Das längste Thema

  • yabs.sh sagt mein Server steht in Magdeburg

    das CCP sagt ANX84

    wie verlässlich ist die Aussage von yabs?

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack

    VPS: 50 G7 |B Ostern 2017|200 | Karneval | piko

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE

  • wie verlässlich ist die Aussage von yabs?

    yabs zieht sich die Info von https://ip-api.com/ (siehe hier).


    Meistens sind die Aussagen von so Geolocation-Anbietern mit Vorsicht zu genißen. Ich würde stark davon ausgehen, dass ANX84 stimmt und netcup kein neues RZ in Magdeburg aufgemacht hat.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | VPS 500 ARM


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

    Like 1
  • yabs.sh sagt mein Server steht in Magdeburg

    das CCP sagt ANX84

    wie verlässlich ist die Aussage von yabs?

    Möglicherweise war die IP früher in Magdeburg und wurde dann von netcup erworben. Welche Datenbank yabs nutzt weiss ich nicht, aber erfahrungsgemäß kann es schon mal einige Montae dauern, bis z.B. whois aktuelle Daten liefert. Ich hatte auch mal einen Server, der monatelang angeblich in Australien stand bzw dessen IP zuvor einem australischen Internetanbieter gehört hat.

  • danke euch

    so war auch meine Vermutung

    dass die IP erst kürzlich zu netcup kam

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack

    VPS: 50 G7 |B Ostern 2017|200 | Karneval | piko

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE

  • Supportende von Android 7: "Oktober 2019" ( Liste von Android-Versionen – Wikipedia ).

    Leider Nein; es ließ sich auch 2019 nicht starten ...

    wie begründest Du das?

    ist das dann auch richtig?


    die Begründung ist diese: Android und x86;

    die Banking-App von vor der pushTAN-Zeit ließ sich ohne Probleme darauf starten;


    Dass eine Banking App da nicht drauf läuft ist bei >4 Jahren ohne Sicherheitspatches auch das einzig Richtige.

    so komisch es klingt, auch wenn ich Deinen Einwand verstehe, der aber falsch ist;


    weil unter WinXP mit aktuellem Browser - rein wegen irgendwelcher NODE.js od. sonst. Erfordernisse - kannst immer noch Banking betreiben;

    und warum?

    weil hier der Layer ein ganz anderer ist; als App erkennst Du sogar die Hardware-Architektur - x86 od. ARM; aber

    die Banking-Site hat NULL Chance zu erkennen unter welchem OS der Browser läuft; und obs gepatcht ist schon gar nicht;

    jetzt nicht mit UserAgent und so kommen, den kannst faken ;)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Edited once, last by mainziman ().

    Haha 1 Like 1
  • Meine war 7-stellig. Aber die geht nimma... *heul*

    Doch, wenn du dich auf icq.com anmeldest schon. Aber das hier habe ich noch gefunden:

    Seit dem 28. Dezember 2018 unterstützt ICQ das OSCAR-Protokoll nicht mehr, wodurch alternative Clienten wie z. B. Pidgin nicht mehr für ICQ genutzt werden können.[8]

    Seit dem Relaunch am 7. April 2020 wird der Dienst unter dem Namen ICQ New geführt.[9][10]

    "In die Ruhe, liegt die Würze." - Peter Ludolf

  • ...

    Auch wenn ich die Seite als Tab öfter mal im HIntergrund offen gelassen habe, hat mich die Anzahl an Queries doch etwas verwundert. Aber nach kurzer Analyse war die Sache dann doch recht simpel. Meinen systemd-resolved hatte ich so konfiguriert, dass nur positive Antworten im Cache landen. http://www.servercontrolpanel.de ist aber nur über IPv4 erreichbar und hat keinen AAAA record.

