Passwort verschlüsselt/gehasht abgelegt?

Ich brauch mal kurz eure Hilfe. Bin mir nicht sicher ob ich mir das richtig überlegt hab bzw. ob ich keinen Denkfehler mache.

Nehmen wir mal an Person1 hat bei Anbieter1 einen Benutzeraccount1 erstellt. Für diesen Benutzeraccount1 hat Person1 ganz normal einen Benutzernamen und ein Passwort. Der Anbieter1 bietet mehrere Dienste an. Diese Dienste können innerhalb von Benutzeraccount1 aktiviert werden.

Person1 loggt sich nun also in Benutzeraccount1 ein und aktiviert dort einen neuen Dienst, wir nennen den jetzt einfach mal Dienst1. Bei diesem Dienst1 handelt es ich um eine E-Mail Adresse.

Wir halten also fest: Person1 hat bei Anbieter1 einen Benutzeraccount1, darin Dienst1 aktiviert. Für Dienst1 (also die E-Adresse/Mail-Server) hat Person1 ein separates Passwort.

Das kuriose: Person1 kann sich in Benutzeraccount1 einloggen und dort das Passwort von Dienst1 anzeigen lassen. Da hat es also wirklich einen Button mit der Überschrift “Passwort anzeigen”!

Meine frage wäre nun: Ist das sicher? Weshalb kann das Passwort angezeigt werden? Gehe ich richtig der Annahme das dieses Passwort nicht gehasht ist, ansonsten könnte dies ja nicht angezeigt werden?

Ok, ich gebe es zu. Die Erklärung hier ist scheisse. Vielleicht versteht ja trotzdem jemand das ganze und kann mir erklären ob das Passwort unter diesen Umständen überhaupt gehasht sein kann.

+1 3 Teilen 1 Twittern 7

Neue Drohnen Verordnung ab 1. August 2014

Das BAZL hat die Verordnung für Drohnen-Besitzer verschäft.

In Zukunft wird es verboten sein, [..] Drohnen mit einem Gewicht von 500 Gramm bis 30 Kilogramm in einer Entfernung von weniger als 100 Metern von Menschenansammlungen im Freien ohne Bewilligung des BAZL einzusetzen.

Quelle: Bundesamt für Zivilluftfahrt

Am 11. Juni 2014 hab ich mit einem DJI Phantom (~900 Gramm ohne Kamera) ein Foto einer kleinen Menschenmassse geschossen, dass drei tage später sogar in die Zeitung kam. In Zukunft bräuchte ich also eine Bewilligung. Na, toll…

Übrigens gilt auch:

  • Der Pilot muss direkten Augenkontakt zur Drohne aufrecht erhalten. Fliegt man mit einer Videobrille (First Person View) so muss ein Copilot mit direkter Sicht und der Möglichkeit die Drohne zu übernehmen vorhanden sein.
  • Eine Haftpflichtversicherung über eine Garantiesumme von mindestens einer Millionen Franken muss vorhanden und als beweis schriftlich bei sich getragen werden.

Ausführlicher nachzulesen im Blog von Martin Steiger.

+1 4 Teilen 1 Twittern 3

no-ip.org: Microsoft betreibt Legales DNS-Hijacking

Meine Grosseltern housen für mich einen Raspberry Pi. Dieser ist für mich normalerweise jederzeit über einen Dynamischen DNS Provider aufrufbar. Ein solcher DDNS Service ist für mich unumgänglich da die IP-Adresse in regelmässigen Abständen wechselt.

Dynamisches DNS oder DDNS ist eine Technik, um Domains im Domain Name System dynamisch zu aktualisieren. Der Zweck ist, dass ein Rechner nach dem Wechsel seiner IP-Adresse automatisch und schnell den dazugehörigen Domaineintrag ändert. So ist der Rechner immer unter demselben Domainnamen erreichbar, auch wenn die aktuelle IP-Adresse für den Nutzer unbekannt ist. – Quelle: Wikipedia

Das ein solcher DDNS Provider auch missbraucht werden kann ist als selbstverständlich zu betrachten. Ich kann ja auch mit einem harmlosen Baseballschläger jemanden erschlagen. In diesem Fall würde aber ich belangt werden und nicht gleich der Verkäufer oder alle die einen Baseballschläger besitzen.

