Beiträge von mainziman

Zitat von cltrmx

Da bringst du jetzt aber was durcheinander: Die API von Google ist mWn. nur dafür da, QR-Code zu generieren.

nicht unbedingt; es stimmt schon die QR Codes können f. alles mögliche verwendet werden;

aber ein Verbot f. einen bestimmten Zweck wäre dann dennoch nach der DSGVO denkbar, wenn es so eine Katastrophe wäre;

und genau hier muss die Diskussion ansetzen;

was das anbelangt ist hier ein nahezu rechtsfreier Raum, leider;

z.B. der QR code auf Zahlscheinen könnte ebenfalls mittels dieses APIs entstanden sein;

Zitat von tab

Tachyonen

is des net a Terminus technicus, der bereits in Raumschiff Enterprise und so vorgekommen ist?

es scheint sich am CPU Markt was getan zu haben, AMD, ARM und Intel können sich warm anziehen,

wenn des was wird: https://www.elektronikpraxis.v…revolutionieren-a-954297/

Zitat von cltrmx

Du wirst mir aber doch hoffentlich auch zustimmen, dass ein Faktor, der beim Zugang für das Nutzer:innen-Konto benötigt wird, schwerer wiegt, als eine IP-Adresse beim Aufruf einer externen API.

nein da stimme ich Dir nicht zu; wie gesagt, es macht keinen Unterschied ob Du permanent die Datenhalde Google fütterst, und dabei das eine mal vielleicht mit etwas 'besondere' Daten fütterst, mit denen isoliert betrachtet eh keiner was anfangen kann;

soll heissen, entweder man kann Google rausfiltern, ohne dass die Site in den IE1.0-Modus fällt od. man kann es eben nicht;

Zitat von cltrmx

Der Punkt ist doch hier, dass Zugangsdaten der Nutzer:innen an Google weitergegeben werden und nicht, dass ein Bewegungsprofil o.Ä. erstellt werden kann.

das ist ja eben so nicht richtig, damit ist wirklich 'nur' der 2te Faktor etwas aufgeweicht, wenn überhaupt; wie gesagt, Du vertraust beim Electronic Banking ja auch der Bank, dass sie schon nichts anstellen ...

die Frage ist doch eher: "sollte es Firmen untersagt sein, derartige Lsg.en Dritten - egal ob kostenfrei od. kostenpflichtig - anzubieten bzw. zur Verfügung zu stellen?"

schon mal der Gedanke gekommen, wäre es so eine Katastrophe wie alle tun, dann hätte doch die EU dem Google Laden das längst untersagt, es innerhalb der EU 'anzubieten' ..., Stichwort: DSGVO

und noch was: man darf doch bitte niemanden (auch nicht netcup) an den Pranger stellen, nur weil er/sie was fertiges nutzt; und somit Aufwand f. eine eigene Entwicklung, die es damit nicht braucht, gespart hat;

cltrmx das ist alles eine Frage, welcher Typ Du bist;

und Deine Unterstellung nicht zwischen 'generischen' und 'sicherheitskritischen' Daten unterscheiden zu können, werfe ich damit zurück,

dass es vielen einfach nicht zugänglich ist, dass auch 'generisch Daten' eine Form von 'sicherheitskritischen Daten' darstellen, Stichwort: Bewegungsprofil;

(nur weil es nicht der Staat selbst ist, der die Daten erhebt, ist es deswegen nicht harmloser oder zu vernachlässigen)

darum von der Umkehrung, nutzt ein Website-Admin nichts von Dritten¹, dann hat er auch die Finger von z.B. Google's QR code API zu lassen;

nutzt er hingegen bereits einiges an APIs von Dritten, dann macht diese Google QR code API das Kraut auch nicht mehr fett;

cltrmx das ist eine Frage zu welchem Typ Du zählst;

von welchem Google Passwordsafe sprichst Du hier?

den nutzt ja eh freiwillig, oder?

wobei um Deinen ersten Satz aufzusplitten, der gewaltige Unterschied liegt hier:

durch die Einbindung von "nur" Grafiken und JavaScript nötigst Du andere zur Weitergabe von Daten oder hast eine Seite im IE1.0-Modus;

hingegen wenn Du Deine Passwörter im Google Passwordsafe ablegst, betrifft das einzig und alleine Deine Daten;

Zitat von janxb

Wir drehen uns anscheinend im Kreis.

