pandorasquared

Sicherheit im Netz – SSL-Zertifikate

admin — Tue, 13 Mar 2012 10:36:41 +0000

Wer als Kunde ins Netz gehen möchte, hat sich schon des Öfteren gefragt, wie sicher seine Daten gehandhabt werden. Nicht selten hört man Berichte von Arbeitgeber, die sich im Netz über ihre Arbeitnehmer kundig machen, oder das Bankgeheimnis ist aus welchen Gründen auch immer entlüftet worden. Wie teuer stehen einem dann diese Verluste zu stehen. Aber wer garantiert auch die absolute Sicherheit der Daten? Hier bietet sich ein öffentliches SSL-Zertifikat an. Unter dieser sicheren Verbindung versteht man die verschlüsselte und authentifizierte Kommunikation zwischen dem Webbrowser und dem Webserver im Internet, wobei hier die Übertragung der Daten mittels Verschlüsselungsprotokollen – Secure Sockets Layer (SSL) oder Transport Layer Security (TLS) – gesichert wird. Wozu ist ein SSL-Zertifikat sinnvoll? Die Palette hierfür ist sehr groß. Online Geschäfte, online Bestellungen und Zahlungen mit der Kreditkarte müssen vertrauensvoll gehandhabt werden. Dasselbe gilt für Logins auf Webseite. Des Weiteren sind private Daten wie Adressen, Geburtstagsdaten, Lizenzen oder Identifikationsnummern sicherlich Bereiche, die geschützt weitergegeben werden wollen. Letztlich schützen SSL-Zertifikate die Daten der Nutzer und Kunden vor unbefugten Zugriffen und behandeln diese vertraulich. Aber dies gilt garantiert nur für öffentliche SSL-Zertifikate, die bekanntlich auch sehr teuer sind.

Kleines Video zwischendurch:

Anders sieht es für private SSL-Zertifikate aus, die selbst erstellt werden und sicherlich die billige Variante sind. Hier ist mit Einschränkungen keine absolute Garantie für Sicherheit gewährt. Bei einem privaten Dienst, wo man jeden Benutzer kennt und ihm das entsprechende Zertifikat zusenden kann, reichen selbsterstellte Zertifikate völlig aus, und sie verschlüsseln auch genauso gut wie käuflich erworbene. Anders kann dies bei Bankgeschäften sein, und selbst im facebook weiß man nicht, an wem private Daten entschlüsselt weiter gereicht werden. Letztlich sollte man seine Sicherheit nicht vom Geldbeutel abhängig machen und damit nicht spaßen. Mittlerweile kann man sogar kostenlose Zertifikate erhalten. Aber hier sollte man sich nur heranwagen, wenn man sich mit den Tücken der Installation und Vertraulichkeit gut auskennt. Man kann über spezielle Anbieter ein Zertifikat für die Domain, eines für den privaten Key sowie ein sogenanntes Intermediate Zetifikat erhalten. Ob diese Investition sinnvoll ist, mag dahin gestellt sein, da ja selbst die billigere Version schon nicht für einen ausreichenden Schutz sorgt.

Unsere Blogger haben hier noch ein paar Linkempfehlungen:
- Günstige SSL Zertifikate erstellen bei PSW
- Servernamen sichern
- Was ist SSL?

Versenden eines Newsletters

admin — Mon, 26 Sep 2011 13:43:20 +0000

Bei E-Mail-Marketing zählen vor allem die Qualität, Flexibilität und die Zuverlässigkeit eine große Rolle. eCircle bringt gute Softwarelösungen an.

Features der Software von eCircle:

Die Software für Newsletter basiert auf Web und kann daher auch in E-Commerce-Systeme und in das Customer Relationship Management eingebunden werden. Wichtige Features in der Software sind die Personalisierungsmöglichkeiten von E-Mail-Kampagnen und das Echtzeit-Reporting. Diese beiden Eigenschaften werden in der Welt der E-Mail-Marketing immer wichtiger. Denn diese bilden die Grundlage für die Kundebindung und bringen auch noch einen besseren Verkauf so wie Cross-Selling zu einer gut bestimmten Kampagne. Ein Bounce-Management kontrolliert zusätzlich die Zustellung der Spams, Mails und überflüssiger Versand wird durch den Doubletten-Abgleich verhindert.

Um die Zustellung der E-Mails zu gewähren, wird mit gut gepflegten ISP-Relations und Whitelisting operiert. ISP-Relations sind die gesicherten Beziehungen zu Internet-Service-Provider, die versichern, dass die Mails nicht in den Spam-Ordner der Empfänger landen. Über Whitelisting wird die Zustellung gewährleistet. Das stellt erst die richtige Herausforderung im modernen E-Mail-Marketing, das Versenden ist nicht problematisch. Seriöse E-Mail-Marketer pflegen ihre ISP-Relations, sprich zu arbeiten mit Internet-Provicern zusammen. Das funktioniert so nur, weil sie sich einfach vom Spam distanzieren. Ein Team von eCircle kümmert sich regelmäßig um die ISP-Relations und um die Verbindung zu Freemail-Anbietern, Auch noch ist eCircle bei der CSA (Certified Senders Alliance) zertifiziert, den ersten professioneller E-Mail-Versender mit Whitelist deutschlandweit.

