Passwort separat schicken

Zugangsdaten sollte man nicht komplett über unverschlüsselte Kanäle verschicken. Am besten man nimmt sichere Kanäle oder zwei getrennte. Aber irgendwie hat sich mal eingebürgert, den Nutzernamen in eine und das Passwort in eine zweite E-Mail zu packen, die man gleich darauf an die gleiche Mail-Adresse schickt. Ich weiß nicht, was das für einen Sinn haben soll. Wenn ich irgendwie den Traffic belauschen kann, dann kann ich auch zwei Mails belauschen und deren Inhalt zusammenführen. Und wenn ich Zugang zum E-Mail-Postfach habe, sehe ich da auch beide Mails.

GMX mag kein https

Meine E-Mails rufe ich mit verschiedenen Clients ab. Ab und zu nutze ich aber auch Webmail zum Beispiel bei GMX. Die Startseite rufe ich über https://www.gmx.de auf. Wenn alles richtig läuft, bleibt GMX auch bei einer verschlüsselten Verbindung. Macht man beim Login einen Fehler, so ist die folgende Seite, auf der man erneut seine Userdaten eingeben soll unverschlüsselt.

Ich weiß nicht, ob das Absicht oder ein Versehen ist. Aus Absicht würde man so etwas tun, weil man es nicht geschafft hat die Werbung über https auszuliefern. Das kann GMX aber. Ein Versehen wäre aber auch unverzeihlich. Schließlich ist das ein Fehler, der nicht irgendwo eine Option in einem Unter-Unter-Unter-Menü, welches kaum einer nutzt, betrifft; sondern es betrifft die Startseite.

Aber demnächst wird Firefox ein wenig offensiver vor solchen unverschlüsselten Eingabefeldern warnen.

Datenreichtum und Industriespionage

Auf der einen Seite stehen die Firmen, die um ihre Geschäftsgeheimnisse bangen und ihre Daten sichern wollen, auf der anderen Seite stehen die gleichen Firmen, die sagen, man solle sich doch von der Datensparsamkeit hin zum Datenreichtum wenden. Warum in aller Welt sollten Geschäftsdaten einen höheren Schutz genießen, als private Daten von einzelnen Menschen?

Es ist echt verrückt, zur Zeit gibt es vermehrt Stimmen, daß die deutsche Wirtschaft unbedingt die „Schätze“ aus „Big Data“ heben müsse, sonst sei sie nicht wettbewerbsfähig. Ich denke, umgekehrt wird ein Schuh draus. Deutschland sollte sich zum Schutz privater und geschäftlicher Daten bekennen. So könnten Dienstleistungen angeboten werden, die auf hohe Vertraulichkeit setzen.

Es wird ja auch diskutiert, wem welche Daten gehören; zum Beispiel Daten, die ein Fahrzeug während der Fahrt erzeugt oder sammelt.

Für mich ist das ganz klar. Wenn Geräte, die mir gehören, Daten sammeln oder erzeugen, gehören diese Daten mir. Daten die sich auf meine Person beziehen oder auf mich zurück verfolgbar sind, gehören mir. Es dürfen auch nicht ohne mein Wissen pseudonymisierte oder anonymisierte Daten gesammelt werden. Automatische Datensammlungen müssen „Opt-In“ sein, ich muß mich dazu bewußt und separat dazu entschieden haben. Die Grundfunktionen von Geräten dürfen nicht von einer Zustimmung zur Datensammlung und -weitergabe abhängig sein.

CDU will Flüchtlingszahlen begrenzen

Die CDU will einen weiteren Flüchtlingsandrang wie 2015 verhindern. Allerdings nicht durch Bekämpfung der Fluchtursachen, sondern anscheinend mit weiterer Abschottung. „Natürlich“ will man keine Obergrenzen, wie die CSU und andere rechtspopulistische Parteien fordern, aber man möchte ein EU-weites „Flüchtlingskontigent“ einführen. Ziel sei, daß einfach weniger Flüchtlinge nach Deutschland kommen.

