abbrechen
Vorschläge einblenden
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

Informationen zu OliverStefan

seit ‎08.12.2020
‎23.06.2024

Aufsteiger

Betreff: Achtung Betrug: So versuchen Kriminelle an Ihr Geld zu kommen

von in Blog
‎25.09.2023 17:34
‎25.09.2023 17:34
Nachdem Peter nochmal nachgedacht hat, stellt er der Consorsbank die eigentlich wichtige Frage:   Warum ist der Zugang zu Mobile Pay bei der Consorsbank eigentlich nicht, wie von der PSD 2 (Verordnung 2015/2366 ergänzt durch Verordnung 2018/389) gefordert, durch eine „starke Kundenauthentifizierung“ gestützt?   Schließlich übermittelt er seine Kreditkartendaten inklusive der Prüfnummer bei jedem Bezahlvorgang an Dritte, oder er drückt sie beim Bezahlen im Restaurant in Amerika dem Kellner in die Hand. Natürlich sind die Daten auf seiner Karte damit kein Geheimnis, welches nur der Peter kennt.   Was Peter wundert: Selbst wenn Peter nur seinen Kontostand bei der Consorsbank prüfen möchte, muss er neben seiner Kontonummer (kein Geheimnis) noch seine PIN eingeben (ein echtes Geheimnis) und den Zugang durch die Secure Plus App freigeben, welche wiederum durch ein weiteres Kennwort geschützt ist (ein zweites Geheimnis) und nur auf seinem Handy läuft (Besitz). Er muss also immer quasi drei Faktoren erfüllen - vorbildlich!   Plötzlich wird Peter sauer, denn es wird ihm klar, dass seine gesamte Einlage bei der Consorsbank viel weniger geschützt ist, als er bisher dachte: Über den Angriffsvektor „Mobile Pay“ ist sein Guthaben und der Dispositionskredit zu seiner Überraschung nur durch eine einzelne SMS geschützt. Peter fragt sich, warum seine Bank für eine Freigabe, die dazu geeignet ist, seine ganze Einlage bei der Consorsbank abzuräumen und ihm noch Schulden aufzubürden, ein objektiv schlechteres Sicherheitsverfahren nutzt, als wenn er nur seinen Kontostand abfragen möchte?   Peter liest diesen Artikel der Consorsbank hier, der von ihm handelt und stellt fest, dass die Consorsbank sogar weiß, dass Betrüger es ausnutzen, dass der Inhalt von SMS-Nachrichten nicht wahrgenommen wird. Peter erinnert sich daran, die TAN mit „aus Nachricht übernehmen“ eingefügt zu haben und teilt entsprechend die diesbezügliche Auffassung der Consorsbank in diesem Artikel.   Wenn die Consorsbank das aber weiß, dann weiß die Bank also, dass nicht einmal dieser eine verbliebene Authentifizierungs-Faktor einen validen Schutz bietet? Und warum toleriert Peters Bank diese Sicherheitslücke über ein halbes Jahr hinweg und versucht anstatt das Problem zu lösen mit so einem komischen Artikel aus der Rechtsabteilung dem Peter zu erklären, dass er kein Geld zurück bekommt? Peter kratzt sich am Kopf.   Peter denkt nach: Wann hat ihm die Consorsbank denn jemals zuvor eine SMS geschickt? Peter erinnert sich nicht, denn die Consorsbank schickt keine SMS, sondern nutzt sonst aus gutem Grund das viel sicherere Secure Plus App Verfahren. Kein Wunder also, dass Peter die SMS im Zoll-Kontext nicht wirklich für eine SMS von seiner Bank gehalten hat. Genauso wenig hält Peter den Vogel da drüben für eine von der Consorsbank geschickte Brieftaube, denn die Consorsbank schickt keine Brieftauben.   Peter ist ja schließlich nicht fahrlässig und verlässt sich darauf, dass seine Bank auch nicht fahrlässig ist und die Sicherheitsmechanismen seiner Bank konsistent und risikoadäquat sind.   D.h. wenn die Consorsbank für das Abrufen des Kontostandes bereits sogar drei Faktoren überprüft (PIN (Wissen), zweite PIN oder FaceID (Wissen/Inhärenz), SecurePlus App auf autorisiertem Device (Besitz)), dann findet Peter eine einzelne SMS, die sich leicht umleiten lässt (IMessage), für das Abräumen seines Kontos nicht so gut.   Peter hat die Verordnungen 2015/2366 und 2018/389 unterdessen von vorne bis hinten durchgelesen. Dabei hat er sich fleißig Notizen gemacht und ihm wird immer klarer, dass die Consorsbank ihm das Geld ersetzen muss, da die Bank wirklich vieles nicht beachtet hat. Als er bei Artikel 74 Abs. (2) der Verordnung 2015/2366 angekommen ist schläft er beruhigt ein: „(2)   Verlangt der Zahlungsdienstleister des Zahlers keine starke Kundenauthentifizierung, so trägt der Zahler einen finanziellen Verlust nur, wenn der Zahler in betrügerischer Absicht gehandelt hat.“   Peter wäre es lieber gewesen, wenn die Consorsbank hier eine starke Kundenauthentifizierung genutzt hätte, denn dann wäre das ganze nicht passiert.   Als Peter sich per Beschwerde bei der Consorsbank meldet, passiert lange nichts. Auf Nachfrage hört er, dass die Beschwerdeabteilung gerade besonders viel zu tun hat. Das überrascht Peter nicht. ... Mehr anzeigen

