Schlagwort: sicherheit

  • Veröffentlicht am

    Antivirus-Software = Schlangenöl


    Fefe schreibt ja schon seit Jahrzehnten gegen die “Antivirus”- und “Internet Security”-Branche als Schlangenöl-Verkäufer an. Während meiner Zeit mit PC ab 50 hatte ich immer die Position vertreten, dass unbedarfte Laien ohne Antivirus noch schlechter dran seien als mit. Dabei hatte ich von Anfang an schon von den so genannten “Internet Security”-Paketen abgeraten, weil die darin integrierten Personal Firewalls mehr Schaden als Nutzen stiften. Diese Ansicht kann ich spätestens seit Hanno Böcks umfangreichem Artikel Antivirensoftware: Die Schlangenöl-Branche nicht mehr aufrecht erhalten. Damit zeigt sich, dass ich mich irgendwo in der Mitte zwischen unbedarftem Anwender und Sicherheitsexperten bewege, denn z.B. die nach Einschätzung von Sicherheitsexperten wichtigste Maßnahme propagiere ich auch von Anfang an, nämlich immer brav die neuesten (Sicherheits-) Updates zu installieren.
    Weiterlesen…
  • Veröffentlicht am

    Identity as a Service (IDaaS)


    Im Stiegler Legal Podcast zum Thema Blockchain, den ich im Beitrag zum selbigen Thema verlinkt hatte, erwähnt André Kudra einen Artikel in der iX 06/2016, die ich mir prompt besorgt habe. Erst in diesem Artikel ist mir die Absurdität von Identity as a Service (IDaaS) so richtig aufgegangen. Machen die sich eigentlich klar, was für Begriffe sie da benutzen? Jedenfalls geht es bei IDaaS ja darum, seine (digitale) Identität in die Cloud zu verlegen. Die wird dabei naturgemäß etwas nebulös, so ist das nun mal in den Wolken: Und natürlich darf an dieser Stelle Käptn Peng nicht fehlen: Auch über den Begriff Identitätsdiebstahl lohnt es sich mal tiefer nachzudenken… Nachtrag vom 25.01.: Was wohl die Identitären zu Identity as a Service sagen?
    Weiterlesen…
  • Veröffentlicht am

    All-Inkl verlängert Let's Encrypt-Zertifikate automatisch


    Ich bin mal wieder begeistert von meinem Hostingprovider All-Inkl. Zu Weihnachten hatte ich ja, damals noch in Handarbeit, TLS-Zertifikate von Let’s Encrypt für meine Domains eingerichtet. Die wollte ich nun heute verlängern & stieß dabei auf eine unüberwindlich scheinende Hürde. Eine Mail an den Support klärte allerdings die Ursache: Man kann bei All-Inkl nicht mehr selber Let’s Encrypt-Zertifikate anfordern, weil der Support das macht & diese dann sogar automatisch verlängert. Das spart einen Haufen Arbeit, denn die Prozedur bei Get HTTPS for free! ist schon echt langwierig für mehrere Domains. Deshalb hier der Werbeblock:
  • Veröffentlicht am

    Mein Weihnachtsgeschenk für euch: HTTPS


    Frohe Weihnachten allerseits! Ich bin doch noch wach, weil ich mein Blog, die PC ab 50-Seite sowie die Agentenwebsite auf HTTPS umgestellt habe. Möglich macht das Let’s Encrypt, von denen ich mir ein TLS-Zertifikat habe ausstellen lassen. Dabei bin ich Fefes Empfehlung gefolgt und habe die statische Website Get HTTPS for free! genutzt. Ein paar Kinderkrankheiten muss ich noch beheben, so gehen z.B. im Blog die Feeds derzeit nicht, und auf pc-ab-50.de wird noch nicht alles verschlüsselt ausgeliefert. Nachtrag: Jetzt geht alles mit HTTPS.
  • Veröffentlicht am

