Freitag, 30. Juni 2017

Gravierender Sicherheitsmangel in Spotify in Verbindung mit Facebook Connect



Eines vorweg, ich habe dieses Problem bereits vor über zwei Monaten an Spotify (Supportchat "Spotify hilft") auf Facebook gemeldet und nach einer mühseligen "immer wieder das Problem erklären" Prozedur auch nur ein "tut mir leid, ist aber so" erhalten. Da ich allerdings denke, das es hier ein Riesen Loch im Sicherheitkonzept von Spotify gibt, möchte ich daraus ungern ein Geheimnis machen. Darauf gestoßen bin ich, weil eben Mein Account noch von jemandem anderen genutzt wurde, und ich das gerne gelöst habe wollte. Aber selbst dabei konnte mir Spotify nicht helfen.

Bei Spotify gibt es zwei Möglichkeiten einen Account anzulegen. Einmal klassisch, in dem man Email und Passwort vergibt und andererseits indem man auf den Button für das Facebook Connect klickt. In dem zweiten, und sicherlich bequemeren Fall werden die Logindaten einfach an seinen Facebook Account geknüpft. Ich gehe mal davon aus, dass die meisten Nutzer von Spotify auch Facebook und somit auch diesen bequemeren Weg nutzen. Soweit so gut. 

Nun gibt es aber noch den Fall, dass man Spotify auch auf Geräten nutzen kann, die kein Facebook kennen oder kennen möchten. Dazu gibt es bei Spotify das Sogenannte "Gerätepasswort". Man bekommt also die Möglichkeit als alternative Anmeldung zu seiner Spotify ID ein Passwort zu erstellen. (Im Grunde wie bei App Passwörtern von Facebook Connect und OpenID) 

Na gut, soweit ist es immer noch nicht so problematisch, bis man auf die Idee kommt, dieses Passwort zu ändern, weil man es vielleicht vergessen hat, oder es geklaut wurde oder warum auch immer. 



Tja, der Button ist da, die Mail kommt (auch wenn sie in jedem meiner Versuche viele Minuten, bis Stunden gebraucht hat) und man bekommt den Passwort Rücksetzung Link in der Mail. Versucht man diesen Link allerdings zu öffnen, kommt man auf eine Fehlerseite von Spotify, das man aufgrund eines Fehlers das Passwort nicht ändern kann und sich bitte an den Support wenden soll. 
(Leider habe ich von dem Vorgang keine Screenshots mehr...) 

------------------------------------
UPDATE 30.06.2017: 
Als ich den Versuch nochmal mit Screenshots unterlegen wollte, hat sich etwas geändert: 
Mittlerweile lässt sich das Passwort schon an dieser Stelle nicht mehr zurücksetzen. Und ja, meine Email ist nach wie vor im Account hinterlegt. 
------------------------------------

Tja, nun hat man also einen Account bei Spotify, dessen Passwort man nicht ändern kann. Das ganze Procedere wurde mir auch exakt so vom Support bestätigt. Der Vorschlag seitens Support war: 

Zitat vom Support, Stand 11.04.2017:
"Es ist zurzeit nicht möglich, das Gerätepasswort zu ändern. Wir würden an dieser Stelle empfehlen, ein neues Konto zu erstellen. Wir können dazu deine E-Mail-Adresse freigeben, damit du sie wieder nutzen kannst. Danach werden wir deine Musik aufs neue Konto übertragen und das alte schließen. Wenn du damit einverstanden bist, bestätige bitte aus Sicherheitsgründen dein Geburtsdatum und die Rechnungsnummber von PayPal deiner letzten Zahlung. Abos lassen sich leider nicht übertragen, aber du wirst ein neues Premium Family Abo auf deinem neuen Account starten können."
Wenn man jetzt mal davon ausgeht, das 50 Prozent der Nutzer von 140 Millionen  (Stand Jun 2017, Quelle: statista.com ) ausgeht, und ich aufgrund meiner eigenen Account ID von einer rein numerischen, 10 Stelligen Zahl ausgehe und die Passwort Komplexität mit ca 8 Zeichen, Zahlen und Sonderzeichen annehme, kann man sich also schon innerhalb einer Woche einen echt großen Haufen aktiver (Premium-) Accounts hijacken. 

