Bedenkliche Passwort-Vorgaben bei bahn.de

Kürzlich waren mal wieder Bahntickets zu buchen und da dachte ich mir, dass es vielleicht mal an der Zeit wäre, mir dort einen bahn.de-Account zuzulegen. Wohlan, schreiten wir zur Tat und rufen die für diesen Zweck vorgesehene Seite auf. Aus Sicht der IT-Sicherheit schauderte es mir sofort, aber seht selbst – vielleicht entdeckt ihr es ja selbst:

  1. Es fängt schon damit an, dass eine Passwortlänge von lediglich 6 Zeichen als Minimum verlangt wird – 8 Zeichen gilt aktuell im Allgemeinen als Minimum. Interessanterweise fordert man selbst beim Nutzernamen schon 8 Zeichen, was wenig Sinn ergibt, hier geht es ja lediglich darum, dass der Nutzername noch frei sein muss.
  2. Die Verwendung von Sicherheitsfragen. Zu jeder der vorgeschlagenen Sicherheitsfragen fällt mir mindestens ein Einwand ein – auch eine Studie von Google stellt Sicherheitsfragen kein sonderlich gutes Zeugnis aus – sodass ein branchenübliches Vorgehen mit hinterlegter E-Mail-Adresse und Telefonnummer deutlich sinnvoller erscheint:
    • Einige sind extrem leicht für Dritte herausfindbar, notfalls durch Anwendung von Social Engineering. Wie beispielsweise der Mädchenname der Mutter.
    • Einige sind nicht ohne Weiteres für den Nutzer reproduzierbar angebbar. Woher soll man beispielsweise nach Jahren noch wissen, von welcher Karte die Nummer stammt? Außerdem kann man sich nicht sicher sein, ob sich diese durch eine neue Karte mittlerweile geändert hat. Lieblingsbücher oder -filme können sich im Laufe der Zeit ändern.
    • Einige dieser Angaben sind private Details, die ggf. bei einem Datenleck in die Öffentlichkeit gelangen können. Abseits davon wäre es in dem Fall fatal, wenn die selbe Sicherheitsfrage mit der – naheliegenderweise – selben Antwort auf mehreren Seiten verwendet wurde.

Immerhin kann man als um die Problematik wissender Nutzer beides ausgleichen, indem man ein langes, starkes Passwort verwendet und eine Sicherheitsfrage mit einer zufällig generierten Antwort beantwortet und diese Antwort beispielsweise in seinem Passwortmanager ablegt. Ein negativer Beigeschmack bleibt dennoch, zumal der Otto-Normal-Nutzer schlicht die Seite so benutzen wird, wie sie es ihm nahelegt, also vielleicht ein 6 Zeichen langes Passwort sowie dem Mächennamen der Mutter als Sicherheitsfrage wählt. Hoffen wir mal, dass der Rest des Portals besser abgesichert ist.

Nachtrag: Zu der Wahl von Sicherheitsfragen gibt es ein lesenswertes OWASP-Cheatsheet.

Der selbst ernannte „Preis-Leistungssieger“ Vodafone

Letzte Woche lag Werbung von Vodafone für deren auf Koaxial-Kabel basierende Internet-Anschlüsse in der Post. Preis-Leistungssieger (mit Anmerkungs-Sternchen natürlich, ohne geht’s ja in der Werbung nicht) sei man. Soso, dann wollen wir doch einmal sehen:

Preis-Leistungssieger, Vergleich mit DSL-Angeboten der Telekom und O2

Die Krux steckt natürlich mal wieder im Kleingedruckten: „Die maximal Upload-Geschwindigkeit der anderen Anbieter kann gegenüber Vodafone Kabel Deutschland nach oben abweichen.“
Aha! Die haben die Upload-Geschwindigkeit bei dem Vergleich also ausgespart – sowohl Telekom als auch O2 (Achtung, Drossel-Klausel ab bestimmten Datenmengen!) bieten „bis zu“ 40 MBit/s, Vodafone dagegen nur „bis zu“ 25 MBit/s im verglichenen, höchsten Tarif:

Tarife (down/up): 32/2, 200/12, 400/25 MBit/s

Natürlich ist die maximal erreichbare Datenrate im Download wesentlich höher als bei den verglichenen Konkurrenz-Tarifen, jedoch ist ein zu wenig an Upload naturgemäß nicht durch mehr Download ausgleichen. Sich dann zum Preis-Leistungssieger zu erklären, halte ich nicht für gerechtfertigt.
Aber Werbung ohne missverständliche Formulierungen und zum Verständnis des beworbenen Dienstes notwendiges Kleingedrucktes wird es wohl nie geben.