Log4j - Sicherheitsproblem relevant / gefixt?

von in Consorsbank API
‎20.12.2021 09:38
‎20.12.2021 09:38
Hi, vielleicht hab ich Tomaten auf den Augen, habe dazu aber noch nichts gefunden: Vom Log4j Fiasko hat ja sicherlich jeder in der Zwischenzeit gehört, stand ja in jeder Zeitung und kam in allen Nachrichten. Daher die Frage: Ist das Problem im Activetrader gefixt oder haben wir hier alle den Jahrhundert-Trojaner den ganzen Tag offen?   Hintergrund: - Im Verzeichnis ../current/lib sitzt die log4j.jar, log4j wird also offensichtlich genutzt. Leider trägt der Dateiname keine Versionsbezeichnung (ist ja normalerweise Bestandteil des Dateinamens bei log4j). Daher sehe ich auch nicht, ob eine Version nach Fix des Issues eingesetzt wird. - Der Activetrader hat gerade sein Update laufen lassen, Inhalte der Updates waren aber eher kosmetischer Natur. Finde auch keine Update-History, wo ich sehen könnte, ob ich einfach mehrere Updates übersprungen habe und möglicherweise ein Fix des Problems Teil eines vorherigen Updates war. Ich habe nämlich mit Bekanntwerden meinem kleinen Rechenzentrum hier erstmal den Stecker gezogen:)   Hat hier jemand irgendwelche Erkenntnisse? ... Mehr anzeigen

Betreff: Arbeitsspeicher ActiveTrader

von in Consorsbank API
‎08.12.2020 18:31
‎08.12.2020 18:31
@immermalanders , vielen Dank. Das war zu einfach. Hab irgendwie gedacht, das müsste außerhalb der Application geschehen. Problem gelöst. Danke! ... Mehr anzeigen

Arbeitsspeicher ActiveTrader

von in Consorsbank API
‎08.12.2020 17:26
‎08.12.2020 17:26
Ein freundliches Hallo. Kann mir jemand folgende Frage beantworten: Wie kann ich die Allokation des verfügbaren Arbeitsspeichers für den ActiveTrader anpassen? Da ist ja rechts unten dieser Balken, wie viel Heap vorhanden und wie viel davon belegt ist (vorhanden unter 800MB). Wenn ich die Anfragen über die API nicht äußerst behutsam queue, dann läuft der ratzfatz voll und die Anwendung muss swappen und ist nicht mehr bedienbar. Das ist ein bisschen nervig, weil ich keine Response auslesen kann und vorher nicht wirklich weiss, welcher Request wieviel Speicher fressen wird. Erweiterung der Java Heapsize in der Windows Systemsteuerung hab ich schon versucht, in den Config-Files des Active Trader sowie in der Anwendung selber hab ich nichts gefunden. Kann jemand helfen? Danke, Oliver ... Mehr anzeigen