Heute bekam ich eine Mail, in der man mich darüber informierte, dass ich doch meine bereits erhobenen Daten für das “Gelbe Branchenbuch” prüfen möge. Zur Bestätigung der Daten ist gleich ein PDF im Anhang, welches unterschrieben werden soll. Damit würde man gleich einen Vertrag über 2 Jahre zu Monatlich 65 € abschließen.
Nach eine Google Suche zu dem Thema bin ich über einen kleinen Umweg auf den Blog von Daniel Große gestoßen, der den kompletten Sachverhalt schon sehr schön beschrieben hat: Gelbes Branchenbuch: Neue Abzock-Welle
Ich hoffe, dass niemand auf den Kram hereinfällt!
Keine Kommentare »
Ich hatte immer das Problem, dass ich mit dem eingebauten Mail-Client von meinem Handy keine SSL Abfragen mehr machen konnte seit dem GMX sein Zertifikat von Verisign gewechselt hat.
Leider hatte mein Handy von dem neuen Zertifikatsaussteller kein ROOT-CA gekannt. Durch einen dummen Zufall habe ich jetzt das richtige CA in mein Handy (K750i) bekommen. Natürlich will ich meine neuen Erkenntniss keinem vorenthalten. 
Das ROOT-CA gibt es hier: http://www.thawte.com/roots/index.html
Dort kann man sich ein ZIP-File herunterladen und für GMX benötigt man dann die Datei….
\Thawte Server Roots\ThawtePremiumServerCA.cer
…die man per IR oder Bluetooth ans Handy sendet. Danach klappt es dann auch mit POP3/IMAP4 über SSL.
3 Kommentare »
…zumindest mit PHP5 bei Strato.
Nachdem ich jetzt schon ewig bei Strato nach einer Antwort auf mein vermeidliches Sicherheitsrisiko gehofft habe, wurde mir von einem wirklich sehr netten Mitarbeiter die Sachlage so erklärt, dass ich mir einen “Workaround” schaffen konnte.
Und zwar hatte ich festgestellt, dass man bei Verwendung von PHP5 auf dem Strato-Webangebot die in der PHP-Dokumentation beschriebene Schwachstelle (unter dem Punkt: “Zugriff auf beliebige Web-Dokumente auf dem Server”) bei der Nutzung von PHP als CGI ausnutzen konnte. Diese konnte ich bei Verwendung von PHP4 nicht nachstellen.
Nachdem ich also nun das x-te Mal dieses Verhalten gemeldet hatte, war gestern ein Mitarbeiter von Strato auf der anderen Seite des Telefones, der mir wirklich weiter helfen konnte. Und zwar tritt das Problem nur auf, wenn man “mod_gzip_on” für seine Webseite nutzt. Also wenn man die Seite an den Browser “gezipt” übertragen lässt. Nachdem ich diesen Parameter wieder deaktiviert hatte und auf PHP5 umstellte, war alles wie gewünscht: kein “Sicherheitsloch” mehr, kein komischer Seiteneffekt bei der Nutzung von WordPress.
Die detaillierte Erklärung dieses Mitarbeiters half mir auch zu verstehen, wieso Strato sich auf den, von mir als schwerwiegend empfundenen, Fehler noch nicht gerührt hatte. Die Konfiguration wird wohl in einem der späteren Updates angepasst, aber das “Loch” ist eben doch nicht so groß wie es mir (ohne das jetzt erworbene Hintergrundwissen) schien.
- Das .htaccess Passwort kann nur umgangen werden, wenn man schon eine gültige Anmeldung für einen anderen Ordner auf der Webpräsenz hat.
- Es wirkt sich nur aus, wenn mod_gzip_on aktiv ist.
- Es wirkt sich nur auf den eigenen Webcontent aus, man kann also keine Files des Servers oder anderer User auslesen.
- Es gibt einen Workaround: mod_gezip_on No.
Mit dieser Lösung kann ich erstmal leben. Und ich finde es sollte mehr von den Supportern wie Herrn T.H. bei der Hotline geben. Es war der erste wo ich mich auch ernst genommen fühlte bei der gemeldeten Störung zu meinem “Sicherheitsproblem”.
1 Kommentar »
Nach dem ich nun heute meine Vernehmung als Zeuge zu dem Fall hatte, muss ich schon sagen das ich eBay nicht mehr sehr viel Vertrauen schenken kann – ok, der Trick (den ich hier jetzt sicher nicht erklären werde) war nicht ohne, aber das so etwas möglich war, liegt meiner Meinung nach nur an eBays ungenauen Prüfung der Daten.
Sicher will man es Leuten auf einer so großen Plattform mit der man (also eBay) so viel Kohle scheffelt nicht zu schwer machen auch das Geld über die Plattform zu senden. Aber so wie ich das sehe haben hier jetzt sehr viele Leute einfach nur unnötigen Stress, unnötige Kosten und viele eBay Kunden sicher einen schlechten Image-Eindruck von eBay gewonnen.
Ist es denn wirklich so schwer, ein bisschen mehr auf seine Kunden und deren Zufriedenheit sowie deren Sicherheit zu achten, als nur auf den eigenen Profit?
Ich kann mir auch gut vorstellen, dass bald wieder mein realer Account mit dem Fake-Account in Verbindung gebracht wird, dem ich dann wieder hinterher laufen darf, um ihn entsperren zu lassen. Aber ich glaube wenn das wieder eintritt, kann ich auf eBay auch gut verzichten.
Keine Kommentare »
Auf http://www.php-security.org/ wurde Anfang März das Month of PHP Bugs-Projekt gestartet. Hoffen wir das sie nicht zu viele Fehler finden 
Keine Kommentare »
Unter der dem Beitrag: “WordPress 2.1.1 dangerous, Upgrade to 2.1.2” ist von einem Hack die Rede der die Versionen von WP 2.1.1 betrifft, wenn man sie in den letzten 3-4 Tagen ab dem 02.03. runtergeladen hat. Offensichtlich hat jemand die Quellcodes der angebotenen Downloads manipuliert.
Und auch noch der Beitrag von Heise zu dem Thema
Also zieht Euch schnell das Update auf 2.1.2!
Keine Kommentare »
Einträge (RSS)