Beiträge von My1

Zoey Klares nicht wirklich.

Das was den Passkey (oder Generell auch schon FIDO2 vor Passkeys) von den Sachen unterscheidet, ist dass die Verifizierung per Passwort erzwingen ist.

eine SMS mal abgesehen von den Problemen mit SS7, ließe sich auch auf einem Nokia 3310 empfangen, dass keinen Sperrcode hat. ebenso, gibt es bei TOTP keine vorkehrungen, dass der Generator, durch irgendetwas geschützt ist.

man könnte sicher TOTP auf einem arduino implementieren mit blinkenden lämpchen und es ist trotzdem TOTP, oder etwas Praktikabler, der Google Authenticator (die erste große TOTP app) hat iirc weder selbst einen sperrcode. noch eine Policy die dem Handy einen Lockscreen mit Code abverlangt.

bei FIDO2 und den dazugehörigen technologien gibt es nicht nur die möglichkeit für Websites eine Verifizierung sei es mit Biometrie, PIN oder whatever zusätzlich zum push button anzufragen, sondern es gibt auch Positives Feedback, ob dies geschehen ist.

ebenso ist "hundertfach-FA" sowieso unfug da man konzeptuell verschiedene Faktoren aufzählt und da gibt es nur 3 Typen:

1) Wissen (bspw Kennwort/PIN)

2) Besitz (Codegenerator)

3) Biometrie

es ist egal ob du 1 Passwort oder 20 Passwörter hast, und egal ob es Websites so nennen, aus Marketinggründen, es ist immer noch 1 Faktor, etwas was du weißt

das mit dem TOTP seed merken geht zwar eigentlich gewissermaßen gegen das konzept von 2FA aber whatever

dass man sich ein Schlüsselpaar wie es in FIDO genutzt wird nicht merken kann ist soweit so normal und auch teil des konzeptes, gerade da es auch einen Zähler gibt gegen Cloning-Versuche, und man pro Seite sowieso ein neues schlüsselpaar bekommt, damit man nicht nachverfolgt werden kann. Pro Seite ein 256-bit Schlüsselpaar wird etwas schwer.

Bzgl Phishing, bin ich jetzt mal neugierig was du dir da so vorstellst. Die allermeisten Phishingversuche gehen via Semi-Einfachen E-Mails die leute auf Websites locken die mehr oder weniger täuschend echt aussehen, bei FIDO wird der dir nur sagen göogle.com? kenn ich nicht, sorry. Das einzige was mir einfällt ist dem user einen bösen Browser unterzujubeln (da kann man aber auch gleich die Cookies klauen), da unter Windows aber das System zwischen dem Browser und den FIDO Sticks steckt, bin ich gewissermaßen neugierig, wie sich Windows bei nicht-Codesignierten Anwendungen mit FIDO verhält.

Ebenso eine Sache die Passkeys weit netter macht aus Sicherheitsperspektive für den Admin ist, dass es keine Geheimnisse mehr gibt, wie Passworthashes oder das gemeinsame geheimnis des TOTPs. nur ein Public key, einen Zähler, eine ID, und falls man möchte die Attestation.

Zitat von Lexxa

Also generell würde ich gerne meine Blurays auf x265 1080p konvertieren um Platz zu sparen und diese dann verkaufen. Daher hab ich bei CPU ausprobiert, wobei ein Film dann zwischen halbe bis Stunde konvertiert. Gelesen habe ich dass CPU Konvertierung besser sein soll, aber GPU schneller geht. Die Frage ist, ist da viel Unterschied im Bild zu sehen wenn man es mit GPU macht? Ansonsten wäre ja dann die Zeit wurscht wenn man es einfach laufen lässt.

nimms mir nicht übel aber wenn du die BDs verkaufst wirds rechtlich nicht wirklich gut ausgehen, wenn jemand da interesse findet. je nach Größe der Sammlung kann das maybe doof ausgehen.

ansonsten würde ichsagen, einfach ausprobieren wie verschieden es aussieht.

Die idee des Tests auf open relay klingt sinnvoll. Wenn ein wordpress auf nem webspaxe irgendwas komisches macht ist sofort der ganze webspace down aber trotzdem ist netcup immer wieder auf listen...

ja netcup sagt auch dass die nicht für newsletterversand da sind, aber zumindest da wo ich arbeite wir versenden keine newsletter oder sowas. aber es ist schon doof wenn durch solche überblockierungen auch ernste mails blockiert werden.

man kann denke ich sicher ranges oder provider in ein spamscoring rein werfen aber idealerweise nicht automatisch alles blocken. dann wäre es doch ggf auch sinnvoll typsche keywords wie bspw gewisse erwachseneninhalte und so zu listen und zu werfen.

ich muss wahrscheinlich mal nen böse liste an worten und so für mein blog formular machen, kommt zu viel Spam, was langsam nervt, lol

was mich persönlich ja am meisten nervt ist dass alle mit der verantwortung um sich werfen also UCE schuldigt die hoster an netcup sagt die bekommen nicht genug infos etc etc. wer da die schuld an was hat ist letztlich egal, das problem ist dass es halt einfach doof ist wenn man nicht mit bspw behörden kommunizieren kann

wobei zumindest die leute von UCE geben ja direkt dem provider die schuld dass dieser nicht genug gegen spam tun würde etc etc.

ist da was dran oder sind die vorstellungen seitens der UCE Protect leute illusorisch?