Das ganze schreit doch schon wieder nach Verfassungsbruch. Im Grundgesetz steht nichts, daß Recht des Einzelnen auf Asyl dadurch nicht angewendet werden kann, weil vorher schon eine bestimmte anderer Menschen das Recht wahrgenommen haben. Sollte der CDU-Leitantrag in reale Gesetze umgesetzt werden, ist wohl mal wieder das Bundesverfassungsgericht am Zuge, um die Politik in die gesetzlichen Schranken zu weisen.

Dyn-DNS mit eigener Domain

Ich habe zu Hause einen normalen DSL-Anschluß. Täglich wird diesem eine neue IP-Adresse zugewiesen. Damit ich (und andere) aber aus der Ferne auf Dienste auf meinem Heimserver zugreifen oder mich per VPN ins Heimnetz einwählen kann, brauche ich einen Dienst, der die dynamische IP-Adresse mit einem festen Hostnamen verknüpft. Mit diesem Hostnamen kann ich dann meinen Server ansprechen.

Diese Verknüpfung übernehmen sogenannte Dyn-DNS-Dienste. Im Basispaket sind die oft kostenfrei. Man hat die Auswahl aus mehren Domains, zu denen man sich eine eigene Subdomain aussuchen kann. Der größte Anbieter dyndns.org hat aber vor einiger Zeit den kostenlosen Dienst eingestellt. Andere Anbieter wie no-ip.org nerven den Nutzer mit Mails zur weiteren Aktivierung des Dienstes. Diese Mails müssen innerhalb von 7 Tagen bearbeitet werden, ansonsten verfällt die Subdomain. Leider kann man die Bestätigung nicht vorher ausführen, so daß man gegebenenfalls auch im Urlaub aktiv werden muß. Das ständig beworbene Upgrade, bei dem man diese Bestätigungen nicht braucht, soll übrigens 24 US-Dolar im Jahr kosten.

Bei der Suche nach einem neuen Hostingprovider fiel mir auf, daß Strato einen Dyn-DNS-Dienst anbietet. Und das schon im kleinsten Paket, wenn man auch nur eine einzelne de-Domain für 50 Cent im Monat bucht. Das klappt alles bestens. Die Konfiguration in der Fritzbox waren nur wenige Klicks. Nun erreiche ich meinen eigene Server über meine eigene de-Domain.

P.S. Dieser Blog ist bewußt werbefrei. Dieser Artikel ist keine Werbung oder eine Empfehlung für oder gegen irgendwelche Anbieter oder Produkte.

1&1 Kündigung

Dieses Blog und manche andere Dinge betreibe ich bei der Hostingsparte von 1&1. Ich bin dort seit 16 Jahren, damals hießen die noch Puretec, mehr oder weniger zufriedener Kunde.

Ich wollte letztens mein Hostingpaket auf eine neuere Version aktualisieren, also ein altes Produkt durch ein neueres eintauschen. Auf der Homepage leuchteten mich auch Riesenrabatte an, die letztendlich dazu führen, daß Kunden manche Pakete für ein Jahr lang gratis bekommen. Alles sah ganz gut aus. Also einloggen und Option „Vertragswechsel“ aufrufen. Da wurde das gewünschte Paket auf angeboten, allerdings mit deutlich geringerem Rabatt. Der hohe, werbewirksame, Rabatt gilt anscheinend nur für Neukunden. Ich habe die ganze Sache dann erst einmal abgebrochen. In der nächsten Zeit habe ich diese Funktion immer mal wieder aufgerufen und der Rabatt wurde immer kleiner. Also schrieb ich an den 1&1-Support, ob sie mir nicht ein besseres Angebot machen könnten.

Wie bei allen großen Internetdienstleistern ist dieser Schritt ja gar nicht mal so einfach. Oft wird versucht, wird dem kontaktfreudigen Kunden zunächst eine große FAQ-Sammlung angeboten. Wenn man Glück hat gibt es dann irgendwo ein Kontaktformular, eine einfach E-Mail-Adresse, die auch tatsächlich zu Menschen führt, hat bei solchen Unternehmen Seltenheitswert. Aber irgendwie habe ich doch einen elektronischen Kontakt herstellen können. In der Antwort verwies man mich allerdings an den Telefonsupport. Ich verzichte nach Möglichkeit immer auf Telefonkontakt. Warteschleifen und Telefonmenüs nerven nur und im Zweifelsfall habe ich keinen Beweis, ob etwas abgeschlossen wurde, oder nicht.

