Hommel-Net Weblog

Aloha!

Falls es jemand aufgrund des schönen Wetters am Wochenende verpasst hat: Die Entwickler haben eine neue Beta der kommenden Serendipity-Version 2.0 freigegeben, genauer gesagt die 2.0beta3.

Die Beta ist immer noch nicht für den produktiven Betrieb empfohlen, enthält aber viele Fehlerbereinigungen und Vorschläge von Benutzern, z.B. aus dem Forum. Wenn ihr die Version auf einem Testblog (oder ganz mutig eventuell auch produktiv) im Einsatz habt, solltet ihr auf jeden Fall aktualisieren.

Vor der endgültigen Freigabe wird es noch einen Releasekandidaten geben, genaue Termine gibt es allerdings noch nicht. Jetzt ist ja auch erstmal Sommer.

Ich nutze seit der Abschaltung des Google Readers die Software Selfoss, die man auf einem eigenen Server oder Webspace selbst hosten kann. Heute ist eine neue Version erschienen, die kleinere Änderungen im Backend und Fehlerkorrekturen enthält. Es ist nur ein kleiner Versionsschritt von der 2.10 auf die 2.11, hier das dazugehörige Changelog:

Version 2.11

• little fix to Polish translation
• instapaper spout: use HTTPS
• A new spout to get full text for entries in the Teltarif RSS feed
• fix pgsql VACUUM ANALYZE syntax error
• A new spout to get full text for entries in the Lightreading RSS feed
• Multi-language support of search and error fix.
• Make it possible to disable auto stream more, add handy "Mark these read" button
• Use PHP to set the fore color of all tags
• itemsPerPage value is set from INI file.
• API header returns application/json
• added estonian translation
• allow sub and sup elements
• entry CSS tweaks
• REST API : Get only items updated since given time #532
• Bugfix: API REST : /login should return true if auth is disable
• Bugfix: Heise feed pull kills Update process #499
• Bugfix: https for openshift #488
• Bugfix: heise spout error handling #517

Das Update war unproblematisch, es sind die bekannten Hinweise auf der Selfoss-Homepage zu befolgen, dort gibt es auch die aktuelle Datei zum Download. Und natürlich: Vorher ein Update machen.

Ich schreibe hier im Blog immer mal wieder, wenn es Neuigkeiten zu den Sicherungsverfahren im Onlinebanking gibt. Hier nochmal die bisherigen Artikel dieser Reihe:

1. Teil: SMS-TAN

2. Teil: Chip-TAN (SmartTAN)

3. Teil: HBCI-Kennung

4. Teil: HBCI-Chipkarte

5. Teil: photoTAN

Heute geht es um ein Verfahren, dass es seit kurzem und bisher nur bei der Sparkassen-Organisation gibt: die pushTAN.

Funktionsweise

Bei der pushTAN handelt es sich, wie der Name schon vermuten lässt, um ein PIN/TAN Verfahren, bei dem die TAN über ein zweites Medium getrennt vom Onlinebanking übertragen wird. Ähnlich wie bei der mobile/SMS-TAN erhält der Kunde die TAN zu seiner Transaktion auf sein Handy. Der Unterschied ist, dass die Übertragung nicht über eine SMS erfolgt, sondern über eine spezielle App, die auf dem iOS- oder Android-Gerät installiert werden muss.

Der Kunde erhält einen Registrierungsbrief, mit dem er die App mittels eines QR-Codes mit seinem Onlinebanking verbinden muss. Um eine TAN zu erhalten, gibt man im Onlinebanking den Auftrag ein, danach geht man in die pushTAN-App und meldet sich mit dem dort vergebenen Zugangspasswort an. Die App zeigt dann noch einmal die Auftragsdaten, die wie bei allen Zwei-Schritt-TAN-Verfahren vom Kunden nochmals sorgfältig zu prüfen sind. Danach zeigt die App die TAN an, die im Onlinebanking zur Freischaltung des Auftrags eingegeben werden muss.

Ein ausführliches Erklärvideo (Update am 29.12.2015: Das Video ist nicht mehr aufrufbar. Stattdessen gibt es eine Erklärseite zum Verfahren auf sparkasse.de) findet man zum Beispiel auf der Seite der Sparkasse Hannover. Nutzen kann man das Verfahren bisher im Internetbanking der Sparkassen und in den Finanzsoftware-Produkten StarMoney und SFirm.