Microsoft (ja, der grosse Konzern) hat nun beim DDNS Betreiber no-ip.org ein par Bot-Netzwerke (und andere Schädlinge) gefunden. Nichts tragisches, könnte man meinen. Der entsprechende User der dafür verantwortlich ist sollte sich leicht bannen lassen. Stattdessen erhält Microsoft gerichtlich die Gewalt über die ganze Domain. Die Folge: Der DDNS Betrieb auf no-ip.org wird eingestellt.

Toll für Millionen Kunden die nun nicht, oder vorübergehen nicht, auf ihre eigenen Serverdienste zugreifen können.

Ich bin enttäuscht von:

  • Microsoft
  • no-ip.org
  • und dem Richter der dies so entschieden hat.

Und ich hab mich noch gewundert weshalb mein Raspberry Pi nicht erreichbar ist. Hab übrigens bis jetzt noch kein Info E-Mail von no-ip.org erhalten, hätte ich durchaus erwartet.

(Gelesen bei heise.de)

+1 5 Teilen 1 Twittern 2

Starbucks installiert nutzlose Drahtlos-Ladestationen

Für das drahtlose aufladen gibt es zwei verschiedene Standards. Der Qi-Standard ist jedoch klarer Vorreiter. Diverse Handys wie z.B. Nexus-Geräte oder auch Windows Phones haben den Qi-Standard verbaut. Nebst diesem gibt es aber auch den PMA-Standard.

Nun ratet mal…

…für welchen Standard es kein einziges Gerät gibt!
…welchen Standard in den Starbucks Filialen verbaut werden soll!

Ich sag nur: Facepalm! Ne, im ernst: Wieso verbaut man eine Technik die niemand nutzt? Die hätten meiner Meinung nach lieber viel mehr Steckdosen verbaut und Ladekabel bereitgestellt.

(Gelesen bei heise.de)

+1 4 Teilen 3 Twittern 1

Apple benutzt Windows um Macs herzustellen

Heute war Tim Cook (Apple Chef) eine Produktionsstätte für Apple Geräte besichtigen. Über den Offiziellen Twitter Account von Tim Cook wurde diesbezüglich ein Fotos gepostet.

Nun, was sehen wir bei genauerem betrachten? Richtig: Da läuft Windows auf einem Mac. Upps!

(gelesen bei Caschy)

+1 3 Teilen 1 Twittern 1

Büpf Demo auf dem Bundesplatz in Bern

Am Samstag fand in Bern eine Demo gegen das Büpf statt. Organisiert wurde diese durch ein Komitee aus diversen Jungparteien und nicht Politischen Organisationen.

Unterstützt durch:

Grüne, Piratenpartei, Junge SVP, Jungfreisinnige, Juso, Junge Grüne, Junge Grünliberale, AL, PDA Bern, Digitale Gesellschaft, CCC, Anonymous, Internet Society, Swiss Privacy Foundation, Swico, Grundrechte.ch und Wilhelm Tux

Im vorhinein wurden Unterschriften gesammelt. Dort dabei waren zusätzlich:

Digitale Allmend, Kinder ohne rechte, Open Factory und TheAlternative

Finde die Demo und das Arrangement der einzelnen Organisationen, insbesonderen der Piratenpartei, sehr lobenswert. Bei einer weiteren Demo werde ich gerne wieder dabei sein.

Nebst den Anerkennungen muss ich aber doch auch was anderes los werden: Ich war ein wenig enttäuscht. Anwesend waren laut diversen Medien ca. 400 Demonstranten. Ich persönlich hätte die Zahl auf mehr geschätzt, dennoch weniger als ich mir im vorhinein vorgestellt hätte.

Wo sind die Leute alle geblieben? Und wichtiger: Wo waren die Parteien die das Projekt angeblich alle unterstützen? Vor Ort anwesend (sichtbar) waren Hauptsächlich die Piraten. Nebst diesen waren auch Fahnen der Grünen und der Juso zu sehen. Schade das nicht mehr gekommen sind.

