Google sicherer

Es ist schon ein paar Wochen her, ich wurde im Freundeskreis wegen diverser Computerprobleme (Layer 8) gerufen.

Einer der Probleme war …ach das ist ja schön mit dem Android mailen und chatten…. aber du machst das ja auch am PC, will ich auch…. Und damit gings dann los. PC an, Browser auf, ab zu Tante Google, oben rechts gibts den Button Anmelden, E-Mail-Adresse und Passwort eingeben. Passwort? Ach ja…. Eingegebener Nutzername oder Passwort ist falsch. Nochmal versucht, immer noch falsch.Na dann klick doch mal auf das Fragezeichen hinter dem Hinweis, sicher hilft Tante Google weiter (hoffe ich, hatte ich noch nicht, ich hab meine Passwörter im Kopf oder sonstwo gesichert), aha Handy-Nummer, Erinnerungsfrage, diverse Fragen zur bisherigen Nutzung…… nichts hilft wirklich weiter.

Das Problem dabei war vor allem dem Hilfesuchenden zu vermitteln, dass diese Schritte ja auch von jedem Fremden/Angreifer so durchgeführt werden könnten. Der Anbieter (in dem Fall Google) muss also schon sicher sein, dass die Person, die hier vorgibt das Passwort nur „vergessen“ zu haben, auch wirklich die berechtigte Person ist. (kann ja jeder sagen)

Google hat hier schon so einiges zu bieten und hilft mit Fragen recht weit und durchdacht. Aber wenn man beim Einrichten eines Accounts sorglos ist, keine gültige Mailadresse und/oder Mobilnummer angibt oder diese Daten veraltet sind, hilft es halt nix, wenn das Kind in den Brunnen gefallen ist.

Auch ein noch funktionsfähiges eingeloggtes Android hilft hier nicht weiter. Schliesslich könnte ein verlorenes/gestohlenes Handy ja sonst als Ausgangsbasis für eine „feindliche Übernahme“ des Accounts missbraucht werden. Ok, das war hier nicht der Fall, das Smartphone befindet sich weiterhin im rechtmäßigen Besitz der Person. (In dem Zusammenhang frage ich mich aber auch, was ist zu tun, bei Diebstahl des Mobilgerätes mit einem funktionierenden Google Account, dessen Passwort der Accountinhaber nicht mehr hat *hierfür gerne mal Kommentarfunktion nutzen)

Ende vom Lied war, der alte Account (und noch ein Google-Account mit dem gleichen Problem) liegen jetzt weiter auf dem Androiden, bis der mal das zeitliche segnet und es wurde ein neuer Account erstellt, am PC „…für den ich mir jetzt aber ganz ehrlich ganz sicher das Kennwort notiert habe...“ na dann, die Hoffnung stirbt zuletzt?

Das ganze brachte mich aber mal dazu, meinen eigenen Account zu prüfen, was wäre wenn… Ok alles gut eine valide alternative Mailadresse und eine gültige Handynummer sind hinterlegt. Und falls beides mal irgendwann nicht mehr funktioniert, gibt es für beide noch eine alternative Nummer/Adresse.

Kann eigentlich nix mehr schief gehn oder??? Hm und wenn der Account gehackt wird und auch diese Infos gelöscht, verändert werden?

Vor einigen Tagen wurde ich dann von einem Kollegen auf ein Sicherheitsfeature für meinen Google-Account hingewiesen und gestern habe ich mir das mal selber angeschaut. Es geht um die Zwei-Wege-Authentifizierung.

Jeder der Onlinebanking nutzt kennt die diversen PIN/TAN Verfahren. Es reicht nicht sich einzuloggen, sondern man muss einen einmaligen Code aus einer Liste oder einen temporär generierten Code eingeben, zumindest um eine Aktion, wie Überweisung, anlegen/ändern/löschen eines Dauerauftrages usw. auszulösen.

Dieses Prinzip hat Google aufgegriffen und bietet oben erwähnte Methode optional an, in den Einstellungen zum Google Konto (bitte nicht mit den gmail Einstellungen verwechseln) unter Sicherheit gibt es die Option Bestätigung in zwei Schritten.