Nö, Du pickst Dir nur einzelnes heraus und das läßt es dann so erscheinen

darum zusammengefasst: entweder Du verzichtest zur Gänze auf die Einbindung von Content Dritter¹ (vor allem Fratze, Google, Zwitscher, ...), welche erst beim Client zusammengeflickt werden, oder es spielt eben keine Rolle, dass man auch hier auf bereits fertiges Dritter zurückgreift;

¹ dazu zählen Images, Clips, CSS, JS.... alles wo Daten an Dritte gehen, ohne dass der User irgend eine Kontrolle hat, und bei Blockierung des Dritten die Seite in den IE1.0-Modus zurückfällt; soll heißen, einzig erlaubt sind das Setzen von Links per <A HREF="https://3rdparty/...">

Zitat von janxb

Datenübermittlung nach Extern ohne SLA oder sonstige Regelungen ist ein No-Go.

stimmt, und wieviele Sites unter Beachtung von ¹ darüber kennst Du, bei denen dieser Codex gilt?

Zitat von janxb

Und da du selbst gesagt hast, dass es sich um wenige Stunden Arbeit handeln würde

das Problem: das muss gepflegt/gewartet werden ..., und den Aufwand f. die Zukunft kann jetzt keiner Abschätzen;

und weiter siehe hier: https://forum.netcup.de/anwend…%BCbermittelt/#post154078

und daher um die Diskussion abzurunden: da ja die Entwicklung von Applikationen immer mehr in Richtung Web-Technologie geht, sollte es Deiner Meinung nach Firmen untersagt sein, derartige Lsg.en Dritten - egal ob kostenfrei od. kostenpflichtig - anzubieten bzw. zur Verfügung zu stellen?

soll heißen, nicht über die Wirkung bzw. Symptome dass es jemand verwendet - hier netcup, und ich wette auch andere - diskutieren, sondern über die Ursache, dass es überhaupt angeboten wird zu nutzen ...

Zitat von Ringelnatz

Beim Umstellen auf eigene NS werden die von netcup ja zumindest sofort deaktiviert (was auch ziemlich ungünstig ist),

dem tritt man entgegen, indem man auf den eigenen DNS-servern die entsprechenden Zonen zu einem Zeitpunkt bereits definiert hat,

zu dem noch die DNS-server von netcup authoritativ sind;

Zitat von killerbees19

Auch ein extern eingebundenes Bild muss schlimmstenfalls getestet und aktualisiert werden, weil man es sich mit irgendeinem Update unfreiwillig zerstören oder verstecken könnte.

das kann Dir auch bei einer selbstentwickelten Lsg. passieren;

Zitat von killerbees19

So ganz kann ich Deinen Standpunkt bei diesem Thema nicht verstehen.

um es salopp zu formulieren, bei dem vielen was ohnehin an Google's Daten(-Müll)-Kippe geschickt wird,

kommt es auf das beim QR code-API auch nicht mehr an;

mir ist schon klar, was ein 2FA Secret ist, und dass dieser Dritten nichts angeht, aber ist dem auch bei jedem so?

ich mein, wer einen Passwort-Safe f. 2FA nutzt, der die Datenbank im Netz (Internet) ablegt ¹

darum hab ich ja oben geschrieben, unterscheidet um welche Daten es sich handelt;

Zitat von mainziman

die Daten die z.B. jemand in seinem Gmail Account liegen hat, gelten grundsätzlich als unsicher - Brute Force und ab die Post;

hingegen die Daten, welche Google generiert - es wurden die Logs angesprochen - die sind sicher;

bis auf eine hoffentlich überschaubare Menge an Website/System-Admins gilt das generell und nicht nur bei Google;

¹ daher: "lege nichts im Netz ab, von dem Du nicht willst, dass es in fremde Hände fällt"

ls Abschwächung von: "speichere nichts auf Deinem PC², was Du nicht im Netz sehen willst";

² das gilt hier auch f. Heizflossen, Eierbretter und sonstige techn. Errungenschaften;

ja ich bin bei meiner Argumentation nicht speziell auf netcup eingegangen sondern hab es allgemeiner/breiter gesehen; aber ja natürlich soll man derartiges vermeiden, aber es spricht auch nichts dagegen, wenn man ohnehin f. andere Zwecke von Google APIs Gebraucht macht;

weil sobald man z.B. im Smartfilter Google blockiert, mutiert eine derarige Site ohnehiun in den IE1.0-Modus und ist unbrauchbar³;

