Das längste Thema

  • Für den Fall hab ich mir das dauerhafte Angebot hier mal gebookmarkt: https://www.netcup.de/bestellen/produkt.php?produkt=1938

    22Cent + 1 Euro Einrichtungsgebühr

    Nicht so günstig wie die "richtigen" Angebote, aber auch nicht schlecht :)

    Dafür hatte ich sonst immer das Dauerangebot 19cent, aber das gibt es nicht mehr :( Besten Dank für die 22 Cent!

  • Dafür hatte ich sonst immer das Dauerangebot 19cent, aber das gibt es nicht mehr :(

    Ja leider.

    Ich glaube alle meine domains (außer denen aus Aktionen) habe ich darüber gebucht.

    Ich kann mich nicht erinnern jemals eine reguläre 5,-/Jahr erworben zu haben.


    Das Webhosting Bestprice gibt es ja auch nicht mehr. Das war immer ganz praktisch, wenn man ein Minihosting+eMail zu einer domain wollte.

  • Ja leider.

    Ich glaube alle meine domains (außer denen aus Aktionen) habe ich darüber gebucht.

    Ich kann mich nicht erinnern jemals eine reguläre 5,-/Jahr erworben zu haben.


    Das Webhosting Bestprice gibt es ja auch nicht mehr. Das war immer ganz praktisch, wenn man ein Minihosting+eMail zu einer domain wollte.

    Zur Not kann man ja immer noch zu den billigen Massenhostern gehen und ne Domain für 0,08€/Monat buchen .... die Domain kündigt man dann Anfang Dezember und beantragt direkt den Auth Code, .... spätestens Weihnachten gibt es ja wieder Domains :D


    Wobei der Unterschied auch nur bei 3 Cent/Monat (22-19) bzw. 8 Cent/Monat (22-14) liegt, also 36 Cent/Monat bzw. 0,96 Cent/Monat liegt :D - Wenn du da dann noch die 1€ statt 2€ Bearbeitungsgebühr mit einberechnest ... Aber wenn man sparen kann freut man sich so oder so - haha :D

  • Da gibt es eigentlich keinen wirklichen Unterschied.

    irgendwie doch, wenn ein Electronic Banking gut ist, dann wirft es die Session auch 'raus sobald die SSL/TLS-Sitzung unterbricht;

    oder aber stellt Dich vor die Anmeldemaske wenn Du mit einer neuen SSL/TLS-Sitzung daherkommst ... (egal welche Cookies od. sonstwas im HTTP-Request sind)

    sprich: dass was Du meintest geht defintiiv nicht, weil ja curl/wget eine andere SSL/TLS-Sitzung Richtung Server haben als

    der Browser;

    Wer SMS immer noch als sicheres 2FA bezeichnet und gerootete Mobilgeräte aussperrt, ist nicht ernst zu nehmen.

    welche Bank tut das - ich mein beides glzt., sprich immer noch SMS?


    Gerootete Mobilgeräte sind vom Sicherheitslevel schlimmer als SMS;

  • […] wenn ein Electronic Banking gut ist, dann wirft es die Session auch 'raus sobald die SSL/TLS-Sitzung unterbricht; […]

    Dass die BAWAG bei technischen Sachen nicht gut ist, ist mir durchaus bekannt… 8o

    Hat einwandfrei funktioniert (Ausgabe meiner IBAN), ich konnte die gleiche Session nachher auch noch problemlos im Browser weiterverwenden.


    Der Request war im Browser auch jedes Mal identisch, absolut keine Tricks notwendig.

    welche Bank tut das - ich mein beides glzt., sprich immer noch SMS?

    *hust* BAWAG *hust*


    Die tolle Klar-App kann man ja mit einem gerooteten Smarthendl Heizflosse nicht verwenden.

