Beiträge von iStephan

ich habe genau dargelegt, wie der Fehler zustandekommt und wenn mein Rechner eine Datei die auf PHP endet, nicht als PDF öffnet weil es auf Anhieb eben keine PDF-Datei ist, entspricht das best practice...

Wie soll ein Computer per Gedankenlesen "ahnen" dass eine PHP -Datei eigentlich vom Herausgeber als PDF "gemeint" war?! :confused:

Dateien, die Endung A tragen, aber innerlich wie "Endung B" aufgebaut sind, sind typisch für Malware, Viren etc., da ist es ein angemessener Schutz, schon diese trivialeren Einfallstore zu schließen bzw. geschlossen zu halten! Was würdest du machen, wenn du eine EXE-Datei in einer E-Mail zugeschickt bekommst und das E-Mail-Programm ist so doof, diese ungefragt auszuführen (entspricht bei EXE: zu "öffnen") weil sie mit der falschen Endung .JPG versehen wurde?!

Und wie kommst du dazu, ohne nähere Begründung und Einblick zu behaupten an meinem PC würde was nicht stimmen? :confused:

Zitat

Original geschrieben von JRDA
Das letzte Dokument unten war gemeint:
https://www.meineschufa.de/index.php?site=14_2

Der Link funktioniert immer noch nicht

Aber immerhin kann ich dir jetzt wenigstens auch sagen warum.

Wenn man wie von dir nahegelegt auf das unterste Dokument-Symbol links mit der "Deutsch-Flagge für Sprachsymbol" klickt, erscheint eine Weiterleitungsseite mit Hinweis-Link den man anklicken soll, falls der Download scheitert.

Aber egal ob man diesen anklickt oder nicht, findet ein Download des nur 60 KB Kurzen Dokuments statt.

Nur, das Problem ist:
Das Dokument heisst "Download.php" statt irgendwas mit Endung PDF.
Dadurch öffnet es sich nicht automatisch.
Man muss den Download-Ordner (ich habe meinen Firefox vor 10 Tagen aktualisiert!!) manuell öffnen und mit Rechtsklick auf die Datei "öffnen mit" angeben und dann manuell in der Liste "Adobe Acrobat" wählen.

Kundenfreundlich geht anders!
Kein Interesse an Leuten die ihre Selbstauskunft anfordern?

Zitat

Original geschrieben von WolliBY
Soeben eine Mail für meine simyo Prepaid Freikarte bekommen:

Lieber Herr ***,

in den nächsten Tagen wird simyo zu Blau. Was heißt das konkret für Sie? Alles bleibt gewohnt einfach. Sie erhalten mit der Umstellung zu Blau gleiche Leistungen bei gleichem Preis. Natürlich behalten Sie Ihre SIM-Karte und Ihre Rufnummer *********. Auch alle weiteren Konditionen bleiben wie bisher. Und Sie telefonieren weiterhin im gleichen Netz.

Wurde dir eigentlich in dieser E-Mail eine E-Mail-Adresse für Rückfragen angegeben?
Wäre doch interessant, wo Blau wie o2 keine E-Mails mehr akzeptiert.

Ich frage mich was das eigentlich für eine asymmetrische Kommunikationsweise ist, E-Mails weitgehend zu sperren, aber den Endverbraucher daran zu hindern, auf gleicher Wellenlänge zurückzuschreiben!

Asymmetrische Kommunikation = Arroganz der Macht?

@e-plus-Fan:

Würde mich auch interessieren, was du zu Guthabengültigkeit gesagt hast. Bei meiner Galeriamobil-Karte die ja schon viel früher von eplus auf o2 umgestellt wurde, ist seitdem kein festes Ablaufdatum per *102# mehr feststellbar, es ist so als grober Richtwert das gefühlte "Fonic - Gebaren " eingekehrt...

Man könnte pi mal daumen sagen, die Galeriamobil-Umstellung war eine Art Generalprobe für die jetzigen Umstellungen.

Rufumleitung war doch weder bei e-plus-Prepaid noch bei o2-Prepaid möglich - warum sollte das jetzt plötzlich gehen? - wünschenswert wäre es natürlich.

Zitat

Original geschrieben von El_Pato
Nach zwei WK wurde die Kündigung per Mail bestätigt. (..)Ich habe nun nach einer Endabrechnung gebeten. (..)

Da wird ja mit harten Bandagen gekämpft!
WK heißt laut Wikipedia (Edit: u.a.) Weltkrieg.
Nach zwei Weltkriegen hat N26 klein beigegeben und dir deine Kündigung bestätigt?

oder wolltest du künftig vom Aküfi besser Abstand nehmen? Endabrechnung klingt in dem Zusammenhang auch irgendwie ... martialisch ....

Überzeugende Idee! wenn die Untersuchungen schon gezeigt haben, dass die Karten recht selten benutzt werden, nutzen sie sich auch weniger ab --> Ausdehnung der Erneuerungs-Intervalle möglich :top:

stand aber hier nicht vor kurzem zu lesen, dass Sparda-Banken und auch Netbank das so sichere chipTAN-Verfahren bald abschaffen wollen?

Ist dazu näheres bekannt?

----
Noch was anderes:

Die Frankfurter Sparkasse erneuert ablaufende SparCards bestimmter Konten nicht mehr - betroffene Spar-Kunden sollen künftig an den personenbedienten Schalter gehen.
Grund seien die hohen Kosten (!) von > 5 Euro pro Chipkarte

http://www.faz.net/aktuell/fin…tokarten-ab-14485498.html

Meinungen, Stellungnahmen?