    Code
    → Q: www.servercontrolpanel.de IN A
    → Q: www.servercontrolpanel.de IN AAAA
    ← S: success
    ← A: servercontrolpanel.de IN SOA root-dns.netcup.net dnsadmin.netcup.net 2023103101 28800 7200 1209600 7200
    ← A: www.servercontrolpanel.de IN A 46.38.225.84

    Der resolvectl monitor Befehl war hier recht nützlich (falls ihn wer noch nicht kennen sollte). Ich habe das jetzt mal umgestellt, so dass auch "negative" Antworten im Cache landen. Der Traffic bzw. die Queries waren zwar nur im lokalen Netzwerk, aber trotzdem. Ist schon heftig wie viele Anfragen da so zusammen kommen.

  • Du zäumst hier aber das Pferd von der falschen Seite auf. Auf dem Desktop funktioniert's vermutlich nur, weil die Bank es für zu riskant hält, solche Leute auszusperren (Image, "Diskriminierung", Klagen etc.). Auf mobilen Plattformen sind wir als Menschheit viel mehr daran gewöhnt, dass Gerät und Software irgendwann obsolet sind und man dann halt nicht mehr Banking machen kann, wenn z.B. der nötige Security Chip einfach fehlt, und es gibt weniger Empörung darüber. Außerdem sind durch die Appstores auch die Entwickler gezwungen ihren Mist aktuell zu halten. Niemand Schimpft auf Apple oder Google, wenn die vor 15 Jahren geschriebene Codebase, die nie maintained wurde, halt irgendwann aus dem Store fliegt. Man vergleiche das mit den Shitstorms und Medienberichten, wenn Microsoft versucht, irgendeinen noch so kleinen Dinosaurier aus der Windows API zu schmeißen.

  • Du zäumst hier aber das Pferd von der falschen Seite auf. Auf dem Desktop funktioniert's vermutlich nur, ...

    Moment wir reden von einem x86 Android Tablet; is ganz was anderes als ein Dektop-PC ...

    und auf einem Dektop PC hast eben keine Chance zu erkennen ob da was aktuelles od. dinosauriermäßiges läuft;

    hat mit Aussperren (Image, "Diskriminierung", ...) nichts zu tun; weil f. den 2ten Faktor - PSD2-Richtlinie - brauchen sie ja eben doch was 'normgerechtes',

    also kein Custom ROM, kein x86 Android - damit auch kein Emulated Firlefanz auf einem PC ...

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Edited once, last by mainziman ().

  • my bad, ich hatte die Posts durcheinander geworfen und dachte du redest von einem emulierten Android auf x86.


    Anhand des UA könntest du auch Desktopclients filtern, wenn du mal von einem 0815 Anwender ausgehst, der eher aus Gewohnheit noch mit einer alten Möhre surft, als mit Absicht (gespoofter UA usw.). Trotzdem machen des die Banken ja mWn eher alle nicht.


    Und zumindest meine Banking App ist ans Secure Element mit PIN/Biometrie geknüpft, sodass ich direkt in der App eine Zahlung freigeben kann, ohne zusätzliche TAN App. Das ergibt für mich dann auch Sinn, dass sie für so eine App dann eine entsprechend strenge Schiene fahren, welche Versionen und ggf. auch Hardwareplattformen supported sind. Wer weiß vielleicht müssten sie für x86 Android, selbst wenn es die Voraussetzungen mitbringt, irgendeine Zertifizierung durchlaufen wo es einfach den Aufwand nicht wert ist?

  • my bad, ich hatte die Posts durcheinander geworfen und dachte du redest von einem emulierten Android auf x86.


    Anhand des UA könntest du auch Desktopclients filtern, wenn du mal von einem 0815 Anwender ausgehst, der eher aus Gewohnheit noch mit einer alten Möhre surft, als mit Absicht (gespoofter UA usw.). Trotzdem machen des die Banken ja mWn eher alle nicht.


    Und zumindest meine Banking App ist ans Secure Element mit PIN/Biometrie geknüpft, sodass ich direkt in der App eine Zahlung freigeben kann, ohne zusätzliche TAN App. Das ergibt für mich dann auch Sinn, dass sie für so eine App dann eine entsprechend strenge Schiene fahren, welche Versionen und ggf. auch Hardwareplattformen supported sind. Wer weiß vielleicht müssten sie für x86 Android, selbst wenn es die Voraussetzungen mitbringt, irgendeine Zertifizierung durchlaufen wo es einfach den Aufwand nicht wert ist?