    Gerootete Mobilgeräte sind vom Sicherheitslevel schlimmer als SMS;

    Komisch, mein PC (auf dem Browser läuft) ist ebenfalls "gerootet". Seltsamerweise kann und darf ich mich sogar am (gerooteten!) Smarthendl über den Browser einloggen…


    Aber das Thema hatten wir schon einmal im Forum. Ich will hier in keine Endlosschleife laufen.

  • wenn ein Electronic Banking gut ist

    Welche europäische Bank ist denn so gut?

    Die setzen doch nur das um, was an EU Richtlinie umgesetzt werden muss, nicht mehr.

    Gibt auch genügend Banken, die auch mit veralteten TLS Versionen unterwegs sind.

    Da macht doch keiner einen Finger krumm, wenn er nicht muss.


    SemperVideo hatte dazu mal eine Videoreihe gemacht.


    Die Banken verstehen ja nichtmal, worfür TLS gut ist - da wirst du bei der Hotline von einem Roboter nach deinen Bankingzugang gefragt, damit der Kundenbetreuer etwas an deinem Konto machen kann (Commerzbank). Klar geb ich das übers Telefon ein || - nicht.

    Ist nämlich weder verschlüsselt, noch ist belegt, dass wenn ich die Hotline anrufe, dass da auch wirklich die Hotline dranne ist.

  • Komisch, mein PC (auf dem Browser läuft) ist ebenfalls "gerootet".

    das ist keine Ausrede, es f. Heizflossen ebenfalls akzeptieren zu müssen;

    bei Heizflossen hast ja nur selten eine Bootdiskette ;)


    die Tatsache wieso das weniger sicher ist als SMS will keiner hören, ist aber so;

    weil sämtliche Dinge die man bei SMS hineininterpretiert mit der eigentlichen Technologie nichts zu tun hat;

    bei gerooteten Flossen ist aber garantiert, dass einer App nicht mehr garantiert werden kann,

    dass sie nicht doch auf einem RootKitOS läuft, und dann brauchen wir über Sicherheit nicht mehr reden;


    der Standard bei Heizflossen ist eben, dass es NICHT gerootet ist ;)

  • der Standard bei Heizflossen ist eben, dass es NICHT gerootet ist ;)

    Dann kaufst Du eindeutig die falschen Geräte. :P Über ADB hat AOSP prinzipiell keine Probleme mit Rootrechten. 8)


    Wäre ja noch schöner, wenn ich mir Hardware zulegen würden, auf der ich nicht machen kann, was ich möchte…

  • Wäre ja noch schöner, wenn ich mir Hardware zulegen würden, auf der ich nicht machen kann, was ich möchte…

    kannst ja, und die pushTAN-Apps sagen Dir dann, was sie nicht wollen;:P


    Die setzen doch nur das um, was an EU Richtlinie umgesetzt werden muss, nicht mehr.

    und wieso haben sie 'pushTAN' erfunden? dessen Entwicklung doch Kosten verursacht hat;

    ganz einfach: das war eiskaltes Kalkül;

    die pushTANs kosten sie nichts, aber jede SMS, welche sie versenden verursacht Kosten;

    und damit amortisiert sich die Entwicklung von pushTAN sehr schnell;


    probier mal bei ein paar Banken der Banking-Zugänge mit SSLlabs durch ...

    da merkst dann, welche Banken etwas tun, und welche wirklich so sind, wie Du sagst;

  • und wieso haben sie 'pushTAN' erfunden? dessen Entwicklung doch Kosten verursacht hat;

    ganz einfach: das war eiskaltes Kalkül;

    die pushTANs kosten sie nichts, aber jede SMS, welche sie versenden verursacht Kosten;

    und damit mortisiert sich die Entwicklung von pushTAN sehr schnell;

    Stimmt so nicht: Im Normalfall wird/wurde der Versand von smsTANs von den Instituten bepreist...