Ist diese Option eingeschaltet, wirst du beimLogin ausser nach deinen üblichen Zugangdaten noch nach einem Code gefragt, den du per SMS oder Sprachnachricht am Handy/Telefon bekommst oder aber per App auf deinem Smartphone. Letzteres funktioniert auch wenn das Handy mal kein Netz hat (vergleichbar, mit den kleinen TAN Generatoren die manche Banken ihren Kunden anbieten). Für das Internetcafe im Urlaub oder im Falle eines defekten/nicht verfügbaren Handys gibts dann auch noch eine Liste mit Codes zum ausdrucken. Einfach in die Brieftasche und du bist im Fall der Fälle gewappnet.

Zusätzlich kannst du vertrauenswürdige Rechner (z.B. deinen PC zuhause) als vertrauenswürdig einstufen, an diesem wirst du dann nicht ständig nach diesem Code gefragt.

Welchen Rechner der Anwender als vertrauenswürdig einstuft, muss jeder selber entscheiden, den Rechner im Internetcafe wohl sicher nicht, auch nicht den Firmenrechner und vielleicht auch nicht das Netbook das sich häufig in öffentlichen WLANs verbindet.

Alles in Allem gefällt mir diese Idee und bringt für uns Anwender wieder ein Stück mehr Sicherheit

Zwei-Wege-Grüße DxU

update zum Thema: Heise Artikel vom 26.02.2013 Googles Zwei-Faktor-Authentifizierung ausgetrickst

Hosteurope nutzt jetzt Open-Xchange

jaja so ist das, da nutzt man dauernd einen neuen client , eine neue Methode, probiert was und haut sich selber auf die Brust. Und dann bekommt man garnicht mit, wie weit andere schon längst sind.
So läuft auf meinen verschiedenen Rechnern zum Abruf von mail neben dem guten alten kmail/kontact (und dann auch noch unter KDE 3.5.10) auch noch thunderbird 3 (und seltener auch mal Version 2), kmail von kde4 war auch schon am Start und hat mich nicht überzeugt, evolution usw. usf.
Dann kam der eigene V-Server und damit waren dann so tolle Sachen wie roundcube möglich, ein Webmailer, der mich bei meinem Hoster HostEurope schon lange faszinierte, wenig später versuchte ich mit vielen Fehlschlägen und irgendwann doch erfolgreich GroupOffice und  tine 2.0. An dieser Stelle auch mal ein Dankeschön an das Tine 2.0 Team auf dem LinuxTag.org 2011 in Berlin. Eure Tipps und Tricks am Stand waren super. Na und wenn ich schon mal dabei bin, auf der Startseite von tine 2.0 gibts ein paar sehenswerte Videos, schön gemacht ist dort auch der Rückblick des Teams auf ihren Besuch bei den Chemnitzer Linuxtagen 2010.
Aber zurück zum Thema, Clients , Clients und noch mehr Clients. Und jetzt bekam ich den Tipp, doch mal wieder den Webmailer von HostEurope zu besuchen. Und was sehe ich? Bei der Wahl der Weboberfläche tut sich was. Oder es hat sich längst was getan. neben dem alten klassischen Webmailer (naja ok, kann man nutzen, funktioniert auch ordentlich) und dem Webmailer 2.0 (roundcube, AJAX Funktionalität, coooool) jetzt -boah-  Webmailer Pro. Da läuft jetzt Open-Xchange drauf. Und mein erster Eindruck: richtig geil umgesetzt. Beim ersten Login, werden die zum Konto bestehenden Mailadressen angeboten, du wählst die gewünschte, wartest ein paar Minuten und nach dem Login erwartet dich ein Assistent für die ersten Schritte. Du entscheidest selber,wieviel der Features du nutzen willst. Gängige Mailprovider können eingebunden werden, ok, solche Lösungen sind nicht neu, aber hier einfach mal schön umgesetzt. (Google bietet sowas ja auch seit einiger Zeit an und auch deren Lösung ist echt Klasse.)
Ok ich habs einfach mal versucht, mein GMX Account in den neuen Webmailer eingebunden, klappt. Appropos GMX, normal rufe ich meine gmx mail ja noch per pop3 ab. Für den Freeaccount bieten die leider kein imap. Laut GMX-Hilfe ist das auch jetzt noch so. Komischererweise, klappte der pop3-Abruf über den neuen Webmailer von HostEurope nicht. Und aus nicht nachvollziehbaren Gründen , wider besseren Wissens, versuchte ich einfach mal imap und wow, es funktioniert.
Das wollte ich jetzt wissen, schnell mal eine neue Instanz von thunderbird 3 gestartet. GMX Konto dort eingerichtet (der Assitent sucht sich ja nach Eingabe der Logindaten die passenden Protokolle und Server recht zuverlässig selber) und siehe da: Ja GMX Fremail, kann imap inkl. ssl/tls. naja wird ja auch Zeit irgendwie oder?