    Witzigerweise möchte ja jede Bank ihre eigene App für den zweiten Faktor nützen. Sie könnten andererseits dafür auch den Google/Microsoft Authenticator verwenden, der wohl keine geringeren Sicherheitsstandards hat. Gut, vielleicht begründen sie es mit Datenschutz. Dann könnte man aber immer noch anstelle von angeblich zu unsicheren SMS-TANs auf etablierte Messenger-APIs setzen, die Ende-zu-Ende-Verschlüsselung unterstützen.

    Interessanterweise schreiben manche Banken aber nicht einmal ausschließlich über ihre Banking Apps Nachrichten an Kunden, sondern antworten auch auf E-Mails, wo man nach E2E-Verschlüsselung vergeblich sucht.


    Wenn das Handy etwas auf dem Entwicklungslevel eines Staatstrojaners einfängt, ist sind alle zweiten Faktoren egal. Wir leben in technologisch interessanten Zeiten.

  • Sie könnten andererseits dafür auch den Google/Microsoft Authenticator verwenden, der wohl keine geringeren Sicherheitsstandards hat. Gut, vielleicht begründen sie es mit Datenschutz.

    Afaik schreibt die EU hierfür vor, dass u.a. der Betrag der Überweisung sichtbar sein muss bzw. bestätigt werden muss. Das geht bei TOTP u.ä. Lösungen leider nicht. Hierfür einen neuen (offenen) Standard zu schaffen wäre allerdings sicher möglich. Aber daran hat offenbar niemand Interesse. Jede Bank kocht ihr eigenes Süppchen ;(

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Afaik schreibt die EU hierfür vor, dass u.a. der Betrag der Überweisung sichtbar sein muss bzw. bestätigt werden muss. Das geht bei TOTP u.ä. Lösungen leider nicht. Hierfür einen neuen (offenen) Standard zu schaffen wäre allerdings sicher möglich. Aber daran hat offenbar niemand Interesse. Jede Bank kocht ihr eigenes Süppchen ;(

    Moment... ob der Betrag bei der Überweisung sichtbar ist oder nicht, hat mit 2FA erst einmal nichts zu tun. Wenn ich eine Push-TAN in Form eines Vergleichscodes erhalte - etwa beim Login, ist das etwas anderes, als, wenn ich einen TAN und eine Passphrase auf der Website eintippe.

    Es gibt ja, wie gesagt auch cardTAN, wo ich den Betrag auch nicht auf dem Codegenerator sehe. Im übrigen geht mir der Bürokratismus von Brüssel, der keine Rücksicht auf insbesondere ältere Nutzer nimmt, gehörig auf den Geist. Wie erklärt man etwa einer Bankkundin in der Mitte ihrer 80er, dass sie jetzt ein Smartphone braucht, weil die Überweisungen mit SMS-TAN abgedreht worden sind, nachdem Jahre zuvor schon die TAN-Listen abgeschafft worden sind. Konnte sie bisher noch in eine Filiale gehen, ist der Filialbesuch inzwischen eine Weltreise, weil es einfach selbst in der Großstadt von der Hausbank im näheren Umkreis keine Filiale mehr gibt, wo es früher gleich drei (!) waren. Die Kontoführungsgebühren sind seit den 1970er übrigens auch nicht gesunken...

  • Wie gesagt "afaik", ist viel Halbwissen bei mir. Mein Letztstand war nur, dass regulatorisch (leider) alles gegen TOTP u.a. Lösungen spricht. Über die Sinnhaftigkeit will ich gar nicht diskutieren.


    Was cardTAN & Co. angeht: Keine Ahnung, scheint bei meiner Bank im Privatkundenbereich völlig unbekannt zu sein. Im Moment haben sie noch die Wahl zwischen SMS und App. Ich warte eh schon gespannt auf jenen Tag, an dem sie den SMS-TAN abkündigen. Eine App habe ich nicht und ich kaufe bzw. nutze nur dafür sicher kein Smartphone, auf dem irgendein Google Zeug läuft. Irgendeine Alternative werden sie hoffentlich rechtzeitig hinbekommen, schaffen andere Banken ja auch...

