Posts by mainziman

    ich weiss zwar nicht, was da f. lustige DNS-Server konfiguriert sind, aber bei mir geht des ...


    falls es jemand noch nicht gelesen hat, derstandard schrieb am Samstag, 17. Aug. 2019,

    daß die FMA (Finanzmarktaufsicht) PSD2 auf unbestimmte Zeit in Österreich verschoben hat ...8o

    momentan spuckt es gewaltig wegen der pushTAN-Geschichte =O

    da hast irgendwie an logischen Fehler,

    denn in den Daten von adressen.json fehlt der Referenzkey zu den Daten in produkte.json;


    ich denke ja nicht dass Du quasi folgendes in SQL machen würdest


    SELECT * FROM adressen, produkte WHERE adressen.id = produkte.prjID;

    der Heise-Artikel ist typisch BILD-Niveau; sie schreiben nämlich nicht, woher genau das Datenleck stammt;

    MasterCard ist nicht gleich MasterCard auch

    VISA ist nicht gleich VISA

    es gibt sogenannte "Issuer-Banken"¹ und die haben mit dem was in dem Artikel als MasterCard od sonst als VISA bezeichnet wird,

    nur am Rande zu tun;

    genaues Recherchieren wäre bei Heise echt mal wieder fällig;


    die Zeiten in denen eine Zeitung ein Niveau hatte,

    bei dem die Masse intellektuell aussteigt sind schon Jahrzehnte vorbei;


    ¹ in AT sind dies z.B. cardcomplete, paylive od. RBI

    Das ist doch sowieso lächerlich, die sollten lieber ein anerkanntes TOTP/HOTP einführen als irgendwelche SMS oder Pushmessage Krücken.

    jetzt mal ehrlich, was sich heute TOTP/HOTP nennt und es auch einen RFC/Standard dazu gibt hat vor fast 20 Jahren damals schon eine Bank gemacht; die Bank gibts immer noch, aber dieses Verfahren nicht mehr;

    das lief damals bei dieser einen Bank in etwa so: man hatte eine Scheckkarte - den TOTP-Generator - und ein TAN setzte sich aus ein paar Ziffern die man im Kopf hatte und den Ziffern welche der Generator ausgab zusammen - die 2 FA Anmeldung bei mailbox.org entspricht dem quasi;


    zu diesem Zeitpunkt pfuschten die anderen Banken noch mit TAN-Listen in Papierform herum; bei manchen waren es indizierte TANs bei manchen musste man den einfach selbst den zuletzt verwendeten von der Liste streichen, um ihn nicht versehentlich nochmal zu verwenden und einen Fehler zu bekommen;


    dann kamen die smsTANs, mobileTANs; sprich der TAN kam als SMS; zu beginn einfach nur der TAN, später kam dann mit dem SMS noch eine Info f. welche Transaktion dieser TAN eigentlich verwendet wird/werden soll;

    problematisch waren hier sogenannte Sammelüberweisungen, man authorisierte so mehrere unterschiedl. Überweisungen, und die Info der SMS zeigte nur die Summe dieser Transaktionen an;


    die PSD2-Richtlinie schreibt nun vor, bereits beim Einstieg ins Banking selbst einen 2ten Faktor zu haben; es wäre jetzt ganz trivial, hier einfach einen smsTAN/mobileTAN zu verwenden, ABER: das Nutzerverhalten haben sich die Banken natürlich auch angesehen, und dabei festgestellt, daß viele mehrmals ins Baning einsteigen nur schauen, und sich dann wieder abmelden;

    und genau f. diesen Use wären dann jedesmal eine SMS fällig; diese SMS verursacht Kosten - die eine od. andere Bank läßt sich sogar diese SMS in Form von Konfospesen vergüten; das war die Geburt vom pushTAN; zum einen kostengünstiger - man kann sich z.B. eine Notification senden lassen wenn Buchungen vom Konto abgehen od. zugehen; zum anderen auch sicherer, weil auf das Gerät gebunden; und obendrein auch zuverläßiger, weil es sich um Daten handelt und man hier nicht mehr von irgendwelchen Mobilfunkbetreibern abhängig ist - es wäre ja nicht das erste mal, daß eine SMS nicht ankommt;


    bei ING(-DiBa) welche erst in der jüngsten Vergangenheit in Österreich auch ein Girokonto anbietet, ist der 2te Faktor tatsächlich einfach nur ein SMS, auch nach dieser PSD2-Richtlinie;