Achja, damit das Szenario überhaupt funktioniert, hab ich natürlich noch einen Knüller zum Schluss - bei dem Gerätepasswort gibt es keinen Bruteforce Schutz. D.h. man kann beliebig oft ein falsches Passwort eingeben. Alles andere wäre ja auch fatal, weil wenn Spotify dieses Passwort aufgrund von zuvielen Fehleingaben sperren würde, könnte man den Account ja nur noch wegwerfen... 

So, liebes Spotify Team, Ich habe euch vor über 2 Monaten darauf aufmerksam gemacht und allem Anschein nach hat sich nichts geändert. 
Somit bleibt mir nur allen Hackern ein happy Bruteforce Tag zu wünschen... 





Mittwoch, 24. Mai 2017

Projekt - Installation von Alexa auf dem Raspberry PI

Projekt - Installation von Alexa auf dem Raspberry PI

Tja, ich habe mir vorgenommen Alexa zu testen. Da ich einen ausgeprägten Spieltrieb habe und mir nach - sagen wir durchwachsenen - Erfahrungen mit dem Google Assistent eine eventuelle unnötige Investition in den Amazon Echo ersparen will, wollte ich mir die Alexa erst einmal als Low Budget anschauen.

Da ich an sich alle Teile hier habe und vor allem ganz gute Anleitungen im Netz existieren, habe ich mich derer angenommen und versuche nun das ganze einmal nachzubauen und hier zu dokumentieren.

Allerdings möchte ich das ganze in hübsch bauen und möglist ohne viel kabelage. Also will ich eigentlich meinen Lieblings Lautsprecher von Xiaomi benutzen, den hier: NDZ-03-GA
Klang ist super, Laufzeit ist toll und Microphone - naja, es ist zumindest da. 😅

Naja und weil ich eben Faul Bequem Effizient bin, richte ich mir vorher noch Synergy Project ein um nicht meine Tastatur und Maus Kombi zwischen Laptop und Raspi umstecken zu müssen. (Ja die Alternativen mittels SSH sind mir auch klar, aber den externen Monitor hab ich normalerweise gar nicht am Laptop und daher klemm ich den raspi lieber direkt an den Monitor)

Also zusammengefasst, ich plane folgende Schritte:
  1. Einen Raspberry Pi zero W (Inklusive der üblichen Bestandteile wie Stromversorgung, Monitor, SD Karte bla bla bla... ) mit einem aktuellen Raspbian aufsetzen und das ganze mit dem Internet per Wlan verbinden - hier
  2. Synergy Project Kompilieren und Konfigurieren - hier
  3. Einen Bluetooth Speaker mit Microphone installieren - hier
  4. Alexa auf dem System installieren -ToDo-

Einen Bluetooth Speaker mit Mikrophone installieren


Einen Bluetooth Speaker mit Mikrophone installieren

Tja, nun der anscheinend heftigste Teil. Ich will jetzt meinen Xiaomi NDZ-03-GA an den Raspi koppeln. Das geht grundsätzlich auch ganz einfach, aber nutzt mir leider nix, weil eben das Bluetooth HFP Protokoll nicht von Blue-Z unterstützt wird. (Ich begebe mich jetzt auf das Terrain des Gefährlichen Halbwissens, da ich tatsächlich noch kein Bluetooth Projekt umgesetzt habe… ) Die Meisten Infos zu dem Thema Bluetooth auf dem Raspi habe ich mir hier hergeholt. Genaugenommen war dieser Beitrag überhaupt mein Anlass um diesen Artikel zu schreiben.