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Gibt es eigentlich noch irgendwas wo man sich beschweren kann, wenn ein Support Ticket nur an die entsprechende Abteilung geleitet wurde, aber seit 6 Tagen keine Antwort bekommen hat?

    Ist nen bisschen Doof - ne simple Frage, bei welchem Produkt der Gutschein dran hängt. (Weil da ja ne Mail kam, dass die Bestellung nicht mit Gutschein geht und dann doch ging, ich aber in Zwischenzeit einmal ohne Gutschein dann bestellt hatte)

  • Da bekommt man den nächsten Transfercode via DM zugeschickt, und das CCP knallt einem folgenden Satz entgegen:


    Fehler:
    Bitte gleichen Sie zuerst Ihre offenen Rechnungen aus. Sobald diese verbucht wurden und als bezahlt markiert sind, können Sie den Inhaberwechsel durchführen.


    Also muss ich warten bis netcup den Bankeinzug vollzogen hat...

    Das kann dauern... :(

    Meine ganzen BF-Produkte vom letzten Jahr werden abgerechnet und eingezogen und blockieren dadurch den Wechsel - was hat das für einen Sinn?

    [RS] 2000 G9 | Cyber Quack

    [VPS] 2000 ARM G11 | 1000 G9 | 200 G8 | Secret | A | mikro G11s | 4x nano G11s
    [WH] 8000 SE | 4000 SE | 2000 SE

    Sad 1
  • Und zumindest meine Banking App ist ans Secure Element mit PIN/Biometrie geknüpft, sodass ich direkt in der App eine Zahlung freigeben kann, ohne zusätzliche TAN App. Das ergibt für mich dann auch Sinn, dass sie für so eine App dann eine entsprechend strenge Schiene fahren

    Du sprichst hier etwas an; sowohl bei iOS als auch bei Android hast Du hier das sogenannte Sandboxing; bei meiner Bank gibts auch keine Extra-TAN-App, das ist nur eine All-in-one-App, wenn man so will;

    klingt jetzt etwas merkwürdig, aber der 2te Faktor - Besitz - ist hier auch dann noch gegeben, wenn Du eine Buchung direkt vom Handy lostrittst;

    genau das gibts auf Desktop-PCs eben nicht;

    von daher ist die ganze Geschichte mit den PushTAN-Desktop Applikationen - dafür hat sich eine Softwarebude in Dtl. spezialisiert, welche alle Banken in AT damit beliefert - was die Sicherheit angeht fragwürdig;


    folgendes spezielle Szenario auf einem Desktop-PC: auf der Hwrdware läuft nur eine Art Hypervisor, darunter eine VM, bei der nur diese VM den Saustall-Internet darf; die andere VM, von der aus man z.B. Banking macht, darf das nicht; dann hat diese PushTAN-Desktop-Applikation durchaus Sinn, weil im Gegensatz zu SMS-TANs werden diese hier über SSL-Kanäle übertragen;

    aber das Standard-Szenario auf Desktop-PCs mit diesen PushTAN-Desktop-Applikationen ist genau betrachtet schlimmer als die alten SMS-TANs;


    Mein Letztstand war nur, dass regulatorisch (leider) alles gegen TOTP u.a. Lösungen spricht.

    wenn da nicht die Geschichte mit den Mehrfachüberweisungen wäre:

    ein einziger pushTAN zeichnet bis zu 10 Transaktionen ...

    Du hast Recht, die Banken lassen sich nicht in die Karten schauen, und jede kocht ihre eigene Suppe;

    in AT ist der Raiffeisen-Sektor besonders stark, welcher auch andere Banken: Hypo, VKB, ... damit 'beliefert';

    dass smsTANs mit dieser Geschichte nur noch kostenpflichtig angeboten werden, liegt auch auf der Hand;

    in der jüngeren Geschichte kommt halt noch das mit ApplePay bzw. GPay hinzu;

    bei ApplePay müssen die Banken in den sauren Apfel beißen, bei GPay können sie was eigenes evtl. sogar besseres anbieten;

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

    Edited once, last by mainziman ().