Kategorie: Cybersecurity

Das neue Datenschutzgesetz Schweiz 2023

Ab dem 1.September 2023 gilt ein neues Datenschutzgesetzt in der Schweiz.

Zukünftig müssen Seitenbesucher über die Verwendung Ihrer Daten, bescheid Wisssen. Zusätzlich muss auch wie in den EU Ländern bei z.B. verwendung von Cookies eine Zustimmung des Benutzers erfolgen.

Dies ist vor allem der Fall bei benutzerdefinierten Werbeanzeigen. In den EU Ländern gilt dies schon länger nun hinckt auch die Schweiz nach.

Konkret heisst das, dass jeder Webbesucher, der seine Personenbezogenen Daten nicht auf Anfrage löschen kann oder ohne Zustimmung personenbezogene Daten verwendet werden. Den Webbetreibenden zur Klage ziehen kann.

Ich finde das Zeitfenster sehr kurz um dies überall umzusetzten. Also wird es möglicherweise eine Flut von Klagen mit sich ziehen. Da die Schweizer Bevölkerung, jedoch nicht direkt davon Bescheid weiss oder wissen wird. Könnte es auch gar nicht so schlimm werden.

Auf jeden Fall habt Ihr nun das Recht zu Wissen was und wo Ihre Daten landen oder was mit Ihnen passiert.

Das neue Datenschutzgesetz Schweiz 2023 – Einführung und Auswirkungen auf Unternehmen, Agenturen und Webentwickler

Sicherheitslücke auf Open Air Zürich Website

Ich habe eine Sicherheitslücke auf https://zurichopenair.ch gefunden.

Ich habe es gemeldet und hoffe auf eine rasche Antwort.

Ich bitte darum die Lücke nicht zu Missbrauchen. Dies könnte einen Rechtsstreit auslösen.

Falls Sie jedoch darauf verzichten und meine Warnung ignorieren, muss ich es dem Bundesamt bekannt geben.

Dies ist keine Aufforderung einen XSS Angriff auszuüben. Ausserdem ist es bei umfangreicheren Angriffen strafbar.

Ich übernehme keine Haftung, für solche Angriffe. Dies ist ausserdem keine Anleitung für einen schädlichen Angriff.

Sicherer Login

Login mittels E-Mail: Wie bei der Registrierung geschrieben, sollte der Benutzer sich aus Aspekten der Benutzerfreundlichkeit mittels der E-Mail Adresse einloggen können. Gerne auch weitere Login-Mechanismen wie die von Facebook, Google oder Twitter anbieten.
Session Hijacking verhindern: Um Session Hijacking zu verhindern, solltet ihr nach der Überprüfung der E-Mail-Adresse und des Passworts die Funktion session_regenerate_id() aufrufen um so eine neue, frische Session ID zu erzwingen.
Übertragung des Logins per HTTPs: Um neugierige Ohren abzuwehren sollte der Login mittels HTTPs sicher verschlüsselt übertragen werden. Immer mehr User sind mobil auf ihrem Smartphone unterwegs, dort ist die Absicherung der Übertragung meistens besonders schlecht.
Anzahl der Login-Versuche überprüfen: Um Brute-Force-Attacken auf eure Mitgliederkonten zu vermeiden sollten fehlgeschlagene Logins protokolliert werden. Treten zu häufig fehlerhafte Logins auf, bietet es sich an die IP oder gar den Benutzer zu sperren. Aber Achtung, damit kann man auch schnell legitime Nutzer verprellen die ihr Passwort vergessen haben und verschiedene Kombinationen ausprobieren.

App Store

F-Droid Websiten Ansicht

Ich habe festgestellt, dass im Google Store viele Apps manipuliert und auch veraltet sind. Ich bin nicht so mit dem Galaxy Store und dem Apple Store vertraut. Ich habe trotzdem einen sehr guten App Store gefunden, der meistens die aktuellsten Apps zum Download zur Verfügung stellt. Diese Apps sind auch nicht manipuliert und werden direkt vom Hersteller übergeben. Bei empfindlicheren Apps wird man auf alles hingewiesen. Auch alle Informationen sind freigelegt.

Der Name des Stores ist F-Droid. Er kann auf https://f-droid.org für Android Geräte heritergeladen werden.

Es gibt immer mehr Apps die einen guten Eindruck machen, jedoch Schadcode enthalten.

Ich werde zukünftig auch diesen Store benutzen.

Viel Spass beim ausprobieren.

Kali Linux

Ich liebe es damit zu arbeiten.

Leider komme ich wenig dazu. Es werden fälschlicher Weise viele Vorurteile bezüglich Kali herumgesprochen.

Es soll angeblich jeder ein Hacker sein der diese Software benutzt. Das stimmt natürlich nicht.

Ausserdem sind Hacker nicht alle booshaftig. Es wird unterschieden zwischen white hacker, grey hacker und dark hacker. Der white Hacker sucht nach Sicherheitslücken, damit diese frühzeitig behoben werden können. Der dark hacker handelt meistens um sich einen Vorteil zu schaffen oder jemandem zu Schaden. Der grey hacker ist etwas dazwischen, jedoch wollen diese keine Schäden verursachen.

Ich arbeite noch gerne mit sqlmap. Auf https://self.mdisch.ch/sqlmap.php habe ich mal etwas darüber geschrieben. Ich habe hier noch ein Bild gefunden, dass sqlmap im Betrieb anzeigt.

sql map
sql injektion

Hier werden Datenbankinformationen abgerufen, da diese Seite offenbar eine Sicherheitslücke hatte. Welche Website es war werde ich nicht veraten, ich habe den Besitzer jedoch darauf hingewiesen. Solche Sicherheitslücken entstehn oft, wenn die Website nicht gewartet wird.

Es gibt natürlich unzählige Tools in Kali Linux, die jedoch auch auf jedem anderen Linux System installiert werden können.

Wie das Tool commix das ich auch kurz auf meiner älteren Seite erwähnt habe.