Alex's-Blog (Alexander Palm aus Hannover)

…hier bloggt Alexander Palm aus Hannover

Alexander Palm - Web-Junkie, geek, iPhone-, AVM-, FRITZ!Box-, Sipgate-, jQuery-Fan.

 

Alex's-Blog (Alexander Palm aus Hannover) - …hier bloggt Alexander Palm aus Hannover

Ohne Facebook ist das Internet viel sicherer…

… ist das so?

Oder könnte es jemandem passieren, der unachtsam seine eMail-Adresse im Internetshop falsch eingibt, dass er auch ungewollt Daten über sich preis gibt?

Worum geht es?

Vor ca. 2 Jahren ging es los. Ich bekam eine Mail von ‚eventim‘ mit der Bestätigung einer Ticketbestellung, die ich nie getätigt hatte. Es wurde schnell klar das die Adresse V.Name(at)emailprovider.de wohl eine Verwechslung bei der Eingabe sein musste. Die Daten mit der Bestätigung ließen auf einen Namen mit den selben Initialen schlussfolgern, aber eben eindeutig nicht auf mich.

Mit den so erhaltenen Daten war es einfach, Kontakt zu der richtigen Empfängerin aufzunehmen, denn in der Bestätigung waren Adresse, Telefon und Handynummer enthalten. Wir tauschten die richtigen eMail-Adressen aus und ich habe die Auftragsbestätigung weitergeleitet. Mir wurde versichert das man sich um die Anpassung der Adresse kümmern würde.
Erstmal war Ruhe, aber schon recht bald bekam ich eine Auftragsbestätigung von ‚toys r us‘ und mit kurzem Abstand auch schon eine Mahnung per eMail. Auch diese Mails leitete ich wieder weiter – leider ohne eine Rückmeldung.
Weiter gings dann die letzten Tage mit S.Oliver, erst eine Auftragsbestätigung – es ist doch schon spannend zu sehen was andere so tragen 😉 und jetzt die Antwort vom Support zu dem Wunsch einer Namensänderung wegen Heirat. Ebenso wurde eine neue Kundenkarte für den neuen Namen bestellt.

Was will ich damit sagen?

Alle Welt zeigt auf Facebook, Twitter, XING etc. die offenkundig Soziale-Netze spannen – aber was habe ich durch diese Unachtsamkeit im Umgang mit sowas lapidarem wie der eMail Adresse eigentlich für Möglichkeiten? Zuerst einmal könnte ich das Passwort zurücksetzen lassen, bei mindesten 3 Shops (vielleicht erhalte ich im laufe der Zeit ja noch mehr solcher Mails), damit hätte ich dann Zugriff auf das Kundenkonto, man könnte sich die Adresse, hinterlegte Kontonummer etc. besorgen. Ich weiß, dass die Zahlungsmoral doch etwas zu wünschen übrig lässt – oder ist es normal das man erst nach einer Mahnung über die Bezahlung nachdenkt? Ich weiß von der Hochzeit, ich kenne die Mode-Vorlieben und das alles ohne mich dafür zu interessieren, geschweige denn anzustrengen, diese Infos zu bekommen.

Fazit

Diese Person hatte Glück an mich zu geraten – mehr als das ich nach 2 Jahren dieser Mails langsam genervt bin und diesen Beitrag schreibe, ist nicht passiert.
Beim Shops wie z.B. Amazon wäre sowas wohl nicht passiert da, da man die angegebene eMail durch eine Bestätigungsmail mit Link erst aktivieren muss.
Und man sollte schon aufpassen wo und wofür man seine eMail angibt und bitte auch darauf achten, dass es die eigene ist. Spätestens bei einer nicht erhaltenen Auftragsbestätigung einer Bestellung wäre doch mal zu prüfen, ob man alles richtig gemacht hat und die Mail nicht nur im Spam gelandet ist.

WP Blogger Hannover #2 Treffen am 24.11.2010

Mittwoch (am 24.11.2010) fand also das zweite Treffen der WP Blogger Hannover im Coworking Space Hannover statt.

Für mich Schlafmütze total überraschend wurde ich für einen kleinen Beitrag eingeteilt. Dieses bemerkte ich aber erst am Morgen des Treffens. Also noch eben schnell etwas per Google Docs gehext (an dieser Stelle ein große Danke das Google Docs mit dem iPad funktioniert!). Ich erhebe keinen Anspruch auf Vollständigkeit und Vermessungswünsche (sowie konstruktive Kritik) sind auch gerne gesehen/gelesen. Es geht hier auch nicht um die vollständige Härtung eines WP-Blogs (dazu gehört sicher auch das man PHP, den jeweiligen Webserver und, und, und im Griff hat) sondern darum den Backend-Bereich und somit auch die Anmeldung via SSL (HTTPS) zu verschlüsseln.

Es gibt sicher viele Anleitungen dafür und ich will auch nicht den einzig richtigen Weg beschreiben oder vorgeben, sondern einfach die Erfahrungen teilen, die ich auf meinem Weg zum Ziel gemacht habe. 🙂

Aber schaut es euch selber an – ich hoffe dem einen oder anderen bringt es etwas. Wenn nicht, kann ich aber an dieser Stelle noch sagen, dass mir die „Präsentation“ in dieser Runde sehr viel Spaß gemacht hat! Ihr wart ein tolles „Publikum“ und es war gar nicht so schlimm wie ich zuerst dachte, da ich nicht so gerne vor vielen Menschen rede. 🙂

WP-Admin-Backend sichern

Gelbes Branchenbuch – Abzocke mit Vordruck

Heute bekam ich eine Mail, in der man mich darüber informierte, dass ich doch meine bereits erhobenen Daten für das „Gelbe Branchenbuch“ prüfen möge. Zur Bestätigung der Daten ist gleich ein PDF im Anhang, welches unterschrieben werden soll. Damit würde man gleich einen Vertrag über 2 Jahre zu Monatlich 65 € abschließen.