Ich rief also dann widerwillig den 1&1-Support an. Dort schilderte ich, daß ich es nicht in Ordnung finde, daß Neukunden so ein hoher Rabatt eingeräumt wird und langjährige Kunden (nahezu) leer ausgehen. Die Mitarbeiterin stellte sich auf stur und meinte, sie könne mir kein anderes Angebot machen. Auch der Hinweis, daß ich zu einem anderen Anbieter wechsele und dort die Neukundenrabatte nutzen werde, änderte nicht an ihrer Aussage. Also setzte ich am nächsten Tag meine Kündigung in die Tat um. Es gibt ja schließlich ähnlich Angebote von anderen Anbietern. Der Umzug ist für mich technisch kein Problem. Im Kunden-Login-Bereich wählte ich die entsprechenden Kündigungsoptionen aus. Dann gab es allerdings noch den Hinweis, daß eine Kündigung „aus Sicherheitsgründen“ telefonisch bestätigt werden müßte. – Ist das überhaupt zulässig? Ich dachte, es ist endlich so daß online abgeschlossene Verträge auch online kündbar sind. Und mit einer telefonischen Bestätigung ist das für mich keine Online-Kündigung mehr.

Also wählte ich dann die spezielle Telefonnummer und wollte die Kündigung bestätigen. Ich wurde dann noch zu den Gründen gefragt und ich schilderte die ganze Geschichte. Und plötzlich, konnte man mir preislich doch entgegen kommen. Da das Angebot gut war habe ich es angenommen und meine Kündigung zurückgenommen.

Aber ärgern tut mich das trotzdem. Warum hat man mir nicht gleich einen fairen Preis angeboten? Warum muß man immer hinterher telefonieren und warum muß man erst kündigen? Bestandskunden, die nichts tun werden „gemolken“ und zahlen anscheinend eigentlich zu hohe Preise. Das ist ja leider auch in anderen Bereichen so, ob nun Versicherungen sind, Mobilfunkverträge oder TV-Abos wie Premiere Sky. Wenn es Alternativen gibt, lohnt es sich ja auch oft den Anbieter zu wechseln. Als es noch Zinsen gab, wurden Neukunden einer Bank oft sehr attraktive Zinsen für Tagesgeld angeboten. Nach einer bestimmten Zeit gab es dann nur noch den normalen Zinssatz. Da hat es sich auch gelohnt, hin und wieder ein neues Konto anzulegen.

Viel Arbeit verursacht ein Kunde doch vor allem bei der Einrichtung. Lohnt es betriebswirtschaftlich denn wirklich so sehr, mit Lockangeboten zu winken? Wie wäre es, wenn ein Unternehmen von sich aus sagt: Ihr Paket, was sie haben, ist günstiger geworden, sie haben daher die Wahl einen geringeren Betrag zu zahlen oder ein besseres Paket zu nehmen. Oder gleich mit Rabatten zu werben, wenn man lange Kunde bleibt? Gerade im Hostingbereich laufen die alten Pakete doch auf alter, also abgeschriebener, Hardware.

Aber das sind alles Handlungsweisen der alten Wirtschaft aus dem vergangenen Jahrtausend. Heute zählen mehr kurzfristige Zahlen. Manager sehen nur die Ziele für ihre Prämienvereinbarungen und Aktionäre wollen schnelles Wachstum. Langfristigkeit, Stetigkeit oder Vertrauen passen nicht mehr in dieses Denken.

Türkei goes Nazideutschland

Mir kam folgende Überlegung: Was würde das heutige Deutschland gegen ein Land wie Nazideutschland in den 30er Jahren? Ich vermute: Nichts!