Vorteile der E-Mail-Software:

Ein regelmäßiger Versand eines Newsletters verstärkt die Kundebindung wesentlich, innerhalb des Customer Relationship Managements spielt das E-Mail-Marketing eine wichtige Rolle. Wesentlich dabei ist der zielgruppenspezifische Versand mit speziellen Kampagnen. Durch eine Softwaresteuerung erhalten Kunden Informationen die sie benötigen oder erwarten und auch darauf reagieren. Durch Coupon-Aktionen kann Point of Sale gezielter unterstützt werden, Branding und Markenimage werden ebenfalls gestärkt. eCircle gehört zu den leistungsstärksten Versandlösungen der Welt. Durch die Software können pro Stunde ca. 10 Millionen E-Mails versendet werden. Was für die Größenordnung alles Unternehmen ausreichend ist.

SSL Übertragung am PC – Schutz vor Passwortdiebstahl

admin — Mon, 26 Sep 2011 06:52:31 +0000

SS Zertifikate, wie z.B. die SSL Zertifikate von psw.net, bürgen für Sicherheit am PC, allerdings schützen sie nicht vor dem Ausspähen von Passwörtern, die ein Nutzer freiwillig preisgibt. Dies geschieht durch Phishing, bei dem eine angeblich vertrauenswürdige Seite vorgibt, Angaben des Nutzers inklusive Passwort zu benötigen. Da Phishing auch von SSL gesicherten Seiten aus vorgenommen wird, sollten Nutzer nur Seiten mit Extended Validation vertrauen – das sind SSL Seiten, die mit grünem Balken in der Browser-Zeile unterlegt sind.

Die Vergabe von SSL Zertifikaten

Die Zertifikate werden auch für die private Nutzung in niedrigeren Sicherheitsstufen preiswert vergeben, jeder kann also eine SSL verschlüsselte Seite betreiben. Da diese Seiten sehr lange, bis zum Beginn der 2000er Jahre, einen Vertrauensbonus besaßen, und gleichzeitig die Zertifikate von privaten Anbietern vertrieben werden, nutzten Kriminelle einfache, preiswerte SSL Zertifikate für das Phishing. Sie gaben sich mit gefälschten Mails und SSL verschlüsselten Webseiten als Bank des Kunden aus und forderten diesen auf, Passwort und TANs einzugeben, angeblich, um die Sicherheit zu erhöhen. Darauf wurde seitens der Provider mit der Extended Validation reagiert. Diese erweiterte Überprüfung durch eine Zertifizierungsstelle stellt sicher, dass ein SSL Zertifikat, wie z.B. eins von openssl.org nur an detailliert überprüfte Antragsteller vergeben wird. Der Antragsteller muss sich und seine Firma ausweisen, das Verfahren ist sehr sicher. Das vergebene Zertifikat wird in der Browserzeile grün unterlegt, diese Kennzeichnung ist nicht zu kopieren oder zu fälschen. Sämtliche Banken und andere Webseiten mit sensiblem Datenverkehr nutzen im Jahr 2011 die Extended Validation. Hier ist ein Passwort-Diebstahl ausgeschlossen, von so einer Seite ist auch kein Phishing-Angriff zu erwarten. Darüber hinaus schützt vor Phishing der gesunde Menschenverstand. Keine Bank fragt ihre Kunden nach deren Passwort.

Das Hacken ungesicherter Accounts

Natürlich gibt es jede Menge ungesicherter Accounts, zum Beispiel in social networks wie Facebook. Wer sich dort über einen ungesicherten WLAN-Hotspot einloggt, kann ausgespäht werden. Inzwischen gibt es beispielsweise die Android-App FaceNiff, die ungesicherte Session-Cookies ausspäht, die ein Nutzer auf seinem Facebook- oder Youtube-Konto hinterlassen hat (natürlich auch auf anderen Seiten). Diese App FaceNiff – es gibt mehr solcher Programme – ist simpel zu installieren und einzusetzen, ein Schutz ist nur möglich, wenn prinzipiell SSL-Verschlüsselungen, wie z.B. die von pedro-reimers.de, genutzt werden. Diese kann auf dem eigenen Facebook-Konto eingestellt werden (Konto–> Kontoeinstellungen–> Kontosicherheit–> Haken auf „sicheres Durchstöbern“), bei Twitter ebenfalls (Profil–>Profil Bearbeiten–> Account–>Haken auf „Nur HTTPS“).