Sicher wäre es auf Dauer sinnvoll die Liste zu streichen aber es sind Ämter da müsste man erstmal schauen wer überhaupt verantwortlich ist und so, und es wäre schön wenn man trotzdem vlt nicht auf der Liste landen müsste

Zitat von tab

Und nein, bei einer derartigen Blocklist reicht es nicht, dass dich jemand in die Whitelist aufnimmt, weil so weit kommt die Mail ja gar nicht. Die wird ja schon anhand der IP abgewiesen

eben.

Zitat von tab

Naja, wer clever ist, hat mehrere E-Mail Adressen bei verschiedenen professionellen Anbietern

und wie am besten? mit mehreren domains? da ist dann die frage wie man klarstellt dass die trotzdem echt sind, denn sonst könnte man denken das is phishing oder whatever.

Zitat von tab

Und der Behörde würde ich noch einen schönen Gruß mit reinschreiben und sie höflich fragen, ob sie wissen, was sie damit anrichten und welche dubiosen Gestalten sie damit finanziell unterstützen

naja bezahlen muss man ja nur für ne sofortentfernung. die haben ja sogar cooldown policies sodass wenn man "schnell genug" (kann man relativ sehen) spammer entfernt sollte es da angeblich recht wenig geben.

Zitat von tab

UCEPROTECT Level 3 kannst du ignorieren, außer du musst öfter Mails an bayrische Behörden senden, die verwenden das teilweise

nicht nur Bayrisch, mein chef ist mal wieder wütend dass der nichts an die Stadt Chemnitz senden kann, und netcup meinte mal dass der empfänger doch uns auf die Whitelist setzen soll, ich denke mal nicht dass es bei nem Block mit Bounce überhaupt geht dass ein kleiner Mitarbeiter da irgendwo einfach das umgehen kann. und das ist ja schon etwas doof wenn sowas nicht geht denn als Firma muss man ja hier und da mit Ämtern kommunizieren.

ich habe mal eine Frage, beim Tarifupgrade stehen viele der fast gleichen Art dran da ist jetzt die frage, wo da der Unterschied ist, bspw zwischen den 4 4000er optionen.

pasted-from-clipboard.png

Zitat von tab

Verstehe jetzt nicht so ganz was du meinst. Wenn es um die unterschiedlichen Pfade zur selben Datei in der Konsole und der Webanwendung geht, das ist ja leicht beherschbar.

naja zumindest bei nextcloud musste ich immer wenn ich occ gebraucht habe die pfade in der config ändern da diese absolutpfade sein mussten, was schon i-wie nervig ist

Zitat von tab

Wahrscheinlich weil auch netcup sein RAM nicht im Keller herstellt

sicher aber man hat ja garantierten RAM, bei webhosting 2000 ja schon 4GB, und wenn bspw diese uploads nur von admins gebraucht werden sollte das ja kein problem sein

Zitat von tab

Also 300 Sekunden sind schon in einer Größenordnung, dass die entsprechende Operation eher in einem separaten Konsolenprozess ausgeführt werden sollte

naja konsolenprozess ist bei netcup aufgrund der pfaddynamik zwischen web und konsole eher doof, ich denke mal die haben nen webcron oder sowas der dann im hintergrund zeug macht.

Zitat von [netcup] Kai S.

Sie haben in Ihrem Tarif gewisse Leistungen gebucht. Diese umfassen unter anderem die Max Execution Time, das Memory Limit und das Upload Filesize Limit. Eine Erhöhung dieser Limits über die gebuchten Leistungen hinaus bieten wir schlichtweg nicht an. Sie können in den Produktdetails auf Unserer Webseite die komplette Leistungsbeschreibung abrufen.

Sollten Sie höhere Leistungseckdaten benötigen, so müssen sie einen Tarif wählen, der Ihre Leistungsansprüche erfüllt.

aber mal ganz doof gefragt, da das upload limit durch die post max size und jene wiederum durchs memlimit begrenzt ist warum dreht man das upload/post limit nicht entsprechend hoch?

