Kreditkartenzahlungsverifikations-URLs wirken wie Betrug
Wenn ich online mit Kreditkarte bezahle werde ich häufig auf irgendwelche Webseiten von Zahlungsdienstleistern weitergeleitet. Deren URLs sind alles andere als nachvollziehbar seriös.
Wenn ich online mit Kreditkarte bezahle werde ich häufig auf irgendwelche Webseiten von Zahlungsdienstleistern weitergeleitet. Deren URLs sind alles andere als nachvollziehbar seriös.
Seit Musk den Großteil der Belegschaft bei Twitter gefeuert hat, sind wenig überraschend jetzt deutlich weniger Personen für die Moderation da. Und das sehe ich ganz deutlich in meinen Direktnachrichten. Es ist schon krass, was ich da für einen Schrott bekomme:
My company has solid security policies which seem to be oriented at best practices. And I am very glad that they don't enforce nonsense policies that would actually weaken the passwords that users choose. That of course isn't the case with every company. There is one particularly arcane case. They have these rules for passwords:
E-mail itself is a completely insecure message service. Mails are routed through all participating servers on the world, everyone can send them. And whatever washes up in your inbox could come from anyone. It is not that bad any more, the connection from sender to sender's provider and recipient and recipient's provider is usually transport layer encrypted. The connection between the providers is becoming encrypted as well, but there is no guarantee. Essentially the providers can still read the messages, which is unacceptable for confidential messages.
Es gibt immer wieder Situationen, bei denen man seine Identität im Internet nachweisen muss. Dafür braucht man also irgendwie ein Ausweisdokument, was auch digital funktioniert. In Deutschland haben wir dafür den elektronischen Personalausweis (ePA), der irgendwelche Zertifikate enthält. Mit einem geeigneten Lesegerät kann man damit seine ganze Identität oder nur sein Alter gegenüber einem Dienst verifizieren.
There are two types of signatures, the one written with a pen on paper and the cryptographic one. I want to argue that the former kind has many issues.
I try to sell some stuff that is sitting in the on eBay small ads. People will contact you via email or phone and ask for prices and pickup dates. Therefore it did not really surprise me to get a text message like this one here:
Every now and then I create an account on a new website. Since numerous websites get breached, I choose a unique password for each website. All those are stored in a password manager. If you want to have a feeling for the number of breaches, look at Have I Been Pwned. Those are only breaches which became public, there are probably many unreported cases for each public one.
The computers that we use seem to be build with inherently insecure hardware. Occasionally I consider my laptop somewhat secure. It runs Linux, has all the latest security updates and am careful when installing software. Also I do not let other people use it without me watching very carefully. However, there are so many things that can get you "owned", that is become insecure and your system taken over.
Vor einigen Monaten habe ich mir ein neues Mainboard von ASUS gekauft. Ich hatte mir das Mainboard ausgesucht, weil es mit einem normalen AMD Prozessor ECC RAM unterstützt. Die mitgelieferte Software unter Windows erlaubt eigentlich auch das aktualisieren. Allerdings hat das nicht so sonderlich gut funktioniert. Also habe ich das von deren Webseite herunterladen und über einen USB-Stick durchführen wollen. Das Mainboard hat hinten einen extra USB-Slot, mit dem man BIOS-Updates durchführen kann. Gerade hatte ich mir auch einen neuen USB-Stick gekauft, so dass ich das sogar ohne große Bad-USB Risiken genießen konnte.
Wenn man sein Passwort vergessen hat, sollte es irgendwie eine Möglichkeit geben, noch an den Account zu kommen. Es sollte aber nicht möglich sein, dein Eigentümer des Kontos auszusperren. Daher sollte nicht direkt das Passwort zurückgesetzt werden. Per Email kann man einen Link zustellen, der ein Geheimnis enthält. Nur der Eigentümer kann diese Email lesen und auf den Link klicken. Erst dann wird ein neues Passwort vergeben.
Den Hersteller Ducky Channel habe ich mal angeschrieben und gefragt, wie das eigentlich mit der Sicherheit der Firmware der Tastatur aussieht:
Ubuntu is configured by default to cache the user's credentials for a couple
minutes after a successful use of sudo
. This is very comfortable. When you
enter a couple commands in succession, you do not have to enter the password
every single time. Take the following: