Apache: “HTTP Strict Transport Security” auf Debian Server aktivieren

22.05.2014 at 23:42

Um eine SSL Verschlüsselung weiter gegen Schachstellen abzudichten, sollten Sie Ihre SL Zertifikate bzw. der Funktionsfähigkeit regelmäßig selbst überprüfen lassen. Denn neben einem gültigen und guten SSL Zertifikat gehört auch eine entsprechend gute Apache WebServer Konfiguration zum Schutzsystem Ihres Servers bzw. Ihres Systems.

Eine SSL Überprüfung können Sie z.Bsp. hier durchführen lassen:

https://sslcheck.globalsign.com

Sollte bei der Überprüfung eine Fehlermeldung wie z.Bsp. folgende angezeigt werden, dann kann Ihnen dieser Artikel helfen:

“HTTP Strict Transport Security nicht aktiviert.”

Lösung

Öffnen Sie Ihre Apache2 Konfigurationsdatei:

1
nano /etc/apache2/sites-enabled/domainname.com.conf

Fügen Sie dort im SSL Bereich (unter “VirtualHost 1.2.3.4:443″) folgende Zeile ein:

1
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains"

Speichern und schließen Sie die Datei wieder (“Strg+X” drücken) und aktivieren Sie das HTTP Header Modul im Apache:

1
a2enmod headers

Starten Sie nun Ihren Apache-WebServer neu:

1
/etc/init.d/apache2 restart

Prüfen Sie anschließend Ihren Server erneut auf die SSL Sicherheit. Ggf. müssen Sie dafür den Cache bei GlobalSign (sh. auf der o.a. Webseite bei den Ergebnissen) löschen.

Sicherheit: FritzBox sendet Daten an AVM

14.07.2013 at 19:01

Auch die FritzBox (Hersteller ist AVM) sendet teilweise Daten an die AVM-Server.
Diese Option müssen Sie (leider) manuell deaktivieren, denn sie ist im Standard aktiv:

  1. Öffnen Sie die passende Seite auf Ihrer FritzBox:

    http://fritz.box/login.lua?page=/services.lua

  2. Melden Sie sich mit Ihrem Passwort an
  3. Ihnen wird die folgende Webseite angezeigt.
    Deaktivieren Sie die beiden oberen Optionen und wählen Sie “nicht senden” beim Fehlerbericht:

  1. Klicken Sie auf “Übernehmen”

 

Datenschutz: Verstößt hotels.com gegen den deutschen Datenschutz ?

07.06.2013 at 20:34

Wir wurden heute auf das Verhalten der telefonischen Hotline von “hotels.com” aufmerksam gemacht.

Bei einem eigenen Testanruf erhielten auch wir den Hinweis, dass unser Gespräch aufgezeichnet wird. Kein Wort eines Hinweises, dass man widersprechen kann oder um Einverständnis gebeten wird. Also baten wir den Hotline-Mitarbeiter direkt zu Beginn des Gespräches, unser Telefonat nicht aufzuzeichnen. Ihm war keine Möglichkeit bekannt, die Aufzeichnung zu stoppen. Nach seiner Aussage wird “sowieso jedes Gespräch bei hotels.com mitgeschnitten”. Immerhin bot er sofort an, sich bei einem Vorgesetzten zu erkundigen und stellte uns in die Warteschleife.

Nach ca. einer halben Minute wurde das Gespräch wieder aufgenommen und uns mitgeteilt, dass niemand im Haus eine Aufnahme stoppen könnte und/oder wüsste, wo diese Aufzeichnung gespeichert wird.

Das das unerlaubte Mitschneiden von Telefongesprächen nach §201 Abs. 1 Strafgesetzbuch (StGB) bei nichtöffentlich gesprochenem Wort eines anderen auf einem Tonträger mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe geahndet wird ist bekannt. Eine Erlaubnis zum Aufzeichnen von Telefongesprächen durch Call-Center besteht nur dann, wenn die entsprechenden Gesprächspartner (hier der Kunden und der Mitarbeiter) eingewilligt haben oder eine gesetzliche Erlaubnis vorliegt. Wenn wir diese Aufnahme zwar angesagt bekommen (und damit über die Aufnahme informiert sind), jedoch keine Möglichkeit des Widerspruches haben, bleibt die Frage offen, ob dieses Vorgehen erlaubt ist.