  • Im Normalfall wird der Versand von smsTANs von den Instituten bepreist, daher ist deine Aussage so nicht richtig.

    ja aber nur wenn sie etwas haben, dass sie kostenlos anbieten können; generell ist dem nicht so;

    und jeder der die Mglkt. hat, verwendet pushTAN od. entsprechende andere TAN-Arten, welche kostenlos sind;


    gibt nur wenige welche freiwillig f. smsTANs bezahlen; bei den Gebühren würde sich aber eine Bank dennoch keine goldene Nase verdienen;

    gibt sogar eine Online-Bank, welche sich in AT komplett vom Privatkundengeschäft zurückzieht; ist momentan am Laufen; den reinen Sparkunden

    wurde bereits gekündigt; die Kunden mit Wertpaperdepot, Girokonto, ... können warten was passieren wird;

  • und wieso haben sie 'pushTAN' erfunden? dessen Entwicklung doch Kosten verursacht hat;

    ganz einfach: das war eiskaltes Kalkül;

    die pushTANs kosten sie nichts, aber jede SMS, welche sie versenden verursacht Kosten;

    und damit mortisiert sich die Entwicklung von pushTAN sehr schnell;

    Die haben doch nicht pushTAN erfunden. Die VR Banken haben mit chipTAN und dem kleinen Gerät eh ihr eigenes Ding gemacht.

    Im Business Bereich gibt es seit jeher Zertifikate oder HBCI Signaturkarten - ohne zweiten Faktor.


    PushTAN ist einmal eine eingetragene Marke: https://register.dpma.de/DPMAr…register/3020110495033/DE

    Zweitens scheint das Verfahren unter dem Namen nur für Sparkassen beworben zu sein.


    Sparkasse? https://www.ssllabs.com/ssltest/analyze.html?d=www.haspa.de

    TLS 1.3 Support sieht anders aus.

    IPv6? Fehlanzeige


    iTAN Listen sind übrigens noch Preiswerter als SMS Tan.

    Woran das wohl liegt, dass iTAN Listen nicht mehr genutzt werden.


    Bei der ING bspw. konnte ich bis PSD2 meine iTAN Liste verwenden.

  • ja aber nur wenn sie etwas haben, dass sie kostenlos anbieten können; generell ist dem nicht so;

    Zumindest die Sparkassen und Genossenschaftsbanken, die in Deutschland gemeinsam mehr als 40% Marktanteil haben, bieten mehrere Verfahren. Dazu kommen noch viele andere Institute mit mehreren TAN-Verfahren. Aktuell sind mir nur die Deutsche Bank, die Commerzbank und die ING Diba bekannt, die sich ans smsTAN-Verfahren "klammern"...

  • die Commerzbank

    Die haben eine App - photoTAN App mit der man direkt Aktionen bestätigen kann, oder aber über das Zertifikat.

    SMS wird nur angeboten, falls der Kunde photoTAN nicht möchte - SMS wird aber nicht aktiv beworben.


    Das einzige was nervt, ist, dass jeder Login Prozess im Webinterface mit der App bestätigt werden muss.



    ING Diba

    Diba nennen die sich nicht mehr. Die ING hat auch eine App, mit der Transaktionen bestätigt werden.

    Eine seperate TAN App gibt es nicht - nur eine kombinierte Freigabe & Bankingapp.


    Vor PSD2 funktionierten die iTAN Listen auf Papier noch - SMS wird mir zumindest nicht angeboten und auch nicht beworben.

  • H6G

    Hör mir auf mit der HASPA. Ich hab die mal gefragt warum es für mein Online-Banking keine 2FA für den Login gibt.