Dennoch: Danke an alle sei es Organisatorisch, Reden vor Ort oder einfach nur Unterstützer irgendwelcher art!

+1 4 Teilen 3 Twittern 2

Eigene Ausfallsichere Cloud dank Raspberry Pi

Seit längerer Zeit plagt mich eine Idee die ich nur noch Umsetzen müsste. Ich möchte meine Daten (Dokumente, Fotos, Videos) schon seit geraumer Zeit vernünftig sichern. Mit vernünftig meine ich keine Sicherung auf einer externen Harddisk sondern vielmehr eine Sicherung ausser Haus. Irgendwo an einem anderem Standort.

Doppelt an zwei Standorten

Ein Backup nützt wenig wenn das eigene Haus abbrennt. Deshalb sollten die Daten zusätzlich an einem zweiten Ort aufbewahrt werden. Wohin könnte ich nun also sichern? Dabei fielen mir mehrere Anbieter ein.

  • Google Drive
  • Dropbox
  • Webspace mieten
  • Sonstige Cloud- oder Serveranbieter

Datenschutz

Mit dem Datenschutz nehme ich es nicht sonderlich ernst. Mein Name und meine Adresse steht im Klartext im Internet. Meine Gedanken wandern durch Social Netzwerke wie Twitter oder Google+. Doch müssen all meine bisher Offline verfügbaren Daten auch ins fremde unendliche web? Eigentlich nicht. Vielleicht auch einfach nicht aus Prinzip.

Manchmal braucht man keine plausible Erklärung, die Aussage “aus Prinzip” sagt bereits genug.

Aus diesem Grund muss eine eigene Lösung her. Eine Lösung bei der ich all meine Daten zugleich Zuhause wie auch ausser Haus hab. Aber nicht bei einem fremden Anbieter.

Eigene Lösung: 2x Raspberry Pi

Die Idee ist so simpel wie auch einfach. Benötigt wird:

  • 2x Raspberry Pi
  • 2x SD-Speicherkarte
  • 2x Externe Festplatte (mit externer Stromversorgung)
  • 2x USB Ladegerät und mico-Kabel
  • 2x Gehäuse

Wie man sieht wird alles in doppelter Ausführung benötigt. Eine Ausführung steht bereits bei mir zuhause weshalb ich alles nur noch 1x bräuchte.

(Auf die SD-Karte kommt das Betriebssystem für den Raspberry Pi. Der RPi kommt in ein kleines Gehäuse. Die externe Festplatte wird direkt an den RPi angeschlossen.)

Raspberry Pi Typ B
Raspberry Pi Typ B

Doch wohin mit dem zweiten Equipment? Irgendwo zu Verwandten, Bekannten oder Kollegen. Diejenige Person sollte mehrere Kriterien erfüllen.

  • Vertrauenswürdig (trotzdem bietet es sich an die externe Festplatte zu verschlüsseln)
  • In der nähe (Um bei Problemen auch vorbei gehen zu können)
  • Vernünftige Internet Anbindung

Werde mir tatsächlich überlegen ob ich bei meinen Grosseltern einen zweiten Raspberry Pi aufstellen werde. Grosseltern sagen bekanntlich nie nein und besitzen auch nicht die Fähigkeiten – zumindest in den meisten Fällen – auf die Daten zuzugreifen. Wenn sie es könnten so würden sie es sich aber auch nicht getrauen. Liebe Leute halt.

Eine schnellere Internet Anbindung als ich hat so oder so jede Person. Synchronisieren könnte ich vorzugsweise lediglich über Nacht, sagen wir mal ab 01:00 Uhr bis morgens um 06:00 Uhr.

Software

Auf dem Raspberry Pi läuft ein auf Debian basierendes Linux. Nun fehlt nur noch eine Software um die Daten zu Synchronisieren. Einsetzen möchte ich dazu die Gratis Software BtSync. Die Gründe sind wie folgt.