Wir haben nun den für uns zuständigen Datenschutzbeauftragen angefragt, ob dieses Verhalten zulässig ist. Die Antwort und den weiteren Verlauf dieses Falles werden wir hier ebenfalls bekannt geben.

Nicht unerwähnt sollte bleiben, dass der Hotline-Mitarbeiter konsequent höflich (wenn auch verunsichert) war und zu keiner Zeit ausfallend wurde. Selbst das ist heute ja leider keine Selbstverständlichkeit mehr.

Datenschutz: Abkommen zur Weitergabe von Passagierdaten

14.05.2012 at 19:23

Die Europäische Union (EU) hat mit den USA ein Abkommen geschlossen. Der Vertrag wurde am 20. April 2012 geschlossen. Nun müssen Fluggesellschaften 19 Angaben über Ihre Passagiere an die Sicherheitsbehörden der USA weitergeben:

  • Name
  • Adresse
  • Sitzplatz
  • Kreditkartennummer
  • Informationen zu Vielfliegerprogrammen
  • Bezahlter Flugpreis
  • Reisebüro
  • Serviceanforderungen wie koscheres Essen
  • Notwendigkeit eines Rollstuhls

Diese Daten werden in den USA vorerst für 5 Jahre gespeichert, dann für 10 Jahre in eine “ruhende Datenbank” (was auch immer das genau sein soll) übertragen und können dann (im Abkommen nicht festgelegt) gelöscht werden. Dienen die Informationen nach Meinung der US-Behörden zur Terrorbekämpfung, dann werden die Daten mindestens 15 Jahre gespeichert.

Die EU-Kommissarin Celilia Malmström freut sich über das Abkommen und lebt es als Kompromiss der “solide Garantien für den Schutz der Privatsphäre enthält, ohne aber Abstriche bei der Sicherheit zu machen”. Eine deutlich besser Meinung aus Sicht des Datenschutzes vertritt dagegen Jan Philipp Albrecht (Innenexperte der Grünen). Er hält die Vereinbarung für eine Mogelpackung, die keinerlei Verbesserungen zu den bisherigen Regelungen aufweist. Der Politiker fordert deshalb, das Abkommen im Europaparlament abzulehnen. Wir stimmen Herrn Albrecht entschieden zu, denn alle Daten werden ohne Verdacht und Anlass gesammelt und übermittelt. Unsere Werte und Vorstellungen des Datenschutzes werden nicht verteidigt.

“Die USA haben eine andere Auffassung vom Datenschutz als wir Europäer”, sagt Sophia in’t Veld (Abgeordnete im Europaparlament von den Liberalen) und niemand weiß, ob die USA solche sensiblen Daten nicht doch für andere Zwecke (Grenzkontrollen, Gesundheitspolitik, usw.) nutzt. Außerdem dürfen die US-Behörden die Daten unter Auflagen auch an Drittstaaten weitergeben.

Bereits jetzt werden die folgenden Daten von Flugreisenden in die USA übertragen. Dabei werden die Daten offiziell nur für Fluggäste mit einem Flugziel in den USA übertragen:

  1. Buchungscode
  2. Datum der Reservierung
  3. Geplante Abflugdaten
  4. Name
  5. Andere Namen
  6. Anschrift
  7. Zahlungsart
  8. Rechnungsanschrift
  9. Telefonnummern
  10. Gesamter Reiseverlauf für den jeweiligen Fluggast
  11. Vielflieger-Eintrag (beschränkt auf abgeflogene Meilen und Anschrift(en))
  12. Reisebüro
  13. Bearbeiter
  14. Codeshare-Information
  15. Reisestatus des Passagiers
  16. Informationen über die Splittung/Teilung einer Buchung
  17. E-Mail-Adresse
  18. Informationen über Flugscheinausstellung (Ticketing)
  19. Allgemeine Bemerkungen
  20. Flugscheinnummer
  21. Sitzplatznummer
  22. Datum der Flugscheinausstellung
  23. Historie über nicht angetretene Flüge (no show)
  24. Nummern der Gepäckanhänger
  25. Fluggäste mit Flugschein aber ohne Reservierung (Go show)
  26. Spezielle Service-Anforderungen (OSI – Special Service Requests)
  27. Spezielle Service-Anforderungen (SSI/SSR – Special Service Requests)
  28. Information über den Auftraggeber
  29. Alle Änderungen der Buchung
  30. Zahl der Reisenden (wenn mehrere Passagiere unter einer Buchung reisen)
  31. Sitzplatzstatus
  32. Flugschein für einfache Strecken (one-way)
  33. Etwaige APIS-Informationen
  34. ATFQ-Felder (Automatische Tarifabfrage)
  35. Die Adresse der ersten Übernachtung in den USA
    Diese Angabe wird seit Oktober 2005 beim Einchecken des Fluggastes abgefragt und an die US-Behörden übertragen