Sehr putzig ist nebenbei auch der Begriff „Kabel-Glasfaser“ – wie nennen die wohl LTE – Luft-Glasfaser? – Oder wie vermarkten die FTTH – wenn sie es denn mal an mehr als drei Orten anbieten? – „Glasfaser-Kabel-bis-ins-Haus-Glasfaser“? 😉


Kabelnetz: Vodafone stattet 380.000 Haushalte mit 400 MBit/s aus (golem.de)

Speedport an Nicht-Telekom VDSL, Speedphone an FritzBox und die Liste sicherer E-Mail-Server

Als ich von der Telekom und ADSL mit „bis zu“ 16 MBit/s down und 2,4 MBit/s im Upload zur EWE und VDSL (Vectoring mit 100 MBit/s down und 40 MBit/s up) gewechselt bin, habe ich auch gleich die Modem/Router/WLAN-Accespoint-Kombination (im Folgenden als „Router“ bezeichnet) von einem Speedport W724V Typ B auf eine AVM Fritz!Box 7490 gewechselt, weil es hieß, dass die Telekom-Technik eventuell nicht laufen würde. Ich habe es letztens ausprobiert und den Speedport mit angepasster Konfiguration (unter „Internet“ einfach „anderer Anbieter“ auswählen) am EWE-Anschluss ausprobiert. Und siehe da – es funktioniert. Nach einer Stunde Betrieb habe ich dann doch wieder die Fritz!Box angeschlossen, weil die einfach mehr kann 🙂

Folglich muss das vorhandene Speedphone 50 an der Fritz!Box laufen. Das tat es auch. Anscheinend ist es bei DECT-Geräten so, dass es zwar ein bestimmtes Basis-Profil gibt, aber erweiterte Funktionen wie das Telefonbuch oder Anrufbeantworter aber darin nicht enthalten sind. Ein Problem war bisher wohl die unterschiedliche Unterstützung des CAT-iq-Standards seitens Speedphone und Fritz!Box, was aber schon länger behoben ist. Telefonbuch und verpasste Nachrichten werden angezeigt und die Bedienung hat sich im Vergleich zum vorher als Router eingesetzten Speedport auch nicht verändert.

Einziges Problem scheint oder schien zu sein, dass nach einem Abschalten der Fritz!Box durch Ziehen des Netzteils aus der Dose und anschließendem Neustart das Speedphone die Fritz!Box nicht mehr zu erkennen schien: Es musste neu angemeldet werden.
Da das nur selten auftritt (anscheinend nicht bei von der Fritz!Box selbst initiierten Neustarts) und das Anmelden fix geht, hole ich mir kein anderes Telefon. Ich behalte das im Auge und schreibe ggf. AVM an, falls ich genau weiß, unter welchen Bedingungen das auftritt.

Nachtrag vom 28.05.2019: Ich habe das Problem mittlerweile längst gelöst, es nur noch nicht hier notiert: Man muss lediglich unter DECT → Basisstation die „Erweiterten Sicherheitsfunktionen“ deaktivieren, will man Drittgeräte einsetzen.

Das hat AVM auch so in ihrer Wissensdatenbank dokumentiert.


Zuletzt noch ein Hinweis zu einer Stolperfalle in den Einstellungen des Speedports: Dort ist eine „Liste der sicheren E-Mail-Servern“ hinterlegt. Damit sind die SMTP-Server gemeint, zu denen ein lokal installierter Mail-Client seine E-Mails schickt – quasi der Briefkasten vor der Post-Filiale. Es werden also nur Verbindungen zu den dort hinterlegten SMTP-Servern zugelassen.

Wer statt Webmail einen lokalen E-Mail-Client nutzt, nicht gerade einen der großen bekannten E-Mail-Provider benutzt oder gar einen eigenen Server benutzt und diese Einstellungsmöglichkeit im Speedport nicht kennt, wird sicherlich einige Zeit herum experimentiert haben, bevor er darauf gekommen ist, dass es am Router liegen könnte. Daher die standardmäßig aktivierte Funktion abschalten:

Unter „Internet“ > „Liste der sicheren E-Mail-Server“ können Einträge ergänzt werden oder die ganze Funktion deaktiviert werden.

„Smart Home“

Das „intelligente“ Zuhause ist bereits seit längerer Zeit der große Burner bei fast allem, was man sich so ins Haus stellen kann. Teilweise zurecht, teilweise aber auch einfach nur unnötig. Ein Kommilitone erwähnte mal, dass der Kaffee bereits fertig ist, wenn er morgens aufsteht. Ich fragte ihn daraufhin, ob er eine programmierbare Kaffeemaschine hätte, woraufhin er erwiderte, dass er das mit einer vorgeschalteten Zeitschaltuhr gelöst hatte.

Hätte ich auch drauf kommen können, früher habe ich auf die Weise ein normales Radio als Radiowecker benutzt, halt nur mit einem viel besseren Klang.

Simpel ist manchmal einfach besser…

Rant: Wieso gibt es noch asymmetrische Tarife beim Glasfaser-Internet?!?

Wenn ich mir so die Tarife einiger kleinerer Glasfaser-Anbieter so anschaue, wundere ich mich doch darüber, dass die selten symmetrische Verbindungen anbieten, obwohl das bei Glas­faser technisch kein Problem wäre.