Zitat

Original geschrieben von horstihorsthorst
Ich glaube du hast da einen Denkfehler. Bei einem man-in-the-middle Angriff mit iTAN wird der Empfänger nicht nachträglich geändert.

Du loggst dich bei deiner Bank ein und tippst ein "Überweise 10€ an Klaus", dieser Auftrag geht aber nicht zur Bank, sondern an den Angreifer. Dieser tippt jetzt ein "Überweise 1000€ an Angreifer" und sendet den Auftrag an die Bank. Die Bank sagt "Ich überweise 1000€ an Angreifer. Gib dazu TAN 89 ein". Jetzt kommt wieder das Schadprogramm ins Spiel. Das zeigt dir auf deinem PC an "Gib für Überweisung von 10€ an Klaus die TAN 89 ein".

Du gibst TAN 89 ein. Diese geht zum Angreifer und er hat nun die benötigte TAN um den Auftrag "1000€ an Angreifer" auszuführen.

Die gleiche Vorgehensweise bei mobile-TAN führt dazu, dass du eine SMS bekommst in der steht "Die TAN für Überweisung von 1000€ an Angreifer lautet ...". An dieser Stelle merkst du, dass etwas nicht stimmt und brichst den Vorgang ab.

Alles anzeigen

Der Denkfehler hierbei ist, dass bei den heutigen IBANs Banken ja nicht mehr überprüfen (müssen), ob Name des Empfängers mit der Kontonummer übereinstimmen. Der Empfängername ist beliebiger Stuß und wenn die Nummer mit Prüfsumme stimmt, geht die Überweisung durch, egal wohin, egal wie falsch und unbeabsichtigt. "Dein Geld ist nicht weg, es hat nur jemand anders jetzt."

Bei Papierüberweisungen ist das weitgehend Realität.
Damit mTAN wirklich funktioniert, müsste die Bank etwas machen was sie sich bisher hütet zu tun, nämlich eine Datenbank mit Zuordnungen IBAN <--> Empfängernamen pflegen und korrekt halten und im Einzelfall auch abfragen.

Wenn es nämlich so ist wie bei regulären Überweisungen, könnte ein Schadprogramm einfach das Textfeld "Klaus" in seine Fake-Überweisung einsetzen und bei der IBAN die Zahlenkolonne des Angreifers bzw. seines Begünstigten. :o

Und dann die Gretchenfrage:
Wenn in der mTAN - Kontroll-SMS der Name "Klaus" aus deinem Beispiel drinsteht, wieviel % der Durchschnittsbürger werden dann die nachfolgende 22stellige Zahlenkolonne Ziffer für Ziffer kontrollieren und vergleichen?

Zitat

Original geschrieben von kmak
Tja, dann kann die Bank aber sagen: Selber schuld. (..)

Ich glaube inzwischen, dies ist der "Kasus Knacktus" bei dem ganzen.
Es geht nicht so sehr darum, Mehrwegesicherheit für den Endverbraucher zu schaffen, sondern um eine immer weitergehende, immer weiter getriebene perfekte Sicherheit für die Bank, für nichts einstehen zu müssen und ihren EDV-Aufwand immer mehr auf den Kunden outsourcen (abwälzen) zu können.

Es ist doch seit jeher so, dass Passwörter und Authentifizierungsverfahren ein Katz-und-Maus-Spiel mit den unlauteren Elementen des Internets sind. Eine Art Wettrüsten. Der Kreativität auf beiden Seiten sind keine Grenzen gesetzt. Deswegen wird sich das Spiel immer wiederholen, und neue Situationen entstehen von denen man jetzt noch nichts weiß (unknown Unknowns).

Ich sehe eine deutliche Parallele zur Problematik "PIN oder Unterschrift" bei Kreditkarten und statt der aalglatten "Digitalität", die man ohne Hochschulstudium der Informatik im Konfliktfall nicht erschüttern kann, hat die analoge Unterschrift deutliche Vorteile was Transparenz, Nachvollziehbarkeit und Beweisbarkeit angeht.

Und da würde ich analoge Verfahren gegenüber digitalen immer bevorzugen, und weniger perfekte digitale immer den perfekteren.

Ich möchte hier auch auf das klassische Telefonbanking - ohne zwischengeschaltetes Internet - aufmerksam machen: solange man die Nummern per Telefontastatur eingibt und diese nicht aufgezeichnet werden bzw. niemand das gesprochene Telefonkennwort mithören kann, ist dieses recht sicher. Und da alles Gesprochene aufgezeichnet wird in der Bank, ist eine ähnliche "analoge" Beweissituation gegeben wie bei der Unterschrift auf der Kreditkarte.

Vielleicht wird künftig ein menschlicher Schalterbeamter den Kunden in einer Videositzung auffordern, "vor ihm " den Papierbeleg zu unterschreiben und ihn danach in den Scanner zu schieben ... dann wäre auch eine Analog-Beweissituation geschaffen, ähnlich Video-Ident.

hey!

werden diese Karten dann zugleich /oder später / auf o2-Netzkennung oder dergleichen umgestellt? passiert dies auch mit originären Blau.de Karten (prepaid) ? habe so eine im aktiven Wirkbetrieb, wurde aber über rein gar nichts informiert.

Zitat

Original geschrieben weiter oben
(..)Was meint ihr?

ich habe wie erbeten meine Meinung kundgetan. Wenn dir das nicht passt, kannst du gegenteilige Fakten berichten, oder ebenfalls deine Meinung äußern, anstatt hier auf beleidigt zu machen