Der Man-In-The-Middle-Angriff

SSL-Seiten ohne Zertifikat, also ohne Extended Validation (ohne grün unterlegte Browserzeile) können Opfer eines Man-In-The-Middle-Angriffs werden. Bei der Extended Validation wird vor jeder Verbindung zwischen Nutzer und SSL-verschlüsselter Seite die Zertifizierungsstelle nach der Identität der Seite angefragt. Ohne diese Anfrage kann ein Hacker vor dem Austausch der SSL-Schlüssel zwischen Nutzer und SSL Seitenbetreiber sich in den Datenverkehr beider Seiten einloggen (hacken) und den Datenverkehr abfangen, inklusive der später getauschten Schlüssel und Informationen. Es ist nach wie vor zu empfehlen, bei wirklich sensiblen Daten ausschließlich auf die grün unterlegte Browserzeile zu vertrauen – jedenfalls so lange, wie dieses Verfahren als vertrauenswürdig gilt. Die Standards setzen in dieser Hinsicht die Banken. Es ist durch Untersuchungen belegt, dass Banken Hackerversuche und -Angrffe innerhalb von vier bis acht Stunden aufklären und abwehren. Die Sicherheitsstandards im Finanzsektor sind sehr hoch, und sie sind von jedem normalen Bürger mit einem Online-Konto zu verfolgen. Daran sollte man sich orientieren.

Methodentraining im Alltag, am PC und überall

admin — Wed, 17 Nov 2010 10:20:26 +0000

Vielleicht sollten die Referendariate nicht so offiziell und angekündigt statt finden, sondern viel mehr ohne Ankündigung als normale Vertretung daher kommen, damit die “Frischlinge” direkt den vollen Gegenwind bekommen. Zumindest zu meiner Zeit wurde immer vorher drauf hingeweisen, dass ein Referendar kommt und man sich bitte zu benehmen hatte. Außerdem saß der Fachlehrer oft dabei in den hinteren Reihen und so war immer schön Ruhe. Trügerisch, in meinen Augen. Das ist heute anders (allerdings auch von Bundesland zu Bundesland verschieden). Hier in Niedersachsen hospitiert man 3 Monate, bevor man 1 Jahr eigenverantwortlich unterrichtet. Der Gegenwind ist dann häufig größer, als wenn man “richtiger” Lehrer ist. Grund: Die Schüler wissen um die Abhängigkeit der Referendare von ihrem guten Willen… Problematischer ist die Lehrerausbildung: Im Studium kaum Praxisbezug, im Referendariat Erziehung zum Arschkriechen und überzogenes Methodentraining anstelle von alltagstauglichen Problembewältigungsstrategien. Aber es wird sich wenig ändern. In Punkto Schulpolitik wird seit 20 Jahren nur noch Raubbau betrieben, obwohl die Probleme schon lange bekannt sind. Raider wird auch dort demnächst Twix heißen, an den Missständen sich aber nichts ändern. Wo sind denn die SozPäd, die Förderkräfte, die Betreuer, die sich um die sozialen Belange kümmern. Hauptaufgabe der Lehrer sollte Lehre bleiben, ansonsten brauchen wir eine völlig andere Schule, die wir dann eher “Erziehungsanstalt” nennen sollten (die negative Konnotation ist beabsichtigt).

Ajax-Entwicklungs-Framework ThinkCap

admin — Wed, 17 Nov 2010 10:16:31 +0000

Ajax wird leider größtenteils für so etwas missbraucht. Aber es gegenüber Remotescripting zwei Vorteile: 1. Es wird nativ XMl verwendet, also ein DOM-Tree in einen DOM-Tree eingebunden. 2. Es leckt keinen Speicher. 3. Es arbeiten asynchron. Sprich: Kein Polling, und kann man POSTen statt nur zu GETten. Daten senden (POST) kann man natürlich auch über ein Formular in einem hidden-iframe. Und asynchron ist das Laden der Inhalte eines Frames ebenfalls – man muss das load-event des Frames nutzen, um das Ende des Aufrufs abzufangen. Genaugenommen gibt es bei JS überhaupt keine synchronen Vorgänge (mal abgesehen von ‘alert’, ‘confirm’ und ‘prompt’, was ja Rückgabewerte von Funktionen sind, welche natürlich synchron arbeiten). Der Vorteil ist hier sogar, dass man wesentlich komplexere Daten(mengen) mit einer Anforderung senden kann. Einfach z. B. ein komplettes Formular klonen und im Frame versenden. Ebenfalls ist es auf diesem Wege möglich, im Hintergrund Dateien vom Client auf den Server zu laden, während der User in der Zeit weiter mit der Page-GUI arbeiten kann.