³ zumindest meine Erfahrung hat dies gezeigt, nachdem ich meinen Smartfilter mittlerweile immer mehr lockern habe müssen, und beinahe bei Lücken wie dem Schweizer Käse angekommen bin;

Zitat von cltrmx

Ist doch wohl ein erheblicher Unterschied

ist es eben nicht; warum?

weil es ein subjektives Empfinden jedes einzelnen ist, was jeder für sich als "sicherheitskritisch" betrachtet;¹

(1) es gibt welche, die sehen sich bereits durch die Einbindung jeglichen Inhalts Dritter in deren Privatsphäre gestört;

(HTTPS macht das nicht besser)

(2) und andere denen ist das egal; ebenso ob es HTTPS ist oder nicht; einzig bei Electronic Banking achten diese pingeligst darauf;

(3) und wieder andere empfinden irgendwas dazwischen;

wie ich ja oben bereits geschrieben habe ...

Zitat von mainziman

hätt hier netcup einfach einen Apache Host z.B. chart.netcupapis.de gemacht, welcher als 1:1 Proxy zu dem Google Host fungiert, und dann folgenden URL https://chart.netcupapis.de/.... im CCP verwendet, hätt niemand was gesagt;

¹ es ist auch legithim, wenn jemand ein Electronic Banking, welches sämtliche Techniken die es da so gibt - JavaScript, Cookies, ... - als problematisch ansieht;

(in den Anfängen hatte ich so ein Electronic Banking, da war die Session im URL, und da brauchte es nur den URL in einem anderen Browser zu öffnen und fortzufahren, wie wenn nichts gewesen wäre)

Zitat von killerbees19

Das muss die externe eingebundene Lösung aber auch.

aber das macht man auch nicht selbst sondern in dem Fall Google, das ist der Unterschied; egal ob da jetzt sowas wie ich es da als quick and dirty angedeutet habe, verwendet wird od. ein PHP Skript(konvolut); das darfst dann selbst pflegen, und beten/hoffen dass ein yum update -y das nicht ruiniert;

Zitat von killerbees19

Nur dass man dort keinerlei Einfluss darauf hat, wenn es plötzlich (bei einigen) Usern nicht mehr den erwarteten Inhalt ausliefert.

dann hat das sicher Ursachen, welche auch nicht unter der eigenen Kontrolle sind; siehe OP

ich mein, ich kann bei meinem Smartfilter so ziemlich einiges blockieren, und wen mach ich verantwortlich, wenn was nicht geht?

Zitat von janxb

Hier wird keine Bibliothek eingebunden (wie z.B. bei einem Javascript-CDN) sondern hier werden echte, kritische Nutzerdaten an einen externen Anbieter übermittelt, der diese verarbeitet.

ich unterscheide hier nicht was eingebunden wird, sondern ob etwas eingebunden wird; entweder man bindet generell NICHTs von Dritten ein,

oder man akzeptiert das auch bei dieser Thematik;

und das was Du als kritische Nutzerdaten bezeichnest, hast Du quantitiativ z.B. bei sowas im HTML-Code bei eeiner Seite (nur schematisch)

<A HREF="anypage.html"><IMG SRC="https://reklamedomain.de/icon.png"></A>

deutlich mehr; sprich eine Seite anzusehen kommt deutlich öfter vor, als sich einen QR code generieren lassen;

von daher sehe ich das nicht derart kritisch; weil die Website zeigst mir, die zur Gänze ohne 3rd Party funktioniert:

keine Fonts, keine APIs, keine Werbung, keine ...; und vor allem kein Tracking;

und Dein Hinweis, dass sowas ein schönes "Azubi Projekt" ist - 5 Minuten als Projekt zu bezeichnen ist jetzt aber etwas übertrieben

zuerst ein yum install qrencode -y

bzw. das analoge bei einer anderen Linux Distri, dann einfach einen virt. Host, z.B. charts.netcup.de definieren,

ein index.cgi mit folgendem Inhalt ins Rootverzeichnis.

#!/bin/bash

echo -e -n "Content-type: image/svg+xml\r\n\r\n"

qrencode -t SVG "$1"

mit mod_rewrite ein wenig ummodeln, dass des gleich brauchbar ankommt;

und das wars;

das Problem: das muss gepflegt/gewartet werden ..., und den Aufwand f. die Zukunft kann jetzt keiner Abschätzen;

Zitat von janxb

Wieso man dafür einen externen Anbieter nutzt, erschließt sich mir nicht.

genau aus dem selben Grund warum man anderartigen Content von 3rd Party einbindet an statt ihn selbst zu hosten;

oder anders: warum das 2mal erfinden?

