Hintergrund findet man zusätzlich das Geburtsdatum und Informationen zu der Überweisung. Das iTAN+ Verfahren funktioniert jedoch nicht über Online-Banking-Software.
In den nächsten Tagen bzw. Wochen werde ich noch ähnliche Themen über Online Banking ansprechen. z.B. mTAN, HBCI-Schlüsseldiskette, HBCI-Chipkarte, EBICS usw.
Falls Ihr Fragen zu Online Banking habt, nur los