  • Kostenlos
  • Kann jederzeit beliebig viele zusätzliche Rechner hinzuschliessen. Könnte also auch noch einen dritten oder sogar vierten Raspberry Pi irgendwo unterbringen.
  • Bereits damit Erfahrungen gemacht.
  • Nicht zu kompliziert
  • Für alle Desktop Systeme und sogar für Android verfügbar

Ich denke das sollte damit ganz gut hinhauen.

Synchronisation ist nicht dasselbe wie ein Backup

Ein Backup soll nicht nur bei Hardware Verlust schützen, sondern auch wenn ein User eine Datei aus versehen löscht. Hierfür müsste man auf mindestens einem der Systeme zusätzlich noch eine Software oder ein Script einrichten um einmal pro Woche die Daten in einen anderen Ordner zu kopieren. In einen Ordner der nicht synchronisiert wird.

Somit hätte ich folgende Szenarien abgedeckt.

  • User löscht aus versehen Daten. (Wöchentliches Backup & BtSync Versionshistory  vorhanden)
  • Hardware Verlust bzw. fällt aus. (Anderes System vollständig lauffähig vorhanden)

Ich hoffe ich hab kein relevantes Szenario vergessen das nicht abgedeckt wäre.

Eure Meinungen

Ich zögere noch mit der Umsetzung. Aus diesem Grund wollte ich mal in die Runde fragen:

  • Wo seht ihr dabei Nachteile?
  • Hab ich was übersehen?
  • Überlegungsfehler?
  • Welche Probleme könnten auf mich zukommen?

Immerhin gibt man ja wieder Geld für Hardware aus. Man(n) sollte sich dass also doch gut überlegen. Falls also jemand gute Einwände hat: Nur her damit!

+1 9 Teilen 0 Twittern 5

Solarstrassen: Befahrbare Strassen aus Solarzellen

Stellt euch mal vor jede Strasse wäre zugleich eine Solarzelle. Ihr fahrt mit dem Auto also auf einer Strasse bestehend aus Solarzellen. Hört sich, verdammt nochmal, cool an.

Ich frage mich lediglich ob dies umsetzbar ist. Nicht nur technisch sondern auch Preislich sicherlich ein sehr teures vorhaben. Zumindest ein Traktor kann bereits darauf fahren, wenn auch ein verhältnismässig leichter.

Ob das aber auch für die Autobahn umsetzbar ist? Wir werden sehen. Wer das Projekt unterstützen will darf auf der Crowdfunding Plattform Indiegogo einen Beitrag leisten.

Hier noch abschließend das Video dazu.

Alleine als Parkhilfe eine coole Sache.

(Gelesen bei da]v[ax)

+1 3 Teilen 0 Twittern 2

Alle Daten durch NAS öffentlich freigegeben

Bereits im Februar dieses Jahres fand ich haufenweise Persönliche Daten im Internet, die da nicht hingehörten. Eine Familie hatte durch eine Fehlkonfiguration alle Daten auf dem NAS versehentlich öffentlich zu Verfügung gestellt. Darunter waren nebst Familienfotos auch Persönliche Dokumente wie z.B. die Vermögensübersicht oder auch das PayPal Passwort. Der Eigentümer der Daten hat auf meinen Anruf reagiert und alle Daten Offline genommen.

Letztens war mir langweilig weshalb ich erneut auf die Suche ging. Und tatsächlich! Innert weniger als 10 Minuten war erneut ein Fund zu vermelden. Laut gefundenem Webinterface handelt es sich um einen LaCie d2 NAS. Das Webinterface ist Passwortgeschützt, via FTP sind jedoch alle Daten auf der Festplatte ohne Passwort einsehbar.

Was macht man in diesem Fall? Richtig: In den Daten nach der Adresse suchen damit man die armen Teufel benachrichtigen kann. Gesagt getan. Dabei findet man so einige Daten bis man endlich eine Kontaktmöglichkeit findet.

Bei den Fotos lag eine eingescannte Volleyball-Anmeldung. Dort drauf steht Adresse, Telefonnummer und E-Mail Adresse. Hab nun ein E-Mail gesandt. Mal schauen wie lange es geht bis jemand Reagiert.

+1 8 Teilen 0 Twittern 5