Wenn man in Richtung Türkei blickt, sieht man eigentlich genau das, was im Dritten Reich passiert ist. Es gibt einen ausgemachten Feind (D: Juden, T: Kurden) und alle mißliebigen Leute in Führungs- oder Machtpositionen werden ausgetauscht. Gleichschaltung der Presse, Gleichschaltung der Justiz, Gleichschaltung der Lehre. Alles was früher in Deutschland passiert ist, wird jetzt in der Türkei nachgemacht. Und der deutsche Staat? Der versucht auf auf gut Wetter zu machen. Wann traut sich endlich mal ein Land, wirklich Konsequenzen zu ziehen? Man hat ja nur Angst, das die Türkei die Flüchtlinge wieder Richtung Mitteleuropa ziehen läßt. Deswegen zeigt niemand Erdogan die rote Karte.

Es tut mir für die türkische Bevölkerung Leid, die muß vor allem darunter leiden. Früher war dir Türkei ja auch noch ein lohnendes Urlaubsziel. So konnte man jedenfalls ein wenig Geld im Land lassen. Heutzutage will doch keiner mehr in der Türkei Urlaub machen. Und, nein, es liegt nicht an der PKK und deren Anschläge, sondern wegen des totalitären Systems. Wahrscheinlich DARF ich, aufgrund dieses Artikels, auch nicht mehr in die Türkei. Ich habe ja schließlich die türkische Regierung, die Politik und Herrn Erdogan kritisiert. Damit bin ich doch schon praktisch Staatsfeind.

Passwort-Manager

Seit einiger zeit nutze ich einen Passwort-Manager. Damit kann ich die Flut unterschiedlicher Passwörter in Griff kriegen. Bekannterweise soll man ja für unterschiedliche Dienste unterschiedliche Passwörter benutzen, am besten lang und komplex.

Das ist mit einem Passwort-Manager kein Problem. Man kann dort komplexe Passwörter generieren lassen und verschiedene Einträge speichern. Meine Wahl ist auf das Open-Source-Tool KeepPass 1.x gefallen. Es gibt zwar auch die 2.x-Version. Diese läßt sich aber nicht portabel auf einem USB-Stick nutzen.

Die Datenbankdatei mit den Passwörtern mir von Keepass mit AES verschlüsselt. Ich synchronisiere die PW-Datei über mehrere Geräte, damit ich überall den gleichen Stand habe. Damit ich aber Herr über meine Daten bleibe, nutze ich dafür Nextcloud (Nachfolger/Fork von Owncloud) wofür ich einen eigenen kleinen Server betreibe; über den ich übrigens auch Kalender und Kontakte mit der Familie teile. Von proprietären PW-Managern, die ihre Daten auf deren eigenen oder fremden Servern speichern, ist abzuraten.

Natürlich muß die Datei mit einem SEHR guten Passwort geschützt werden. Das ist hier soll nicht das schwächste Glied sein. Denn wer Zugriff auf die entsperrte Datei hat, hat Zugang zu allen gespeicherten Online-Konten.

Bei der Benutzung von KeePass kann man nicht nur Benutzernamen und Passwörter kopieren und in die jeweilige Anwendung einfügen, es gibt es Auto-Type-Befehle, die beides gleichzeitig machen oder noch weitere Felder für den Login ausfüllen.

Leider gibt es immer mal wieder Dienstanbieter, die meinen, man müßte das Einfügen von Daten aus der Zwischenablage aus mir unerklärlichen Gründen sperren. Aktuell ist es Ebay, die so verhindern, daß man starke Passwörter nutzt. Wer weiß, wo man sich mal bei Ebay beschweren kann, bitte Info an mich.


Nachtrag 15.11.16

Das Ebay-Problem ist wohl ein wenig komplexer. KeePass kann zwar Passwörter und Benutzernamen in die Zwischenablage kopieren. Die Autotype-Funktion arbeitet aber anders. Hier werden wohl die Tastaturdrücke simuliert. Um bei Ebay ein neues Passwort einzugeben muß man also die Auto-Type-Sequenz anpassen, daher hier das Einfügen über die Zwischenablage nicht funktioniert.

Außerdem komme ich aber auch mit dem Auto-Type; und natürlich mit den richtigen Zugangsdaten nicht in meinen Account. Nach dieser Prozedur akzeptiert Ebay nicht mal mehr meine manuell eingetippten Login-Daten.