Dabei sind die Angaben häufig sehr weit dehnbar: Z.Bsp. der inhalt der “Allgemeinen Bemerkungen” kann so ziemlich alles weitere an Infos umfassen, was nicht schon in der Liste aufgeführt ist.

Quelle: Deutsches Auswärtiges Amt

Sicherheit: Verschlüsseltes Backup per FTP unter Linux (Debian) mit “duplicity”

11.12.2011 at 21:41

Zuerst muss das “duplicity” Paket installiert werden:

apt-get install duplicity ncftp

Das Paket “ncftp” wird ebenfalls installiert – ansonsten erhalten Sie die folgende Fehlermeldung beim Starten des Backupprogrammes:

sh: ncftpls: not found
NcFTP not found:  Please install NcFTP version 3.1.9 or later

Verschlüsseltes Backup über FTP

Erstellen Sie einen neuen GPG Schlüssel für den Backup-Prozess:

  • gpg --gen-key
  • 1 (RSA & RSA Verfahren)
  • 2048 (2048 Bits sind normalerweise ausreichend)
  • 0 (Der neue Schlüssel verfällt nie)
  • “j” (Sicherheitsrückfrage, dass der Schlüssel nie verfällt)
  • Ihren Namen eingeben
  • Ihre E-Mailadresse eingeben
  • Kommentar eingeben (optional)
  • “f” (Fertig; der Schlüssel kann erstellt werden)
  • Geben Sie ein geheimes Passwort bzw einen geheimen Satz ein.
    Erzeugen Sie sich am einfachsten ein sicheres Passwort mit unserem Passwortgenerator:
    http://www.yourhelpcenter.de/passwortgenerator/
    Merken Sie sich Ihre geheime Eingabe gut – sie wird später regelmäßig benötigt.
  • Das System berechnet nun Ihren neuen GPG Schlüssel.
    Das kann einen Moment dauern und durch parallele Arbeiten auf einer anderen Konsole auf dem Computer beschleunigt werden.
    Durch solche Arbeiten werden im System schneller bessere Zufallszahlen erzeugt.
  • Ihnen werden die Schlüsseldaten angezeigt:
    gpg: "Trust-DB" wird überprüft
    gpg: 3 marginal-needed, 1 complete-needed, PGP Vertrauensmodell
    gpg: Tiefe: 0  gültig:   1  unterschrieben:   0  Vertrauen: 0-, 0q, 0n, 0m, 0f, 1u
    pub   2048R/0B5A2C65 2011-12-10
    Schl.-Fingerabdruck = 43BF DE11 0954 8199 A7283 12BB 2A45 09EE 00A1 E372
    uid                  Mustermann <max@muster.de>
    sub   2048R/9B661A4B 2011-12-10

Sie können sich jederzeit alle auf Ihrem System verfügbaren GPG Schlüssel anzeigen lassen:

gpg --list-keys
/root/.gnupg/pubring.gpg
------------------------
pub   1024D/84EE3A53 2002-02-28
uid                  Carl Peterson <cpeterson@somewhere.com>
sub   1024g/96BE17FA 2002-02-28

Die GPG Key ID finden Sie im oberen Beispiel in der Nummer “84EE3A53“.
Diese Key ID (Schlüsselkennung) werden Sie bei der späteren Sicherung benötigen.