Zitat von janxb

Der von dir genannte Link generiert einfach einen Standard QR-Code für die ....

was ist an der Verwendung daran verwerflich?

oder anders: diese Thematik ist eine Alles od. Nichts Frage und kein "Ja, aber ... " bzw. "Nein, aber ...", sprich: entweder man läßt es gänzlich bleiben 3rd Party zu nutzen, welcher erst am Client zusammengeschustert wird, oder man stößt sich bei dieser Thematik eben nicht daran ...

sdellenb bist Du Dir da sicher? Kundennummer?

janxb hast Du eine alternative zu dem genannten URL?

z.B. https://chart.googleapis.com/chart?chs=400x400&chld=M|0&cht=qr&chl=otpauth://totp/PayPal:max.mustermann%40moritz.com?secret=HUGO007&issuer=PayPal

ich selbst nutz das um die so erhaltenen QR-Codes zu 'normen', sprich dass ich dann wirklich im OTP-Generator sehe, was ich sehen will;

was die Datensicherheit bei Google angeht muss man hier unterscheiden;

die Daten die z.B. jemand in seinem Gmail Account liegen hat, gelten grundsätzlich als unsicher - Brute Force und ab die Post;

hingegen die Daten, welche Google generiert - es wurden die Logs angesprochen - die sind sicher;

spätestens wenn jemand Passwort-Safes udgl. verwendet wo die Safe-Datenbank ohnehin im Internet liegt - klar mit primitivsten Mitteln abgesichert - ist es eher witzlos;

und die Schwachstelle sitzt sehr oft auch dahinter, die Problematik mit der rethorischen Frage erklärt:

"was nützt Dir die sicherste Kommunikation mit der Bank, wenn die Bank selbst Dein Geld veruntreut?"

der Einwand, diese QR-Codes lokal generieren zu können, was meint ihr wie unsicher 2FA damit wird, wenn Sites, sich an Stelle von APIs wie z.B. dem kritisierten URL zu bedienen einfach nur Text präsentieren, und dem Benutzer auftragen, sich das lokal darstellen zu lassen, oder manuell einzugeben;

ich wette dass es dann genug gibt, die sich so doof anstellen, dass deren Secrets auf Fratze, Zwitscher und sonstigen Nachrichtenseiten landen;

jetzt mal ehrlich, hätt hier netcup einfach einen Apache Host z.B. chart.netcupapis.de gemacht, welcher als 1:1 Proxy zu dem Google Host fungiert, und dann folgenden URL https://chart.netcupapis.de/.... im CCP verwendet, hätt niemand was gesagt;

ich bin durch diesen "Unfall" auf dieses Feature erst aufmerksam geworden;

Zitat von Steini

Alleine schon zum Beschriften, welche Zeile für welches Zertifikat steht...

Du kannst f. alle Zertifikate den selben Private-Key verwenden, damit wären dann alle TLSA-Einträge CNAMEs auf einen Basis-Eintrag

Tja, dann wurde beim Edge was verpfuscht;

da gehts nämlich nicht;

(Win10 20H2) [Version 10.0.19042.630]

ja liebes Microsoft ihr habt a lange Leitung,

habt ja erst bei Win10 1909 erkannt, dass ma den alten Schrott

gleich per default deaktiviert;

da dürft ihr ebenfalls noch nachbessern;

nitram welches OS/Browser hast Du da in Verwendung?

kann das mal jemand verifizieren

kurz die IPv4 connectivity deaktivieren, also IPv6 only

dann hier

https://developers.google.com/…/examples/map-geolocation

auf 'Pan to Current Location' clicken

und kommt hier auch ein Fehler:

'Error: The Geolocation service failed.'

mit IPv4 only bzw. DualStack connectivity klappt es;

hab ich hier tatsächlich eine Dunkle Seite¹ von Google ertappt?

¹ waren nicht Google diejenigen die so ziemlich die ersten waren IPv6 zu supporten,

und das überall zu unterstützen?

(stateful DHCPv6 kennen sie bei Android ja auch noch nicht)

Zitat von 17martin

Seit heute liefert Let's encrypt das neue R3 Intermediate aus.

und das auch bei EC Zertifikaten, nicht nur bei RSA Zertifkaten;

Zitat von eripek

gar

'gar' im Sinne von fertig od. gar im Sinne von fort/weg/futsch?

Zitat von eripek

geriert

geiert?