Nach eine Google Suche zu dem Thema bin ich über einen kleinen Umweg auf den Blog von Daniel Große gestoßen, der den kompletten Sachverhalt schon sehr schön beschrieben hat: Gelbes Branchenbuch: Neue Abzock-Welle

Ich hoffe, dass niemand auf den Kram hereinfällt!

GMX jetzt auch via SSL vom Handy

Ich hatte immer das Problem, dass ich mit dem eingebauten Mail-Client von meinem Handy keine SSL Abfragen mehr machen konnte seit dem GMX sein Zertifikat von Verisign gewechselt hat.

Leider hatte mein Handy von dem neuen Zertifikatsaussteller kein ROOT-CA gekannt. Durch einen dummen Zufall habe ich jetzt das richtige CA in mein Handy (K750i) bekommen. Natürlich will ich meine neuen Erkenntniss keinem vorenthalten. 🙂

Das ROOT-CA gibt es hier: http://www.thawte.com/roots/index.html

Dort kann man sich ein ZIP-File herunterladen und für GMX benötigt man dann die Datei….

\Thawte Server Roots\ThawtePremiumServerCA.cer

…die man per IR oder Bluetooth ans Handy sendet. Danach klappt es dann auch mit POP3/IMAP4 über SSL.

Ohne mod_gzip_on ist es sicherer…

…zumindest mit PHP5 bei Strato.

Nachdem ich jetzt schon ewig bei Strato nach einer Antwort auf mein vermeidliches Sicherheitsrisiko gehofft habe, wurde mir von einem wirklich sehr netten Mitarbeiter die Sachlage so erklärt, dass ich mir einen „Workaround“ schaffen konnte.

Und zwar hatte ich festgestellt, dass man bei Verwendung von PHP5 auf dem Strato-Webangebot die in der PHP-Dokumentation beschriebene Schwachstelle (unter dem Punkt: „Zugriff auf beliebige Web-Dokumente auf dem Server“) bei der Nutzung von PHP als CGI ausnutzen konnte. Diese konnte ich bei Verwendung von PHP4 nicht nachstellen.

Nachdem ich also nun das x-te Mal dieses Verhalten gemeldet hatte, war gestern ein Mitarbeiter von Strato auf der anderen Seite des Telefones, der mir wirklich weiter helfen konnte. Und zwar tritt das Problem nur auf, wenn man „mod_gzip_on“ für seine Webseite nutzt. Also wenn man die Seite an den Browser „gezipt“ übertragen lässt. Nachdem ich diesen Parameter wieder deaktiviert hatte und auf PHP5 umstellte, war alles wie gewünscht: kein „Sicherheitsloch“ mehr, kein komischer Seiteneffekt bei der Nutzung von WordPress.

Die detaillierte Erklärung dieses Mitarbeiters half mir auch zu verstehen, wieso Strato sich auf den, von mir als schwerwiegend empfundenen, Fehler noch nicht gerührt hatte. Die Konfiguration wird wohl in einem der späteren Updates angepasst, aber das „Loch“ ist eben doch nicht so groß wie es mir (ohne das jetzt erworbene Hintergrundwissen) schien.

  1. Das .htaccess Passwort kann nur umgangen werden, wenn man schon eine gültige Anmeldung für einen anderen Ordner auf der Webpräsenz hat.
  2. Es wirkt sich nur aus, wenn mod_gzip_on aktiv ist.
  3. Es wirkt sich nur auf den eigenen Webcontent aus, man kann also keine Files des Servers oder anderer User auslesen.
  4. Es gibt einen Workaround: mod_gezip_on No.

Mit dieser Lösung kann ich erstmal leben. Und ich finde es sollte mehr von den Supportern wie Herrn T.H. bei der Hotline geben. Es war der erste wo ich mich auch ernst genommen fühlte bei der gemeldeten Störung zu meinem „Sicherheitsproblem“.

eBay ist böse…

Nach dem ich nun heute meine Vernehmung als Zeuge zu dem Fall hatte, muss ich schon sagen das ich eBay nicht mehr sehr viel Vertrauen schenken kann – ok, der Trick (den ich hier jetzt sicher nicht erklären werde) war nicht ohne, aber das so etwas möglich war, liegt meiner Meinung nach nur an eBays ungenauen Prüfung der Daten.

Sicher will man es Leuten auf einer so großen Plattform mit der man (also eBay) so viel Kohle scheffelt nicht zu schwer machen auch das Geld über die Plattform zu senden. Aber so wie ich das sehe haben hier jetzt sehr viele Leute einfach nur unnötigen Stress, unnötige Kosten und viele eBay Kunden sicher einen schlechten Image-Eindruck von eBay gewonnen.

Ist es denn wirklich so schwer, ein bisschen mehr auf seine Kunden und deren Zufriedenheit sowie deren Sicherheit zu achten, als nur auf den eigenen Profit?

Ich kann mir auch gut vorstellen, dass bald wieder mein realer Account mit dem Fake-Account in Verbindung gebracht wird, dem ich dann wieder hinterher laufen darf, um ihn entsperren zu lassen. Aber ich glaube wenn das wieder eintritt, kann ich auf eBay auch gut verzichten.