    in Österreich gibt es bereits 2 Banken, welche f. Kunden ohne SmartPhone, das Pendant der pushTAN App f. den Windows PC anbieten;

    genau das ist der Grund wieso das nicht einfach bloß eine Notification auf dem Phone, sondern nur mit App (erhöht die Sicherheit, weil ohne PIN kein TAN)

    möglich ist, weil das Pendant f. den Windows PC macht analoges;

    ich hab diese Programme noch nicht zerlegt, aber bereits beim 1ten Eindruck mehrere Schwachpunkte festgestellt; JETZT so kurz bevor das endgültige Aus von Win7 besiegelt ist, diesen noch f. Win 7 zu erlauben halte ich f. sehr bedenklich; die Schilderung eines Arbeitskollegen aus der Steinzeit, daß die Sitzung in dieser App quasi so lange läuft so lange die App läuft schlägt ohnehin alles;


    von einer dieser Banken hatte ich mich bereits vor fast 10 Jahren verabschiedet, nachdem diese in den AGBs eiskalt deren Kontoführungsgebühren nicht mehr nach dem VPI (Verbraucherpreisindex) anpasste sondern nach dem Gehaltsabschluss der Bankangestellten und mit dem Habenzins auf 0,125% im selben Atemzug 'runterkrachte;


    Mittlerweile finde ich es umso faszinierter, was man da bei den pushTAN-Apps so f. 'böse' und doch wieder seltsame Kommentare liest;

    LineageOS muss man ja nicht zwingend rooten (oder hat sich das mittlerweile geändert?).

    man muss auch ein Android weder rooten noch durch was anderes ersetzen

    zumal Du sowieso den Playstore brauchst^^


    Mit meiner Banking/TAN-App hatte ich keine Probleme...

    angenommen Du hättest damit Probleme gehabt,

    hättest Du bereits vorher Kenntnis davon gehabt?

    (wie heisst es so schön: wenn ich vorher weiß, was nachher passiert, säss ich bereits auf den Bahamas:D)


    Kommt aber sicherlich auch auf die Bank an, aber verallgemeinern würde ich das nicht

    ... von daher sollte das ein Hinweis sein, und der gilt allgemein;


    whoami0501 chipTAN, wie wird hier der TAN generiert? oder anders wie bekommst hier den TAN?

    (ist das sowas wie das cardTAN hier?)

    Hmpf. Wie meinst du das jetzt?

    In Bezug auf die Suche eines entsprechenden Smartphones?

    die Suche des entsprechenden Phones ist eine Sache, aber die meinte ich nicht;


    da mit Mitte Sept. 2019 die PSD2-Richtlinie scharf wird,

    sind momentan alle Banken dabei auf 2 FA umzustellen; sprich der smsTAN wird da zumeist dann durch den pushTAN ersetzt; und die dafür dann notwendige App

    kommt vom Google Playstore (bzw. Apple Appstore); und wenn diese sinnvollerweise eine Installation auf Geräten mit

    - gerootetem System

    - LineageOS

    - ...

    verweigert, machst Dir damit mehr Ärger als Dir lieb ist;

    Die Website und somit auch php Datei ist nicht öffentlich zugänglich, lediglich Telegrams Subnetze werden akzeptiert. An sich dürfte mir doch so nichts passieren, oder?

    das ist doch ein Widerspruch!=O

    da Telegram öffentlich zugänglich ist, ist es diese Site indirekt auch;

    In den Logeinträgen finde ich rein gar nichts, was auf einen Crawler oder menschlichen Verursacher hinweist.

    wenn Du die Uhrzeit kennst, wann das passiert, dann schau Dir die korrelierenden Einträge im Apache-Log an, und dann

    recherchier mal, was es mit den IPs die das da veranstalten auf sich hat;

    haben alle diese IPs quasi den selben "Prefix" dann sperr diesen einfach;

    Optimal wäre ja, wenn ich die Datengräber (HDDs) zeitweise schlafen legen könnte. 2/3 des Tages braucht die kein Mensch

    hier haste bei den Festplatten einen Interessenskonflikt; die Consumerplatten sind nicht f. Dauerbetrieb ausgelegt und die f. Dauerbetrieb - und damit haltenbaren/beständigen - nicht dafür, daß sie mehrmals pro Tag auf- und abgedreht werden;


    sowas sollte man auch ins Kalkül ziehen;