Testen Sie nun Ihr verschlüsseltes Backup

Damit das Backup-Programm “duplicity” sich beim Speichern auf den FTP Server anmelden kann, wird das Benutzerpasswort für den FTP Zugang benötigt (“FTP_PASSWORD”). Für die Verschlüsselung der Daten wird das o.a. geheime GPG Passwort ebenfalls gebraucht (“PASSPHRASE”):

1
2
3
4
5
export FTP_PASSWORD=DasFtpPasswort
export PASSPHRASE=IhrGeheimesGpgPasswort
duplicity --encrypt-key "84EE3A53" --sign-key "84EE3A53" --include /etc --include /home --include /root --include /var --exclude /var/tmp --exclude '**' / ftp://username@backupserver/foldername
unset PASSPHRASE
unset FTP_PASSWORD

Ich persönlich teste das Backupsystem und die Verbindung zum FTP Server jedoch immer gerne mit einem kleineren und damit schnelleren Beispiel – ich sichere nur das “/etc” Verzeichnis:

1
2
3
4
5
export FTP_PASSWORD=DasFtpPasswort
export PASSPHRASE=IhrGeheimesGpgPasswort
duplicity --encrypt-key "84EE3A53" --sign-key "84EE3A53" --include /etc --exclude '**' / ftp://username@backupserver/foldername
unset PASSPHRASE
unset FTP_PASSWORD

Wenn Ihr Testbackup erfolgreich verlief, dann können (und sollten) Sie das Backup regelmäßig automatisch durchführen lassen. Dafür nutzen Sie einfach Ihr Testscript, fügen die Zeile “#!/bin/bash” am Anfang ein und speichern die Datei ab:

1
2
3
4
5
6
#!/bin/bash
export FTP_PASSWORD=DasFtpPasswort
export PASSPHRASE=IhrGeheimesGpgPasswort
duplicity --encrypt-key "84EE3A53" --sign-key "84EE3A53" --include /etc --exclude '**' / ftp://username@backupserver/foldername
unset PASSPHRASE
unset FTP_PASSWORD

Achten Sie darauf, dass das Script ausführbar ist (“chmod +x scriptname”) und tragen Sie den Start in die Crontab ein.

Verbindung zum FTP Server über einen anderen Port (Standard ist Port 21)

Häufig ist es sinnvoll, den normalen FTP Port (21) zu verschleiern und ihn auf einen anderen Port zu verlegen. Dnn müssen Sie Ihr Backup-Script wie im folgenden Beispiel anpassen. Hier wurde Port 5555 gewählt:

1
2
3
4
5
6
#!/bin/bash
export FTP_PASSWORD=DasFtpPasswort
export PASSPHRASE=IhrGeheimesGpgPasswort
duplicity --encrypt-key "84EE3A53" --sign-key "84EE3A53" --include /etc --exclude '**' / ftp://username@backupserver:5555/foldername
unset PASSPHRASE
unset FTP_PASSWORD

Wiederherstellen (Restore) eines Backups von einem FTP Server

Auf dem Computer, auf welchem das Backup wiederhergestellt werden soll, muss der passende GPG Schlüssel eingerichtet sein.
Er muss zwingend dem von Ihnen angelegten Schlüssel (sh. oben) entsprechen.

Um die installierten Schlüssel anzuzeigen nutzen Sie folgenden Befehl:

gpg --list-keys

Im Vergleich zum Beispiel für das Backup muss der Schlüssel “84EE3A53″ vorhanden sein.

1
2
3
4
5
6
mkdir /var/tmp/restorefolder
export FTP_PASSWORD=DasFtpPasswort
export PASSPHRASE=IhrGeheimesGpgPasswort
duplicity --encrypt-key "84EE3A53" --sign-key "84EE3A53" ftp://username@backupserver/foldername /var/tmp/restorefolder
unset PASSPHRASE
unset FTP_PASSWORD

Wiederherstellen (Restore) einer einzelnen Datei von einem FTP Server

Um nur eine einzelne Datei wiederherzustellen, nutzen Sie folgenden Befehl:

duplicity --encrypt-key "84EE3A53" --sign-key "84EE3A53" --file-to-restore home/test/file.txt ftp://username@ftpserver/foldername /var/tmp/file.txt

Wurde die Datei zum Beispiel von einem Tag gelöscht und anschließend wieder ein Backup durchgeführt, dann nutzen Sie die Option “-t 1D”. Dabei steht die Anzahl der Tage vor dem “D”:

duplicity --encrypt-key "84EE3A53" --sign-key "84EE3A53" -t 1D --file-to-restore home/test/file.txt ftp://username@ftpserver/foldername /var/tmp/file.txt