webmailende Grüße DxU

P.S. nicht vergessen, bei der beschriebenen Methode zum Abruf anderer Konten über einen Anbieter, vertraut ihr diesem die Logindaten an, eigentlich klar, aber vor lauter Spielfreude, vergisst man das schon mal, das musste noch gesagt werden

t-online mit thunderbird3

Der Rosa Riese lernt ja so langsam dazu.
Heute wurde ich auf das Thema aufmerksam gemacht. Angeblich funktioniere bei t-online im Basic Tarif immer noch kein pop3 und imap. Die Hotline habe dazu auch nur Auf den Webmailer oder die t-online Software verwiesen. „nein imap und pop3 funtkioniert beim Basic tarif nicht, da müssen sie schon einen kostenpflichtigen Tarif wählen“. Ok, ok, soviel butze ich das Mangenta Zeug s nicht. Aber interessiert hats mich dann doch, also einfach mal ein Passwort für t-online-mail im Kundenfenster festgelegt und dann Thunderbird gestartet. Mit dem Wizard neues Mailkonto angelegt und automatisch die Konfigurationsdaten suchen lassen. Dabei gibts einen kleinen Trick, du mußt es erst falsch machen um die richtigen Daten zu bekommen. Benutzername ist nur der Präfix und nicht die gesamte Mailadresse. Also NAME statt NAME@t-online.de. Aber damit weiss Thunderbird eben nicht wo er suchen soll. Also wenn du den Assistenten trotzdem nutzen willst ohne manuell groß zu friemeln, gib vorerst die komplette Adresse als Username ein. Und wenn der Wizard sich dann über fehlerhafte(n/s) Benutzernamen oder Passwort beschwert, hat er dann aber schon die möglichen Protokolle und Server gefunden, vorzugsweise imap alternativ aber auch pop3. Und beides zusammen mit smtp sogar geschützt per ssl/tls bzw. starttls. Ändere an der Stelle dann den Benutzernamen, wie beschrieben und schließe die Einrichtung ab. Fertig. Wow, dafür dass ich das Konto nie genutzt habe, ist es ordentlich voll.

t-online’ige Grüße DxU

Der runde Würfel

Moin Gemeinde,

und wieder ist ein Stammtisch von Ubuntu-Berlin vorbei. Am Mittwoch war es wieder so weit, beim gepflegten abendlichen Bier, trafen wir uns wieder in der c-base und tauschten Erfahrungen rund um unser Lieblings-Linux aus. Am Ende des Abends, habe ich wieder ne Menge Wissen mitgenommen und vorher auch in die Tat umgesetzt. Und so hat mein V-Server jetzt wieder eine Funktion mehr: dxupara.de/rc bietet jetzt den lange vermissten und ersehnten browserbasierenden Mailclient, auch Webmailer genannt. Ich habe dabei wieder eine Menge über Apache und auch ein wenig über php gelernt. Besonders Fragen der Sicherheit, standen stets mit im Vordergrund. Ganz nebenbei, fielen auch einige Tipps und Tricks zu vim ab. Vielen Dank mal an der Stelle an Marian, du solltest unbedingt mal Workshops dazu halten.