    Werbung ist ungesund - für den Computer


    Heute habe ich einen neuen Begriff gelernt: Malvertising. Aus der Definition: Es bezeichnet das Verbreiten von Schadcode über Werbebanner, auch Adverts oder kurz Ads, oder ganze Werbenetzwerke. Das Phänomen an sich ist mir schon länger bekannt, es kommt immer wieder vor, dass sich über Werbebanner auch auf an sich seriösen Seiten Schadsoftware verbreitet. Microsoft ist z.B. schon im Jahr 2009 gerichtlich gegen solche Kampagnen vorgegangen. Aktuell hat es Yahoo und Daily Mail erwischt. Zeitungen wie BILD schießen sich daher selbst in den Fuß, wenn sie Websurfer mit aktiviertem Werbeblocker aussperren. Dann werden sie halt weniger gelesen, selber schuld. Laut einem Einsender bei Fefe werden sogar die Rechner in Werbeagenturen mit vorinstalliertem Werbeblocker ausgeliefert… Der Werbeblocker, den ich allgemein empfehle, heisst uBlock uBlock Origin und ist für Chrome, Safari und Firefox erhältlich.
    Weiterlesen…
  • Veröffentlicht am

    Untrusted Platform Module, UEFI Insecure Boot


    Heute mal was Technisches: Schon im Blog von PC ab 50 habe ich mehrfach auf die Gefahren von “UEFI Secure Boot” hingewiesen, das für die Windows 8-Zertifizierung vorgeschrieben ist. Das Trusted Platform Module kontrolliert dabei, welche Bootloader auf dem System starten dürfen. Freie Bootloader wie Coreboot sind nicht vorgesehen. Das ist der eine Grund, warum “Secure Boot” böse ist. Unter der Bezeichnung Boot Guard ist Intel gerade dabei, das TPM direkt in die Prozessoren zu verlegen, so dass man es dann irgendwann gar nicht mehr abschalten kann. Den ursprünglichen Entwurf unter dem Codenamen Palladium findet man noch in der englischen Wikipedia. Der andere Grund ist nun, dass es nicht nur böse, sondern eben insecure ist, denn die Dienste haben die Schlüssel längst in ihren Fingern und können daher auf den vermeintlich geschützten Plattformen installieren, was sie wollen (Bruce Schneier ist sich da allerdings nicht ganz so sicher).
    Weiterlesen…
  • Veröffentlicht am

    Anonymisierungs-, Verschlüsselungs- u.ä. Software: am Ende bleibt doch nur Vertrauen


    Eigentlich ist die c’t ja definitiv meine Lieblings-Computerzeitschrift. Aber ihr Privacy-Wahn wird langsam kindisch. In der Ausgabe 16/2013 gibt es eine große Artikelserie, mit welchen Mitteln man vermeintlich der NSA-Überwachung entgehen kann. Das sind zwar schon mal deutlich realistischere Tipps als in Computer Bild, aber es ist überhaupt nicht konsequent zu Ende gedacht. Das hole ich hiermit nach: Im Artikel über Verschlüsselung schreiben sie, dass man Programme wie GnuPG oder TrueCrypt selbst kompilieren sollte, um sicher zu sein, dass in fertig kompilierten Downloads keine Hintertüren drin sind. Das ist so weit grundsätzlich richtig. Aber es geht ja weiter: Kann ich sicher sein, dass der Microsoft C-Compiler nicht extra für Verschlüsselungsprogramme eine Erkennungsfunktion hat und dann doch noch eine Hintertür einkompiliert, auch wenn der Quelltext an sich sauber ist?
    Weiterlesen…
  • Veröffentlicht am

    F-Insecure


    Nicht gerade vertrauenerweckend… Nachtrag vom 08.02.2017: Was soll man von einem Schlangenöl-Verkäufer auch anderes erwarten.
  • Veröffentlicht am

    Skype sucks!!


    Offenbar wurde mein Skype-Account gehackt. Das scheint in den letzten Wochen vielen Leuten passiert zu sein, siehe How safe is your Skype name?, Skype Password Problem & Skype Passwords Compromised? Ob ich diesem Programm noch mal vertraue, weiss ich nicht so recht. Proprietäre Scheisse funktioniert letzten Endes eben nicht!! Liebe Open Source Community, bitte entwickelt ein freies Skype-Pendant!