Wiederherstellen (Restore) eines Ordners von einem FTP Server

Im Kern entspricht der Befehl dem vorherigen Beispiel – nur die Option “–file-to-restore” ist anders:

duplicity --encrypt-key "84EE3A53" --sign-key "84EE3A53" --file-to-restore home/test/folder ftp://username@ftpserver/foldername /var/tmp/folder

Anzeigen der Dateien und Ordner in einem Backup auf einem FTP Server

duplicity --encrypt-key "84EE3A53" --sign-key "84EE3A53" list-current-files ftp://username@ftpserver/foldername

Es gibt noch einige andere (nützliche) Befehle.
Eine Übersicht erhalten Sie mit dem folgenden Befehl:

duplicity --help

Kostenlose & gute Alternativen
Duplicati
Wir hatten das Programm bereits gefunden und keine OpenSource Hinweise entdeckt. Die Entwickler von “Duplicati” haben uns kurz nach der Veröffentlichung dieses Artikels angeschrieben und einen Link zu den Quellen gegeben:
http://code.google.com/p/duplicati/source/browse/
Wir werden das Programm in den nächsten Tagen für Sie prüfen (Datensicherheit, etc.) und Ihnen dann hier eine kurze Empfehlung geben.

Sicherheit: Unser kostenloser Online-Passwortgenerator

29.11.2011 at 22:10

Ein sicheres passwort ist der einfachste Schutz gegen unberechtigtes Einsehen in Ihre vertraulichen und privaten Daten.

Leider denken sich viel zu wenig PC- und Internetbenutzer wirklich sichere Passwörter aus. Immernoch werden allzu gerne Vornamen, Spitz-, Tier- und Kosenamen genutzt. Am schlimmsten sind wohl noch die eigenen Vornamen oder stets das gleiche Passwort … möglichst noch viele Jahre lang.

Damit jeder Benutzer einfach, schnell und sicher seine eigenen Passwörter erstellen kann haben wir Ihnen unseren kostenlosen Online-Passwortgenerator zur Verfügung gestellt:

http://www.yourhelpcenter.de/passwortgenerator/

Hier können Sie sich unkompliziert Passwörter bis zu 40 Zeichen erzeugen lassen. Dabei erhält jeder Besucher stets ein anderes Passwort – wenn Sie die Seite also mehrfach aufrufen, dann erhalten Sie jedes Mal ein anderes Passwort.

Datenschutz: Einspruch gegen Google StreetView einlegen

14.08.2010 at 9:31

Ein Widerspruch gegen die Veröffentlichung von Aufnahmen der eigenen Person, eigenen Kraftfahrzeugen und selbst bewohnten oder genutzten Gebäuden und von Grundstückseigentum kann und sollte bei Google eingelegt werden.

Der Datenschutzbeauftragte aus Hamburg stellt Ihnen sehr gute Informationen bereit. Das PDF Dokument finden Sie unter: http://www.hamburg.de/contentblob/2453512/data/vorab-widerspruch-google-street-view.pdf

Es werden die unterschiedlichen Möglichkeiten und Wege erklärt. Die unterschiedlichen Fristen und das richtige Verhalten.

Ca. ab dem 17.08.2010 will Google online ein Tool für den Einspruch anbieten. Es ist zu finden unter www.google.de/streetview. Bereits heute können Sie dort Informationen über Google Street-View finden – natürlich nur die positiven Aspekte und Vorteile des Dienstes. Mit Trickfilmchen à la Sesamstraße führt man die “Sicherheit” von Google Streetview vor … trotzdem möchten wir Ihnen aus Datenschutzgründen dringend zum Einlegen Ihres Widerspruches anraten.

Sie können auch schriftlich Widerspruch einlegen. Schreiben Sie dafür an:

Google Germany GmbH
Betr.: Street View
ABC-Straße 19
20354 Hamburg

WordPress: Revisionen eines Artikels löschen (Historie löschen)

06.08.2010 at 21:12

Das CMS “WordPress” stellt Ihnen Ihre alten Versionen der Artikel zur Verfügung. Unter jedem Artikel können Sie im Abschnitt “Revisions” jede (gespeicherte) Änderung des Artikels nachvollziehen und auf Wunsch mit einer anderen Version des Artikels vergleichen lassen.