webmailende Grüße DxU

mein erster VServer…

…oder „Der Weg ist das Ziel“

Vor einigen Monaten hat mir ein Mitstreiter von Ubuntu-Berlin ein tolles Angebot gezeigt. Ein V-Server für den schmalen Geldbeutel. Nicht die schnellste Maschine aber doch ein sehr gutes Preis/Leistungsverhältnis

So hat es nicht lange gedauert und ich habe das Teil gemietet, inklusive eigener Domain, einem vorinstalliertem Debian Lenny mit SysCP als Konfigurationsoberfläche. Seit dem habe ich viel von Freunden und Kollegen an neuem Wissen eingeholt, vieles im Netz gelesen und ausprobiert.

Der erste SSH Login, umschauen im System, tja und dann?

SysCP interessante Serverbedienung, aber irgendwie nicht das wa sich will.

Neuinstallation, diesmal Debian Lenny mit vorinstalliertem ISPConfig, schon besser, auch lokalisiert. Aber auch das war nicht wirklich das was ich erwartet habe. Nach eine weiteren Neuinstallation eines „nackten“ Debian Lenny bekam ich von einem Kollegen den Tipp doch einfach mal die Dokumentationen bei HowtoForge zu durchwühlen. Und siehe da, ein ganz tolles Tutorial fand ich dort mit:

Der Perfekte Server – Debian Lenny (Debian 5.0) [ISPConfig 3] (interessant für mich ab Seite 4)

Jetzt wurde es langsam spannend. Aber auch damit war ich nicht wirklich zufrieden. Und irgendwann erinnerte ich mich an Webmin

Ein paar weitere Neuinstallation und ich landete schliesslich bei Ubuntu 9.04 Server. Ja, na endlich mein System der Wahl. Irgendwie fühlte ich mich da gleich ein wenig heimischer. Und mit Webmin und weiteren schlaflosen Nächten vor dem Monitor habe ich nach Wochen jetzt endlich ein System, das auch mal länger als eine Woche meine Experimente übersteht.

Inzwischen läuft ein nur halb konfigurierter Mailserver (dovecot und postfix) ein Apache2 (darüber funktionieren inzwischen auch einige Webseitenversuche und diverse Webfrontends für Serverdienste, wie das erwähnte webmin) und ganz neu ein voll funktionstüchtiger jabber Server, den ich auch mit einem ersten Account bereits selber nutze. Als Server Software kommt hier übrigens ejaberd zum Einsatz,was wohl ein sehr beliebter Server ist, wenn ich mir hier und anderswo die Liste der nutzenden Anbieter anschaue.

Wieder sind Monate ins Land gegangen, mein vServer lief, aber eigentlich habe ich die ganze Zeit nur den jabber Dienst wirklich genutzt, der läuft  dafür aber auch die ganze Zeit ohne zu murren.

Email klappte so leidlich, dank Postfix, konnte ich immerhin im Terminal (ssh Login auf dem Server) mit mutt mails senden und empfangen. Dovecot als pop3/imap Server funktioniert und dank SASL sogar TLS verschlüsselt. Nur gab es keinen Weg zum senden per SMTP

Schließlich gabs am Mittwoch mal wieder einen Ubuntu-Berlin Stammtisch in der c-base, entsprechend der so langsam überall entstehenden Weihnachtsstimmung, diesmal mit Gebäck, Stolle, Dominosteinen….. Beim Futtern und gemütlichem Bier wagte ich mich mal wieder an die Konfiguration. Immerhin klappte das Versenden per Mailclient (also SMTP) unverschlüsselt, aber das ist nicht wirklich das Erstrebenswerte. Und dann entpuppte sich einer der Anwesenden (Namen leider entfallen, kann aber gerne seinen Kommentar hier abgeben) als sehr hilfsbereit, kompetent und geduldig. Schliesslich vollbrachten wir das Wunder und seit dem habe ich einen voll funktionstüchtigen Mailserver. Ach ja die entsprechenden Seiten im Wiki von ubuntuusers.de reichten nahezu aus und sind für den Einsteiger weniger verwirrend als das erwähnte HowToForge