Nachtrag 29.11.16

Jetzt funktioniert es bei Ebay wieder.

Überwachungskameras sind kein Allheilmittel

Immer wenn irgendwo etwas Schlimmes passiert, kommen die Politiker und wollen uns davor schützen. Gerne wird Überwachung als Schutzmittel angepriesen. So soll beispielsweise Videoüberwachung Gewalttaten verhindern. Das funktioniert aber nicht so. Jede einzelne Gewalttat, die von Kameras aufgezeichnet wurde, ist ein Beweis, daß Kameraüberwachung nicht funktioniert.

Anfang des Jahres wurde eine Frau im Bahnhof von Bad Schwartau vergewaltigt. Es hingen dort im Gebäude Überwachungskameras, die aber nicht funktionierten. Das konnte der Täter allerdings nicht wissen. Die Polizei hatte also keine Videoaufnahmen vom Täter. Und, oh Wunder, der Täter konnte trotzdem gefasst werden; ganz einfach mit klassischer Polizeiarbeit. Somit konnte er auch schließlich verurteilt werden. Was war aber die Konsequenz aus diesem Fall? Ganz klar, es wurden mehr Kameras installiert! Irgendwie scheinen die Leute nicht richtig nachzudenken…

Die Elbphilharmonie ist fertig!

Ich war vor einigen Tagen überrascht, als ich hörte, die Elbphilharmonie sei fertig. All die Jahre hat man ja stets immer nur von Terminverschiebungen und Kostensteigerungen gehört. Irgendwann verliert man dann auch den Überblick. Man fragt sich dann ob die Schlagzeile „Elbphilharmonie wird noch teurer“ sich auf die Zahlen von vor ein paar Wochen bezieht oder es weitere Kostensteigerungen gab. Witze wurde ja mehr als genug darüber gemacht.

Am Ende ist man allerdings nur noch schockiert und dafür reichen zwei Zahlen: 186 Millionen und 866 Millionen. 186 Millionen Euro sollte das Konzerthaus ursprünglich kosten (Anteil der Stadt: 77 Millionen); und das ist schon eine riesige Menge Geld. Deswegen gab es damals schon Proteste gegen den Neubau. Letztendlich hat das ganze Ding aber 866 Millionen Euro gekostet. Das ist das Vierfache von dem ursprünglichen Preis. Auch wenn man die Inflation im Laufe der Jahre, Nachträge aufgrund von Sonderwünschen oder unerkannten Risiken berücksichtigt, ist eine Verzehnfachung der Kosten absolut nicht nachvollziehbar. Da muß im Vorfeld, auf mindestens einer Seite, entweder schon mit falschen Zahlen gespielt worden sein, oder die Ausgaben sind mehr als zweifelhaft. Jeder private oder geschäftliche Bauherr hätte das Projekt schon längst hingeschmissen. Niemand kann sich eine solche Kostenexplosion erlauben. Nur aus der öffentlichen Hand, die den größten Anteil der Mehrkosten getragen hat, kann man immer nehmen und sie gibt gerne. Was müsste noch alles passieren, daß die Politiker mal die Notbremse ziehen und ein solches Projekt für gescheitert erklären?

Mehr als eine dreiviertel Milliarde Euro für ein einziges Gebäude?! Das ist in keinster Weise nachvollziehbar!

Gerne wird bei solchen Projekten ja immer auf den Leuchtturmcharakter hingewiesen. Ein solches Projekt kann sich niemals alleine tragen, aber es bringt ja angeblich so viel zusätzlichen Gewinn für die Volkswirtschaft, etwa durch mehr Tourismus. Man kann sich ja mal ausrechnen, wie viel Konzertbesucher im Jahr nun zusätzlich nach Hamburg kommen und wie viel Geld sie dann tatsächlich in der Hansestadt lassen.

Die meisten Hamburger werden von der Elbphilharmonie sicherlich nichts haben, da die Konzerte sicherlich recht hochpreisig sind und nicht dem Massengeschmack entsprechen. Es ist halt ein Konzerthaus für klassische Konzerte.