sicherheit – nullenundeinsen schubser

1Password Version 7

Heute habe ich dann mal das Abo für die 7er abgeschlossen, die nächsten 30 Tage sind ja noch kostenlos. Um nicht schon wieder ein Update zu verpassen, bin ich nun von der Standalone-Version – die weiter existiert und nur schwerer auf der Agile Bits Website zu finden ist – zur Abo-Variante gewechselt.

Das Übertragen der Daten und das Einrichten der Apps auf den mobilen Endgeräten funktioniert schon sehr flüssig.

Im Zweifel habe ich weniger als 40 Euro verballert, sollte ich in einem Jahr doch wieder auf eine Kauf-Version wechseln… Der Kauf der 7er für die Dauer eines Jahres wäre wohl teurer.

‘Neues’ 1Password – notwendig für Safari 13…

Erst durch diesen Beitrag auf Caschys Blog (via rivva.de) habe ich gemerkt, daß 1Password überhaupt in einer 7er-Version verfügbar ist, und das schon seit Mai 2018…

Die bis gerade noch bei mir eingesetzte 6er-Version wird bald nicht mehr mit Safari zusammenarbeiten – also habe ich mich spontan für ein Update entschieden. We schon zuvor habe ich die Version aus dem App-Store geladen(!), bei der es sich nicht(!) um die Standalone handeln soll. Mein primärer Tresor wurde in das neue Format konvertiert, und nachdem die Einstellung auf dem Telefon und dem iPad ebenfalls geändert war, funktioniert im Augenblick alles problemlos. Mal sehen, wie lange – und ich ob ich z.B. in 30 Tagen noch eine Mitgliedschaft abschliessen muss…

Ein wenig wundert mich die Diskussion unter dem Beitrag – bislang musste ich keinen der In-App-Käufe aktivieren, und auch agilebits sagt selbst, es gäbe auch eine Standalone-Version, nur nicht im App Store, sondern auf der Website direkt.

Warnung vor ‘Emotet’ #Trojaner #Phishing

Aktuell warnt das BSI vor einer Phishing-Welle. Wie immer gilt: vorsichtig bei Mails mit Anhängen, auch wenn die Mail scheinbar plausibel aussieht. Das Böse ist, daß in dieser Welle wohl viele persönliche Infos in der Mail enthalten sind, um die Plausibilität zu erhöhen und den Anwender so dazu zu bringen, die Anhänge zu öffnen.

DSGVO-Plugin für WordPress unsicher!

Guckt mal bitte, ob ihr das Plug-In WP GDPR Compliance installiert habt – falls dem so ist, sollte es die aktuelle Version 1.4.3 vom 7.11. sein. Alles davor ist unsicher, wie u.a. heise.de (via rivva.de) berichtet.

2FA auf Instagram – besser spät als nie…

Keine Ahnung, warum mich die App erst jetzt darauf hingewiesen hat, aber seit heute nutze ich den Google Authenticator nun nicht mehr nur für Twitter, sondern auch für Instagram – wie man die Funktion dort aktiviert, zeigt unter anderem Techcrunch.

Auweia – Whatsapp-Lücke, Update erforderlich

Gerade freue ich mich, daß die Ersatz-SIM Schwiegervaters Handy wieder ‘mit der Welt’ verbunden hat – und zum Glück liegt es noch hier, denn dann kann ich morgen noch nachsehen, ob er auch Version 2.18.93 installiert hat.

Warum man dringendst (und das ist diesmal wirklich so gmeint) seine Whatsapp-App (das wollte ich immer schon mal schreiben) aktualisieren sollte, steht auf heise.de (via rivva.de). Zwar nutzen wir es nur noch privat, aber ob ein Handy aus dienstlichen oder privaten Gründen ‘gekapert’ wird, ist schlußendlich egal, da gleichermaßen blöde.

Der Fehler wurde schon vor 2 Wochen korrigiert, aber mit den Updates ist das bei vielen ja so wie mit den Backups…

Und, schon Dein #Twitter-Passwort geändert?

In der letzten Woche forderte Twitter seine Benutzer auf, die Zugangsdaten zu ändern – noch vor der Mail von Twitter selbst las ich davon bei Caschy (via rivva.de)… Für das transparente Vorgehen gabs übrigens Lob, unter anderem auf golem.de (ebenfalls via rivva.de).

Sesam öffne Dich – eine Keycard als Generalschlüssel

In den kommenden zehn Tagen bin an 7 davon in Hotels – und beide Hotels nutzen Schhlüsselkarten für die Zimmer.