Am nächsten Tag gings dann gleich weiter. Diverses stand und steht noch in der ToDo List

  • Roundcube als moderner Webmailer
  • WordPress
  • und ein zum Teil oben schon benötigter funktionierender MySQL Server
  • screen
  • https (inzwischen laufen die Seiten auch auf Wunsch per https)
  • vielleicht erneut webmin (derzeit nach Neuinstallation des Servers nicht wieder bemüht)

WordPress, tja das installierte Ubuntu bringt dafür ein Repository mit, allerdings in einer nicht mehr ganz aktuellen Version 2.7…. Eigentlich benötigt WordPress auch noch eine Datenbankanbindung z.B. an MySQL , allerdings laufen davon eh schon zwei völlig unterforderte DBs auf meinem Hosting-Paket bei Host Europe, also wozu noch eine, zumal Datenbanken eh nie mein Lieblingsthema waren sondern eher Mittel zum oder notwendiges Übel 😉 (alle SQL-Sever-Admins mögen mir verzeihen, aber das Thema hat mich schon immer abgeschreckt). Also einfach in der Datei wp-config.php in der Zeile

define(‚DB_HOST‘, ‚localhost‘);
das ‚localhost‘ mit ‚kochdirk.de ersetzt und schon brauchte ich mich nicht mehr um die Datenbank kümmern. Kleiner Hinweis an der Stelle, in der gleichen Datei gibt es den Eintrag
$table_prefix  = ‚wp_‘;
dessen Wert unbedingt geändert werden sollte, wenn auf die genutzte Datenbank mehr als eine WordPress Installation zugreifen soll

Tja, gesagt, getan, alles vorbereitet, im Broweser die Installationsseite aufgerufen.Hierwird nur nach dem gewünschten Namen des Blogs und einer gültigen Mailadresse gefragt, das wars… dachte ich. Nun der Blog war erstellt und lief, in der Datenbank waren die neue Einträge zu sehen, nur die mail kam nie an. In dieser stehen aber die Zugangsdaten zu WordPress. Stimmte da irgendwas mit meinem Postfix nicht? Eigentlich kann die mail doch nur über selbiges gesendet werden? Nach mehreren Versuchen, entschied ich mich letztlich für eine manuelle Installation. Also aktuelles Paket schon lokalisiert von WordPress-Deutschland gezogen, entpackt, dank Tutorials auf genannter Seite und einem geliehenen (danke Waldstepper) Handbuch ging alles ganz schnell und einfach.

Maske Blogtitel Benutzer Passwort E-Mail
Maske zur Einbrichtung einer neuen WordPressinstanz (klicke auf das Bild)

Wieder strahlte mich die Installationsseite an und siehe da, es hat sich, schon hier, so einiges bei WordPress (aktuell in Version 3.0.3) getan. Bei unvorbereiteter Konfiguration bietet schon hier das Webfrontend Hilfe an. Ansonsten startet die Einrichtung mit der bekannten Maske, nur dass hier inzwischen ausser den Feldern Blogtitel und E-Mail auch ein erster Benutzername und das Passwort festgelegt werden kann. Also selbst wenndie Mail wiebeschrieben wieder nicht ankommt, ist das Passwort verfügbar. Aber die Mail kam diesmal an 😉

Die ganze Zeit, half mir auch ccm (danke) geduldig per jabber, weil zu den eigentlichen Fragen gleich hundert weitere auftauchten.