Diese manchmal recht praktische Funktion kann jedoch auch unerwünscht sein und ggf. Datenbank-Ressourcen belegen. Zugegeben, es sind keine sehr großen Datenmengen – jedoch kann mit der Zeit und entsprechend vielen Artikeln auch hier eine stattliche Anzahl an Datenbankeinträgen zusammen kommen.

Um hier aufzuräumen und diese alten Datensätze endgültig zu löschen, nutzen Sie folgendes SQL Script:

DELETE FROM wp_posts WHERE post_type = 'revision'

Führen Sie den vorherigen SQL Befehl auf Ihrer entsprechenden WordPress Datenbank aus. Dafür können Sie z.Bsp. die kostenlose und Open Source Datenbankverwaltung “phpMyAdmin” nutzen. Achten Sie dabei darauf, dass Sie ggf. den Prefix der Tabelle (hier: “wp_”) anpassen müssen. Das ist jedoch nur dann erforderlich, wenn Sie bei der Installation einen eigenen Prefix gewählt haben. Sollten Sie sich nicht sicher sein, können Sie den SQL Befehl trotzdem ausführen – ist die Tabelle nicht vorhanden, erhalten Sie eine entsprechende Fehlermeldung und keine Daten wurden gelöscht.

Wenn Sie sich zuvor die zu löschenden Daten ansehen möchten, dann hilft Ihnen dieser SQL Befehl weiter:

SELECT * FROM wp_posts WHERE post_type = 'revision'

Apache: Verzeichnisse mit Passwort schützen (htpasswd)

20.07.2010 at 19:43

Mit dem Apache Webserver wird ein Hilfsprogramm ausgeliefert: htpasswd

Es ermöglicht Ihnen die einfache Erstellung von Passwortdateien. Am einfachsten ist es über die Kommandozeile zu bedienen. Mit dem Aufruf “htpasswd -h” erhalten Sie eine kurze Hilfe und Syntax.

Beispiel:

htpasswd -c .htusers peter

Durch diesen Befehl wird eine neue Passwortdatei angelegt. Dabei müssen Sie für den neuen Benutzer “peter” ein Passwort angeben und (durch eine wiederholte Eingabe) bestätigen.

Kopieren Sie die neu erstellte Datei in das vorgesehene, zu schützende Verzeichnis auf Ihrem Internetserver (WebServer).

Datenschutz: Keine Kartografierung privater Funknetze (Politik)

12.07.2010 at 21:02

Die CDU/FDP Koalition hat in Schleswig-Holstein einen Antrag “Keine Kartografierung privater Funknetze” beim Landtag eingereicht. Es fordert ein weitgehendes Verbot für die gewerbliche Nutzung von WLAN- und Handy(netz)daten

Dieser basiert auf einen dem Bundesrat von der Freien und Hansestadt Hamburg vorgelegten Entwurf eines Gesetzes zur Änderung des Bundesdatenschutzgesetzes  (Drucksache 259/10). Konkret soll dieser Antrag datenschutzrechtliche Ergänzungen erhalten:

  • Es soll eine klare Regelung geschaffen werden, die jedes gewerbsmäßige kartografische/planmäßige Erfassen privater Funk(netz)daten ohne die ausdrückliche vorherige Zustimmung der Betroffenen verbietet.
    Gleiches soll für die gewerbsmäßige Aufzeichnung von Daten aus Mobiltelefonen oder vergleichbarer Sendeanlagen für den Privatgebrauch, unabhängig von deren Verschlüsselung, gelten.
  • Ausnahmen für ausschließlich wissenschaftliche Zwecke können zulässig sein. Dabei soll eine Weitergabe an Dritte untersagt werden.
  • Die in Deutschland bereits gesammelten (privaten) Funknetzdaten dürfen ohne Zustimmung der Betroffenen nicht gewerbsmäßig verwendet oder weitergegeben werden.
  • Sanktionen bei Verstößen sollen geschaffen werden.

Den genauen Wortlaut können Sie der nachfolgenden Quelle und den angeführten Drucksachen entnehmen.

Quelle:
Drucksache 17/601 vom 03.06.2010