Zitat von @flx

Als Antwort kam, dass ich (was ich auch vorher schon getan hatte) das OTP-Secret irgendwo aufheben soll um im Falle eines Verlustes des zweiten Faktors OTP neu einrichten zu können.

lol das sollte man normal idealerweise eben NICHT machen, da man zwischen einem geklauten secret und dem main nicht unterscheiden kann. wenn ein backupcode bspw genutzt wird, kann man eine mail oder so rauswerfen um den user zu informieren

und ja ich wäre auf für U2F oder noch besser FIDO2. kundennummer und dann halt stick mit FP oder PIN (und für die faulen gern optional RKs aber nicht pflicht)

Zitat von Martha

U2F gilt bei Webapplikationen bereits als veraltet. WebAuthn (aka FIDO2) ist der aktuelle Stand. Das hat diverse Vorteile, unter anderem muss im Gegensatz zu OATH-TOTP kein Geheimnis auf Serverseite gespeichert werden. Aber auch bei WebAuthn gibt es keinen standardisierten Ansatz, Backups zu erstellen (siehe https://github.com/Yubico/webauthn-recovery-extension).

ich denke man muss das jetzt nicht ganz so sehen. ich verstehe modernerweise U2F im sinne von "WebAuthn ohne UV" und damit kompatibel zu U2F sticks, webauthn kann viel und deswegen ist der begriff allein etwas undeutlich und ja U2F-JS sollte man nicht unbedingt nutzen.

Zitat von Martha

Aber auch bei WebAuthn gibt es keinen standardisierten Ansatz, Backups zu erstellen

inzwischen kann man selbst bei twitter mehrere sticks registrieren. und ansonssten codes zum ausdrucken als backup.

warum erklären bounce nachrichten die UCE Listen? senden die etwa teils aktiv von den honeypot adressen mails um bouncemails zu triggern?

Zitat von cltrmx

Gescheite Blacklists verwenden, die auch ein seriöses Modell aufweisen. Funktioniert komischerweise bei so ziemlich allen anderen auch.

du kannst als absender nicht ändern was der empfänger macht

Zitat von mainziman

der Laden verkauft ja nix; und stellt auch keine Rechnungen;

was sind dann die entsperrungen?

Zitat von heavygale

Das spielt ja wohl für die Impressumspflicht keine Rolle, es werden "Leistungen im elektronischen Geschäftsverkehr" angeboten und somit ist ein Impressum erforderlich (so zumindest die von dir angegebene Quelle).

selbst wenn die in der schweiz agieren wäre die frage ob die sich auch an den deutschen markt wenden und somit Marktortprinzip triggert...

Zitat von mainziman

weil Du zu schnell gefahren bist, und die damit eines Gesetzesübertretung begangen hast?

nein. wenn man in u-haft landet aber unschuldig gesprochen wird.

Zitat von mainziman

wie bereits gesagt, Mails an eigentlich nicht mehr existierende Mail-Adressen sind grundsätzlich SPAM;

es müssen ja nicht mal alte e-mails sein. UCE listet ja bspw auf der website auch ne spamtrap. wenn du jetzt ne website hast die nen newsletter hat der so wie es rechtlich soll opt in und alles macht und ich einfach mal die spamtrap da rein schreibe, is ne woche ruhe, zumindest zum thema kommunikation mit UCE empfängern.

Zitat von H6G

Der Betreiber kann alles behaupten, wenn der Tag lang ist.

was meinst du mit behaupten? Ob UCE behauptet dass behörden die Kunden sind ist mir zum einem nicht bekannt und zum anderem egal, wir haben schon mails zurück bekommen mit UCE als Angabe, von Behörden.

Zitat von H6G

Hast du konkrete Probleme Behörden zu erreichen auf Grund dieser Liste?

ja.

Zitat von H6G

Wenn ja, schick denen ein Brief oder ruf da an, dass deren Blockliste Menschen und Provider öffentlich diskreditiert.

ob das was bringt? gerade da wir nur ne kleine firma sind die mit denen halt geschäfte macht...

Zitat von mainziman

Ja das nennt sich dann U(ntersuchungs)-Haft

gibts da nicht dann aber entschädigung?

Zitat von mainziman

es gibt ein einfaches Mittel, all die Mails welche der SPAM-Filter am Incoming ablehnt od. als SPAM kennzeichnet,

mit den selben Maßstäben auch Mails am Absenden hindern;

naja UCE Protect prüft ja aber nicht auf echten spam sondern ob ne spamtrap erwischt wurde, was auch alte nicht mehr genutzte adressen beinhalten kann die man rein versehentlich erwischen kann, oder wenn man anbieter eines Newsletters ist, auch durch Boshaftigkeit anderer auf der Liste landet und der Opt-In Email dann ausgelöst wird.

Zitat von fisi

Was mich aber noch immer brennend interessieren würde, wer setzt denn die Blacklist von UCE überhaupt ein???

Behörden bspw.

Zitat von H6G

Ich denke damit können wir dieses Thema Ad Acta legen. Scam und ein Moneygrab.

naja wer mit behörden mailt leider eben nicht

Zitat von sudo

Interessanter Artikel zu UCEPROTECT:

naja die frage ist ob besagte IPs die nicht senden können in Lv1 sind oder eher beifang via Lv2 und Lv3.

ich finde es jedenfalls sehr interessant wie sich halt beide kandidaten also netcup und UCE gegenseitig den schwarzen peter zuschieben.

UCE sagt ja dass man mit dem timing und so die bösen mails identifizieren kann, und netcup reitet primär auf der entfernungsgebühr rum.