Rant: Wieso gibt es noch asymmetrische Tarife beim Glasfaser-Internet?!? weiterlesen

WordPress: Kurzlink und Zeitpunkt der letzten Änderung ausgeben

Neben den „schönen“ URIs erlaubt WordPress auch weiterhin die Standard-URI im Format https://wordpressblog.example.org?p=123, was sich wunderbar nutzen lässt, um eine Kurz-URL zu dem jeweiligen Artikel, bzw. der jeweiligen Seite anzubieten, ohne dass man dafür einen externen Dienst benötigt:

Dazu benötigt ihr als erstes ein Plugin, dass PHP-Code ausführt, z.B. dieses hier. Als nächstes legt ihr ein Code-Snippet (je nach Code-Plugin kann es auch anders funktionieren) mit folgendem Inhalt an (eure Blog-URL eintragen!):

<?php
if(empty(wp_title('',0)))
{
$seite '';
}
else
{
$seite '?p='.get_the_ID();
}
echo 
'<p style="text-align:center;"><strong>Kurzlink zu diesem Artikel:</strong><br><em>https://blog.example.org',$seite,'</em><br><strong>Letzte Aktualisierung:</strong><br><em>',get_the_modified_date(),'</em></p>';
?>

Dann legt ihr ein Text-Widget mit dem Verweis [ php snippet=1 ] (die Leerzeichen müssen entfernt werden) auf das Snippet an und fertig ist die Info (ich lasse zusätzlich noch das Datum der letzten Änderung ausgeben):

kurzlink-und-letzte-seite

Noch ein paar Erläuterungen zum Code:
Die if-Bedingung ist nötig, weil sonst auf der Startseite (wp_title('',0) gibt nichts zurück) der Kurzlink zum neusten Artikel angegeben würde. Das Datum der letzten Änderung ist auf der Startseite zwar auch das des neusten Artikels, aber das ist mir auf der Startseite egal.

Man könnte auch das Snipptet unter jedem Beitrag einfügen.

Kurz notiert: Links zur WAZ und zu stackoverflow abkürzen

WAZ

aus
https://www.derwesten.de/politik/werbung-an-schulen-nimmt-massiv-zu-id10728728.html
wird
https://www.derwesten.de/10728728

stackoverflow

aus
https://stackoverflow.com/questions/24144552/how-to-set-hsts-header-from-htaccess-only-on-https
wird
https://stackoverflow.com/questions/24144552

Kurz notiert: Links zu Pro-Linux, NOZ.de, taz.de und faz.net verkürzen

Pro-Linux.de

aus
http://www.pro-linux.de/news/1/23242/netzwerktransparenz-fuer-wayland.html
wird
http://www.pro-linux.de/news/1/23242

domain-recht.de

aus
http://www.domain-recht.de/domain-registrierung/domain-statistik/statistik-weltweit-3115-millionen-domains-64991.html
wird
http://www.domain-recht.de?p=64991

noz.de

aus
http://www.noz.de/deutschland-welt/vermischtes/artikel/669695/beamter-geht-sechs-jahre-nicht-zur-arbeit
wird
http://www.noz.de/deutschland-welt/vermischtes/artikel/669695
– oder noch kürzer:
http://www.noz.de/artikel/669695

FAZ.NET

aus
http://www.faz.net/aktuell/politik/inland/eu-kommissar-guenther-oettinger-ueber-afd-chefin-frauke-petry-14072829.html
wird
http://www.faz.net/-14072829

taz.de

aus
https://www.taz.de/Debatte-Bundeswehreinsatz-in-Mali/!5274285/
wird
https://www.taz.de/!5274285/

Kurz notiert: Links zu n-tv.de abkürzen

Aus http://www.n-tv.de/leute/Braet-die-ARD-Til-Schweiger-Extrawuerste-article16993796.html wird – das wesentlich kürzere http://www.n-tv.de/16993796, man könnte den Link auch als n-tv.de/16993796 (Browser ergänzen das http:// automatisch, aber einige Dienste erkennen den Text dann nicht mehr als URL) weitergeben, auch den Bindestrich könnte man weglassen (n-tv hat anscheinend beide Domains registriert, um Vertippern vorzubeugen): ntv.de/16993796

Kurz notiert: Heise- und WordPress-URLs kürzen

Die lange URL http://www.heise.de/newsticker/meldung/Hotel-WLAN-manipuliert-alle-abgerufenen-Webseiten-1517525.html lässt sich zu http://heise.de/-1517525 kürzen, führt beides zum selben Heise-Artikel.

Auch in WordPress lassen sich Links ohne Zuhilfenahme externer Dienste kürzen. Dazu muss man nur die Artikel-ID herausfinden, zum Beispiel, indem man mit der Maus über den Bearbeiten-Link fährt (Hervorhebung durch mich): wordpress-kurz-url

https://blog.julius-cordes.de?p=429 führt dann auf: https://blog.julius-cordes.de/2016/02/gruende-fuer-verschluesselung/ – dafür gibt es sicherlich auch ein Wordpress-Plugin…