Wannawork

Ich komme gerade aus dem Kopfschütteln nicht mehr raus. Die IHK, oder genauer, deren Dienstleister, hat ein interessante Vorstellung von Datenschutz und Sicherheit.

Vorhin habe ich einen Newsletter der IHK erhalten. Aber die IHK will natürlich garantieren, das dieser Newsletter auch für jeden klar Sichtbar von der IHK geschickt wurde. Normalerweise macht man jetzt irgendwas mit Email-Signaturen und so. Aber das ist anscheinend zu kompliziert für die IHK-Zielgruppe. Man hat sich was ganz kreatives einfallen lassen. Kommt Ihr nie drauf.

In jeder verschickten EMail steht im Kopf folgendes:

************T R A I N E X – M A I L**************************************
* SICHERHEITSKONTROLLE: Der Absender dieser E-Mail (*****@ihk-nordwestfalen.de)
* kann als authentifziert gelten, wenn folgende Aussage richtig ist:
* Ihr Passwort ist 8 Zeichen lang
* und das zweite Zeichen Ihres Passwortes ist das Zeichen: z

Coole Idee, oder? Das ganze hat gleich mehrere Probleme:

• Der Absender der Mail war “****@webb24.de”, also jemand ganz anderes. Das würde mich schon echt misstrauisch machen.
• Was noch viel schlimmer ist: Die haben mein Passwort im Klartext gespeichert bei sich
• Jetzt ist jedem, der meine Mail mitlesen kann, klar, wie lang das Passwort ist und welches das 2. Zeichen ist. Viel einfacher kann man es niemandem machen, ein Passwort zu knacken.
• Wieso macht das klar, wer die Mail verschickt hat? Ich könnte auch alles mögliche andere dahin schreiben.

Das ganze hat mich so dermaßen gewurmt, das ich da direkt mal hingeschrieben habe. Die Antworten von dem Dienstleiter waren echt erschütternd. Darum lieber Dienstleister, hier nochmal: heutzutage macht man das ganze anders.

• Verschlüsselte Passwörter in der Datenbank. Und zwar mit Salt. Dann kan man nie aus dem Datenbank-Eintrag das Passwort zurückrechnen.
• EMail unterschreibt man mit Signaturen, die die Echtheit wirklich gewährleisten.
• Niemals Teile des Passwortes durch die Gegend schicken, oder sogar die Länge des Passwortes.

Ich wurde gestern Abend gefragt, was in meinem Blog für Daten aufgezeichnet werden und in welchem Umfang eine Nachverfolgung der Nutzer möglich ist. Da dies bestimmt so einige Menschen interessiert, hier mal klar aufgeschlüsselt, was hier auf der Webseite passiert.

Logging auf dem Server

Der Server erzeugt ein ganz normales Apache-Logfile, in dem die Zugriffe inklusive IP-Adresse gespeichert sind. Diese Daten werden nicht gesichert und verlassen den Server nicht.

Eingebundene Dienste

Ich setzt auf allen meinen Webseiten die Google-Analytics ein, um das Nutzerverhalten zu untersuchen und meine Seiten zu optimieren. Das ist natürlich für einige Menschen echt unheimlich, da einfach mal Daten zu Google zu schicken. Google bekommt über ein kleines Javascript mit, welche IP-Adresse auf welchen Seiten rumgesurft hat. Zusammen mit der IP während der Suche könnte man ein Profil von deiner Person zusammenbasteln.

Solltest du dies nicht wollen, solltest du in deinem Adblocker folgende Url noch mit aufnehmen:

• http://www.google-analytics.com/ga.js

Desweiteren nutze ich Gravatar.com um für die Kommentare Bilder von den kommentierenden Menschen einzubinden. Bei Gravatar kann man für seine EMail-Adresse ein Bild hinterlegen. Darüber kann Gravatar sehen, welche Person auf welche Seite einen Kommentar hinterlassen hat. Um das Bild zu bekommen, wird allerdings nicht die EMail-Adresse an Gravatar geschickt, sondern ein MD5-Hash. Das bedeutet, Gravatar bekommt nicht die EMail-Adresse von Personen, die nicht angemeldet sind bei Gravatar, allerdings einen Hash, der relativ eindeutig zuordenbar ist. Über diesen Hash könnte man ein Profil deiner Person zusammenbasteln.

Solltest du dies nicht wollen, solltest du auf jeder Seite, die Gravatar nutzt, eine andere Mail-Adresse für deinen Kommentar eintragen.

Das war es, was hier passiert. Ich hoffe, jetzt ist das wirklich klar. Bei weiteren Fragen verlinke ich einfach auf diesen Eintrag .

http://blog.fefe.de/?ts=b7e9ac4f

Conrad hat ein neues Bezahl-System. Sofortüberweisen. Das funktioniert so: du gibst deine PIN und eine TAN an Conrad, Conrad’s Dienstleister loggt sich bei deinem Konto ein und tätigt die Überweisung für dich mit der gültigen TAN.

Der Dienstleister hat dann kompletten(!!) Zugriff auf sämtliche Informationen in deinem Bank-Konto. Er sieht so alle Überweisungen, deinen Kontostand, dein Kreditlimit. Alles, was man mit Hilfe der Weboberfläche sehen kann, wenn du dich direkt anmeldest.

Also FINGER WEG DAVON! Niemals jemandem die PIN und eine TAN geben. Auch nicht Conrad. Man gibt doch auch nicht jemanden, den man nicht kennt die Autoschlüssel und hofft, das er das Auto wieder heile zurück bringt, oder?

(via Fefe)

Hier geht’s zum Video.

Allerding hat sich der Manfred Krug schon vor Jahren von den Werbe-Spots distanziert. Er sieht das als einen der größten Fehler in seinem Leben, diese Spots gemacht zu haben. Und um sich selbst zu bestrafen hat er laut einem Stern-Interview keine T-Com Aktie verkauft .

Das BKA wird mehr und mehr zum Geheimdienst, der alles darf. Auch in Wohnungen eindringen und so den Schutz der eigenen Wohnung mit Füßen trampeln.

Aus der Pressemeldung der Piraten:

“Dieses Gesetz vernichtet die bestehende Gewaltenteilung auf der die Grundprinzipien unserer Demokratie bestehen. Das BKA erhält ab sofort sämtliche geheimdienstliche Befugnisse und wird zu einer Überwachungsbehörde der Superlative! Das verfassungsrechtliche Trennungsverbot zwischen Polizei und Geheimdienst wird damit aufgehoben.“, so Christian Koch von den PIRATEN.

Dazu in der Süddeutschen: Kritik an BKA-Gesetz.

Und schon wieder müssen wir hoffen, das dieser Dummfug vom Bundesgerichtshof wieder kassiert wird.

Zur Petition beim Deutschen Bundestag.