Sicherheit

Bei der SMS- bzw. mobileTAN raten die Banken davon ab, das Banking auf dem selben Smartphone durchzuführen, auf welches die TAN-SMS gesendet wird. Bei der pushTAN hält die Sparkasse die Trennung der Kanäle für so sicher, dass das Verfahren ausdrücklich für die gleichzeitige Nutzung auf einem Gerät empfohlen wird.

Man kann also auf einem Smartphone die Sparkassen Banking-App und die pushTAN-App nutzen. Ob das wirklich sicher ist, wird die Zukunft zeigen. Durch die kurze Zeit, die das Verfahren auf dem Markt ist und die Beschränkung auf nur eine Bankengruppe sind die Erfahrungen noch zu gering. Es ist noch keine Schadsoftware bekannt, die die pushTAN angreift. Zumindestens sollte man als Zugangspasswort für die pushTAN-App nicht das gleiche Passwort wie für das Onlinebanking selbst nutzen.

Einsatzmöglichkeiten und Fazit

Das pushTAN Verfahren schliesst eindeutig eine Lücke. Für Kunden, die das Banking mit dem Smartphone nutzen, gab es bislang keine bequeme Möglichkeit, über ein Zwei-Schritt-Verfahren an eine TAN zu kommen. Ich bin etwas skeptisch, ob die Trennung der Kanäle auf einem Gerät einer Schadsoftware standhalten wird. Momentan ist es aber eine gute Möglichkeit, auch mobil sicher Onlinebanking zu betreiben, so man denn ein Konto bei einer Bank der Sparkassengruppe hat.

 

Ok, das hier wird etwas persönlicher, als ihr es sonst von mir gewohnt seid. Oben auf dem Bild seht ihr unseren Kaninchenstall (wie man am Wetter sieht, kein ganz aktuelles Foto). Das Ding ist ziemlich groß, 5 Meter breit und ca. 2 Meter hoch.

Mein Vater hatte damals immer Kaninchen - die großen zum Essen - und nach seinem Tod vor 26 Jahren habe ich den Bestand übernommen und weiter gezüchtet. Die Kaninchen waren in einem gemieteten Garten untergebracht und mussten dann in meinen Garten umziehen. Mein Opa, der leider auch nicht mehr lebt,  hat mir dann diesen Stall gebaut. Nach der Geburt unserer ältesten Tochter wurde die Zeit für die Kaninchenzucht knapper, die letzten Jahre waren nur noch kleine Zwergkaninchen zum Streicheln dort zu Hause und seit 5 Jahren steht er gänzlich leer.

Dieses Jahr habe ich mich dann schweren Herzens dazu durchgerungen, den Stall abzubauen. Wir brauchen noch etwas mehr Platz für eine Sitzecke  im Garten. Außerdem verfiel der Stall zusehends durch die Nichtnutzung. Wir haben zunächst versucht, ihn kostenlos an einen Selbstabholer abzugeben, aber bei der Größe und den vorhandenen Schäden war das aussichtslos. Also blieb nur der Abriss.

Heute Morgen war es so weit. Das Abrisskommando in Gestalt von K2 (7) und Papa (ich) rückte an und begann mit dem Abbau. Der Stall wurde sorgfältig zerlegt (also, ich habe versucht, beim Abbau möglichst nichts kaputt zu machen) und das Holz zur weiteren Entsorgung erstmal aufgestapelt.

Und nun ist er weg, ich bin etwas gespalten zwischen der Freude, endlich mehr Platz im Garten zu haben und etwas Wehmut, denn der Stall ist auch eine Erinnerung an meinen Opa und meinen Vater gewesen.

Manchmal ist es einfach schwer, sich von Dingen zu trennen, die einen schon so lange begleitet haben und an denen viele Erinnerungen hängen, auch wenn man sie eigentlich gar nicht mehr nutzt oder gebrauchen kann.

Piwik, die freie Alternative zu Google Analytics zum selbst hosten ist in der Version 2.4.0 erschienen. Wie die Entwicker im Changelog bekannt geben, wurde eine XSS-Sicherheitslücke in der Anwendung behoben.

Außerdem wurden insgesamt 60 Fehlertickets mit dieser Version bereinigt. Ein Update wird dringend empfohlen. Das geht bei kleineren Installation auch ganz einfach mit ein paar Klicks automatisch.

Wenn das Update in euerer Piwik-Installation nicht automatisch angezeigt wird, geht ihr in die Einstellungen und klickt oben rechts auf "Nach Aktualisierungen suchen". Danach einfach den Link zur Aktualisierung klicken und den Anweisungen folgen. Hat bei mit nicht mal 2 Minuten gedauert, eine sehr komfortable Funktion von Piwik.