Nach diesem Bericht auf tagesschau.de (via rivva.de) achte ich mal drauf, ob man den Hersteller der Karten des jeweiligen Hotels herausfinden kann – eines davon gehört ausdrücklich zu einer skandinavischen Kette…

Wie? Facebook liest Whatsapp-Nachrichten mit – zumindest theoretisch.

In einem Telefonat fragte mich heute ein Freund: ‘Stimmt das, Whatsapp-Nachrichten können mitgelesen werden von Facebook?’

Meine spontane Antwort, von der ich dachte, sie sei richtig: ‘Nein, das ist ene Ende-zu-Ende-Verschlüsselung – also, von Gerät zu Gerät…’. Das stimmt soweit auch – aber gerade lese ich im Feedreader von der theoretischen Möglichkeit, daß die Facebook-App Nachrichten mitlesen kann. Nämlich genau dann, wenn sie gemeinsam auf einem iPhone installiert sind: heise.de beschreibt das genauer (via rivva.de).

Ist Dein WordPress fit für 2018?

Drüben bei Vladimir gibt es auf perun.net eine aktualisierte Fassung von Tipps und Tricks zu WordPress, mit dem Augenmerk auf Sicherheitsaspekte: ‘WordPress absichern, Edition 2018‘.

Je mehr Besucher so ein Blog hat, desto wichtiger wird das Thema – aber auch auf ganz kleinen, jungen Blogs beobachte ich erste Spamkommentare und Angriffe…

Und jetzt? FAQ zu #Meltdown und #Spectre

Drüben bei heise.de gibt es übrigens die wichtigsten Antworten auf Fragen zu den als Meltdown und Spectre benannten Agrifssszenarien – betroffen sind wir ohnehin alle, weil es ein Hardwareproblem ist (via rivva.de).

Bitte updaten Sie jetzt iOS und macOS gegen #MeltDown und #Spectre

Sicherheitsupdates sind immer wichtig – und momentan noch ein bisschen wichtiger als sonst. Sowohl für iOS als auch für macOS gibt es Updates, die Spectre und Meltdown entgegenwirken sollen, schreibt Sascha drüben auf Caschys Blog.

Auch heise.de (via rivva.de) macht auf die Updates aufmerksam, die übrigens nur für die aktuellen Versionen der Betriebssysteme gelten. Für ältere Varianten zeichnet sich (noch) keine Lösung ab.

Lediglich das Update für den Safari gibt es nun in der Version 11.0.1 für OS X E Capitan (10.11.6) und macOS Sierra (10.12.6) bereits, wie Flo schreibt.

Noch setze ich tatsächlich Sierra ‘mit ohne High’ ein, aber komme so langsam ins Grübeln, ob ich nicht vielleicht doch updaten sollte. Andererseits gilt ja auch hier und immernoch ‘Never change a running system’…

Generalschlüssel statt Schlüsselbund?

Das ist gar nicht so gut, was man da auf heise.de (via rivva.de) zum Schlüsselbund unter macOS lesen muss… Nicht mal auf dem iPad bin ich immer eingeloggt, aber beunruhigend ist das irgendwie dennoch…

Das wird eine spannende Bundestagswahl 2017 #btw2017

Am 24. September wählen wir einen neuen Bundestag. Und ja, wir gehen bitte wählen – und wen wir ‘DIE PARTEI’ wählen. Immernoch besser als Nichtwählen.

Heute berichtet der Chaos Computer Club, eine Software zur Auswertung der Wahlergebnisse sei angreifbar (via rivva.de).

Das wird spannend.

Spätestens jetzt ist es Zeit für 2FA in Instagram

Gerade macht ein API-Fehler bei Instagram die Runde, durch den es möglich war, Kontaktadressen von Instagram-Nutzern zu erhalten. Betroffen ist nur geringer Prozentsatz, sagt Instagram selbst – aber das sind eben auch schon 6 Millionen…

ZDNet und Seiten wie Turnon2FA erläutern, wie man für Instagram und andere Dienste Zwei-Faktor-Authentifizierung aktiviert.

Passwörter unregelmäßig und nicht zu häufig wechseln

Ja, ich hab mich auch gewundert – aber dieser Artikel in der SZ klingt stellenweise plausibel. Er ist aus dem August, aber wurde mir wohl im Rahmen des 33C3 in die Timeline gespült.

Einen interessanten Artikel in diesem Kontext gibt’s auf netzpolitik.org zu einer der ersten Online-Banken, N26: ‘Sicherheitsmängel beim Bank-Startup N26: Eine Frage der Prioritäten‘. Den zitierten Vortrag gibt’s hier, viele viele weitere Videos vom 33C3 hier.