    Deren Antwort? Selbst wenn sich jemand auf mein Account zugriff verachaffen würde könnte er von da aus ja kein Geld transferieren ohne meinen SMS/PushTAN


    Na Dankeschön

  • Die haben doch nicht pushTAN erfunden.

    nicht in dem Sinn, aber der Entwicklungsaufwand hätt es, wenn es nur nach PSD2-Erforderniss gegangen wäre nicht gebraucht;

    und rerdmann die haben sich schon was gedacht; weil nach PSD2 ist bereits der Einstieg - ohne dass man noch irgendwas macht,

    nach PSD2 mit einem 2ten Faktor abzusichern; und das sind dann viele SMS ohne dass eine Transaktion dahintersteckt;

    sprich mit den smsTANs welche in einer 1:1 Beziehung mit Transaktionen verbunden waren, konnte was verdient werden;

    mit dem reinen Login und schauen und wieder abmelden, war das vorbei;

    beobachtet auch selbst einfach mal, und zählt wie oft ihr ins Banking einsteigt nur um zu schauen, und keine Transaktion - welche auch immer - dabei macht;


    iTAN Listen sind übrigens noch Preiswerter als SMS Tan.

    Woran das wohl liegt, dass iTAN Listen nicht mehr genutzt werden.

    die wurden meines Wissens schon vorher per Gesetz nicht mehr erlaubt;


    für Zugänge zu reinen Spar-/Wertpapierkonten gilt PSD2 nicht;

    hier hat z.B. eine Bank etwas ganz eigenes; man bekommt einen Pappkarton im Scheckkartenformat,

    auf dem ist auf der Rückseite eine Kurzanleitung und auf der Vorderseite quasi ein Schachbrett

    A-M und 1-9 und in jedem Kästchen befindet sich eine Buchstaben/Zifferkombination mit der Minimallänge 1;

    und im Banking wird dann angezeigt: der TAN lautet z.B. A7 H1 C4 dann gibst die hintereinander die

    Zeichenfolgen dieser 3 Felder ein; an Hand der Zeichenkombinationen wäre der maximal mögliche TAN 15 Zeichen;


    und Deine Sache mit den Signaturkarten, die haben einen Pferdefuß - Beweislastumkehr im Falle einer strittigen Buchung;

    soll heissen: hier musst Du beweisen es nicht gewesen zu sein, im anderen Fall die Bank dass Du es warst;

    Signaturkarten würde ich dankend ablehnen; sie erhöhen die SIcherheit genau NULL, sie haben nur genannten Nachteil;


    wobei momentan kommt ja ganz was anderes bei Girokonten, wo Banken verdienen:

    Negativzinsen ab dem 1ten Euro; gibt ja welche wo des bereits Usus ist;

    auch wenn es nur ¼% od. ½% ist, aber ein paar Euros sind es auch;

  • wobei momentan kommt ja ganz was anderes bei Girokonten, wo Banken verdienen:

    Negativzinsen ab dem 1ten Euro; gibt ja welche wo des bereits Usus ist;

    Hast du Beispiele, wo so verfahren wird?

    Mir ist keine Bank bekannt, die bei so wenig Guthaben bereits Negativzinsen oder Verwahrentgelt nimmt.



    und Deine Sache mit den Signaturkarten, die haben einen Pferdefuß - Beweislastumkehr im Falle einer strittigen Buchung;

    soll heissen: hier musst Du beweisen es nicht gewesen zu sein, im anderen Fall die Bank dass Du es warst;

    Signaturkarten würde ich dankend ablehnen; sie erhöhen die SIcherheit genau NULL, sie haben nur genannten Nachteil;

    Heftest du deine Signaturkarten an die Straßenlaterne und packst die PIN dazu?

