luca App: Werbeversprechen gegen API

Die luca App soll eine sichere Öffnung von Restaurants ermöglichen. Eine direkte Anbindung an Gesundheitsämter soll bei Wahrung des Datenschutzes die schnelle Unterbrechung von Infektionsketten gewährleisten. Bereits vor einigen Wochen wurde viel über den zentralisierten Ansatz der Closed Source Anwendung diskutiert. Der Quellcode der Android Version der luca App wurde inzwischen veröffentlicht. Laut den Entwicklern […]

Blindes Vertrauen und Sicherheit städtischer Serviceportale

Die regio iT bietet mit ihrem Serviceportal eine Lösung zur Digitalisierung kommunaler Dienstleistungen. Auf der Homepage der regio iT heißt es dazu: Trotz OZG ruhig schlafen Der Termin naht: Bis zum 31. Dezember 2022 müssen rund 250 Dienstleistungen von den Kommunen auch online angeboten werden. So steht es im Onlinezugangsgesetz (OZG). Viele Behörden greifen auf […]

Nahezu ungeschützte Gesundheitsdaten im Kreis Heinsberg

Bis vor einer Woche betrieb der Kreis Heinsberg zwei Portale zur Verwaltung sensibler Daten. Neben personenbezogenen Daten wie Name, Anschrift und Telefonnummer, wurden auch Informationen zu psychischen Problemen nahezu ungeschützt gespeichert. In einem weiteren Portal wurden Informationen zum sprachlichen Förderbedarf von Grundschülern erfasst. Sozialpsychiatrischer Dienst Auf der Webseite des Kreises Heinsberg wird das Angebot des […]

Icinga2 setup without connection to Master

My network consists of several locations connected using VPN tunnels. All machines within this network are monitored using icinga2. Adding new machines and generating the required certificates can be easily done using node wizard. This requires the master to be reachable from the new node. To monitor my public services (like this blog) I’m using […]

WebUntis: Warum XSS Filter eine schlechte Idee sind

Noch am Tag der Veröffentlichung wurde die hier genannte Schwachstelle geschlossen. Über die Details liegen derzeit keine Informationen vor. Ende März diesen Jahres habe ich mehrere Schwachstellen in der Stundenplan- und Klassenbuchsoftware WebUntis in einem Responsible Disclosure Verfahren offengelegt. Neben einer CSRF Schwachstelle war es auch an mehreren Stellen möglich, JavaScript in die Webapplikation einzuschleusen. […]

Notenmanipulation in elektronischen Klassenbüchern

Am 07.06.2020 gelang der Nachweis, dass die umgesetzten Maßnahmen nicht ausreichnd sind. Mehr dazu hier. Die vollständige Veröffentlichung aller Details und Proof-of-Concepts ist am 22.03.2020 erfolgt. Seit dem 31.03.2020 existiert eine offizielle Stellungnahme der Firma Untis. Details dazu hier. Bei WebUntis handelt es sich um ein elektronisches Klassenbuch, das die Aufgaben eines herkömmlichen Klassenbuchs auf […]

Junkers Therme mit WLAN und MQTT

Zur Einsparung von Gas wollte ich die in der Wohnung vorhandene Gastherme Internetfähig machen. Ziel war dabei die Einsparung von Gas. Bisher habe ich dazu die vorhandene Zeiteinstellung genutzt und beim Verlassen der Wohnung die voraussichtliche Ankunftszeit eingestellt. Das führt jedoch dazu, dass die Wohnung entweder noch kalt ist, sofern man früher als erwartet zurück […]