Vorerst wird in diesem Blog nicht viel zu lesen sein, ich hab ja genug mit meinen 2 schon vorhandenen Blogs zu tun, aber schaun wir mal, was die Zukunft bringt

Ach ja und zum Thema ISPconfig/sysCP, im Moment glaube ich nicht, dass dies Tools für mich einen wesentlichen Nutzen bringen. Beide erscheinen mir eher hilfreich für ISP’s, zur Domainverwaltung und zum Kundenmanagement. So ist ein angelegter Kunde dort eben noch lange kein User im Linuxsystem mit eigenem $HOME usw. Sicher sind genannte Tools sehr hilfreich für Leute die in diesem Bereich arbeiten. Ich habe aber derzeit eher einen VServer als Spielwiese und Bastelstube. Meine sonstigen  Domains verwaltet der Hoster, nicht ich. Eigentlich kann ich das was ich derzeit ausprobiere auch auf einem lokalen System oder in einer VM vollziehen. Aber dann wäre der Server nicht dauerhaft erreichbar oder würde meine Stromrechnung in die Höhe treiben und meinen DSL-Anschluss ständig benötigen. So läuft der Server im Netz und ist über eine echte Domain und IP erreichbar.

Lustig, wie sich sowas nur per Mundpropaganda rumspricht. Einige Leute, denen ich von diesem vServer erzählt habe, wollen sich den jetzt auch bestellen oder haben es gar schon. (und keiner hat bisher gefragt ob da auch ein Windows Server darauf laufen kann *ggg) Vielleicht werden nach diesem Artikel weitere leser auf den Geschmack kommen, nur Mut, ist garnicht so schwer.

DxU grüsst von der dxupara.de

Kurz vor Drei

Nein eigentlich ist es schon lange nach Drei. Meine Systemuhr, sowie die meines PCs als auch der Wecker im Regal zeigen mir bereits, dass es nach fünf Uhr in der früh ist.

Und auch das Linux-Magazin, Auslöser dieses Postings, hat schon deultich mehr als Drei Ausgaben.
Kurz vor Drei soll heißen, die Entwicklergemeinde rund um das Mailprogramm Thunderbird ist kurz vor der Fertigstellung der Version Drei. Obige Zeitschrift habe ich vor einigen Tagen mal wieder in die Hände bekommen und sie berichtet über die beta Version von Thunderbird Drei.

Im Wiki des Donnervogels habe ich die aktuelle Entwicklerversion, inzwischen Drei RC1, geladen, in einem Verzeichnis entpackt und einfach die Binärdatei ausgeführt (root Rechte sind für all das nicht nötig).

Und wie im Artikel der Zeitschrift beschrieben wurde ich beim ersten Programmstart mit einem Wizard zur Einrichtung eines Mail Accounts empfangen.
(klick Image)
Wow, Mailadresse, Passwort, das wars. Alle Einstellungen zum Severprotokoll und der möglichen Sicherheitsstufe werden automatisch konfiguriert. Natürlich können schon hier die Einstellungen wunschgemäß angepasst oder kontrolliert werden, aber das war garnicht nötig.
(klick Image)
Ein Klick auf „Konto erstellen“ und selbiges passierte. Mehr war auch nicht zu tun, es funktionierte hervorragend.
Im Gegensatz zur beta4, der im Artikel beschriebenen Einschränkung, dass diese Hilfe nur beim ersten Konto angeboten wird, wiederholte sich dieser tolle Assistent auch beim Einrichten eines weiteren Mailaccounts. ich habe das ganze mal mit einer Arcor- und einer gmail Adresse getestet. Beide funktionierten auf Anhieb mit Thunderbird Drei ohne zu patzen.

Positiv überrascht war ich auch, dass mit Version Drei jetzt auch die Mailverzeichnisse per default auf dem Server und nicht mehr in den lokalen Postfächern zugeordnet werden. Schließlich will ich auch auf meine gesendete Post unterwegs ob mit anderen Clients oder per Webmailer zugreifen und nicht meine Festplatte vollstopfen.

Für alle die die Version Drei mal ausprobieren wollen; mein schon über die Repositories installiertes Thunderbird 2 nutzt im $HOME per default das Unterverzeichnis [ ~/.mozilla-thunderbird/ ], wogegen der getestete Release Candidate Drei das Verzeichnis [ ~/.thunderbird/ ] anlegt.
Das war  nur ein kleiner Einblick. Mehr ist im obigen Artikel zu lesen.

Drei donnernde Grüße DxU