    Ansonsten hast du nur ein Problem mit der Signaturkarte, wenn sie dir entwendet wird. IdR sind auf den Karten auch nicht gespeichert, wo die EBICS oder FinTS Zugangskennung oder Server liegen. Wer klaut schon Signaturkarten und weiß damit was anzufangen?



    die haben sich schon was gedacht; weil nach PSD2 ist bereits der Einstieg - ohne dass man noch irgendwas macht,

    nach PSD2 mit einem 2ten Faktor abzusichern; und das sind dann viele SMS ohne dass eine Transaktion dahintersteckt;

    sprich mit den smsTANs welche in einer 1:1 Beziehung mit Transaktionen verbunden waren, konnte was verdient werden;

    mit dem reinen Login und schauen und wieder abmelden, war das vorbei;

    beobachtet auch selbst einfach mal, und zählt wie oft ihr ins Banking einsteigt nur um zu schauen, und keine Transaktion - welche auch immer - dabei macht;

    Laut PSD2 brauchst du auch nicht bei jedem Login eine TAN, sondern nur bei bestimmten Vorraussetzungen - meistens wirst du einmal im Quartal nach einer TAN beim Login gefragt - zumindest bei den VR Banken. Das ist auch kein Sicherheitsgewinn, weil egal ist, von welcher IP das geschieht.


    Näheres dazu hier: https://media.ccc.de/v/36c3-10…die_psd2_je_fur_uns_getan

  • […] weil nach PSD2 ist bereits der Einstieg - ohne dass man noch irgendwas macht,

    nach PSD2 mit einem 2ten Faktor abzusichern; und das sind dann viele SMS ohne dass eine Transaktion dahintersteckt […]

    Stichwort Cookies, dann ist dieser zweite Faktor nur alle paar Wochen/Monate notwendig.


    Ich weiß, hier sitzen viele User (inkl. mir) die Cookies beim Beenden des Browsers löschen lassen. Aber Lieschen Müller und Otto Normalo werden das kaum machen. Insofern für die Bank zu vernachlässigen.

  • KB19   H6G stimmt nach der Richtlinie brauchst Du diesen 2ten Faktor nicht bei jedem Einstieg;

    aber hier auf einer Cookie-Geschichte aufbauend zu unterscheiden, ob man den 2ten Faktor verlangt od. nicht ist nicht nur schlechte Programmierung sondern strenggenommen ein Sicherheitsrisiko;

    meine Bank erlaubt einzig per Cookie den Verfüger zu speichern, der 2te Faktor wird jedesmal verlangt;


    H6G hier findest eine lange Liste, bei so rund 50 hab ich ein paar Beispiele gefunden, wo ab dem 1ten Euro Negativzinsen verlangt werden;

    https://www.focus.de/finanzen/…d-zahlen_id_11547037.html

    und nach der Liste mit mehreren 100, zusammengefasst, bei welchen ab dem 1ten Cent Negativ-Zinsen fällig sind;

    (beim AT-Ableger von FlatexDEGIRO sind es -0,4% p.a.)

  • hier findest eine lange Liste, bei so rund 50 hab ich ein paar Beispiele gefunden, wo ab dem 1ten Euro Negativzinsen verlangt werden;

    Kennt man die? Das sind doch alles Provinzbanken


    so rund 50

    Scroll mal weiter runter. Ich zähle da 16.


    Quote

    Hier zahlen Sie bereits ab dem ersten Cent oder bei niedrigen Guthaben Strafzinsen:

    Die gute Nachricht: Kleinanleger und Nutzer von Girokonten ohne großes Guthaben sind normalerweise nicht von Negativzinsen betroffen. Nur einige wenige Institute bestrafen ihre Kunden bereits ab dem ersten Cent. Aktuell sind dies:

    • flatexDEGIRO Bank
    • Mainzer Volksbank
    • Märkische Bank
    • Raiffeisenbank Bad Kötzting* (s. Anmerkung oben)
    • Raiffeisenbank Bibertgrund
    • Raiffeisenbank Eifeltor
    • Raiffeisenbank Stauden
    • Sparkasse Ingolstadt Eichstätt
    • Sparkasse Kulmbach-Kronach
    • Volksbank Dortmund-Nordwest
    • Volksbank Hameln-Stadthagen
    • Volksbank Schermbeck
    • Volksbank Zwickau
    • VR-Bank Altenburger Land
    • VR-Bank Neuburg-Rain
    • VR-Bank Westmünsterland