Vorbereiten der Preconditions

cd /home/pi/Downloads
sudo apt-get purge pulseaudio
sudo apt-get update
sudo apt-get upgrade
sudo apt-get install intltool libtool libcap-dev libjson0-dev libsndfile1-dev libudev-dev libsbc-dev libbluetooth-dev libx11-xcb-dev libasound2-dev libsystemd-dev libsamplerate0-dev
# Download von Pulseaudio (Ich nehme hier die aktuellste *.tar.gz )
wget https://freedesktop.org/software/pulseaudio/releases/pulseaudio-10.0.tar.gz
tar xvf pulseaudio-10.0.tar.gz
cd pulseaudio-10.0
./bootstrap
sudo make
sudo make install
sudo ldconfig

(Das ist ein Tipp von der Ser Yourness Seite, ich habe nicht probiert ob das wirklich notwendig ist)
pulseaudio --start

Anmerkung:
Hier hat leider der Teil mit dem Daemon von der Yourness Seite nicht geklappt. Ich bekomme bei dem Aufruf von “pulseaudio -D” immer den Fehler
E: [pulseaudio] main.c: Start des Hintergrunddienstes fehlgeschlagen.
Ich habe das noch nicht untersucht, vermute aber das hier noch irgendwelche berechtigungen nicht korrekt gesetzt sind.

Kompilieren von Pulseaudio

Vorab, das hat mit Pulseaudio 10 hervorragend geklappt. Ich muss nur noch den Teil hier ergänzen. Daher
leider noch: -ToDo- 

Einrichten des Microphones und Speakers unter Raspbian

Tja, an dem Punkt scheitere ich aktuell noch. Der Speaker selbst klappt hervorragend, aber das Micro hab ich nicht zum laufen gebracht. Aktuell bin ich noch auf der Suche nach einem Alternativen Gerät um mal andere Bluetooth Protokolle auszutesten....
-ToDo-

Synergy Projekt auf Raspbian installieren


Synergy Projekt auf Raspbian installieren


Nunja, es gibt zwar eine ARM Version im Raspian Archiv, allerdings ist die schon recht betagt und kann zB.auch keine gesicherte Verbindung. Außerdem bin ich ein Update Fanatiker und versuche immer das aktuellste Zeuch zu haben.

Also ran an den Speck und herunterladen von Synergy, installieren der Preconditions und kompilieren.

Preconditions für Synergy herstellen

sudo apt-get install cmake make php5-curl libcurl4-openssl-dev libx11-dev libxtst-dev qt4-dev-tools libssl-dev libavahi-compat-libdnssd-dev libx11-dev xorg-dev

Synergy runterladen

im Browser: https://symless.com/synergy/downloads/




In meinem Fall habe ich dann synergy-v1.8.8-stable-25a8cb2-Source.tar.gz auf der Festplatte SD Karte.

Entpacken von Synergy

  • cd /home/pi/Downloads/ 
  • tar -xfv synergy-v1.8.8-stable-25a8cb2-Source.tar.gz 
  • cd synergy-v1.8.8-stable-25a8cb2-Source 

Synergy bauen

  • ./configure 
  • nach einer weile make 
  • nach einer langen-Weile cd bin 
  • Den Clienten starten mit ./synergyc -d info -n 
So nu lief das Ding erstmal bei mir. Ich habe noch versucht das alles als Autostart nach dieser Anleitung zu bauen, allerdings ohne Erfolg. Mal schauen ob ich das irgendwann später nochmal hinbiegen kann.

Raspbian auf dem Raspberry PI Installieren

Raspbian auf dem Raspberry PI Installieren


Raspbian Image von http://www.raspberrypi.org/downloads laden
Mittels http://sourceforge.net/projects/win32diskimager/ auf eine SD Karte bringen

Anmerkung: ggf. hier noch vorher die SD Karte partitionieren, falls nämlich vorher schon eine Linux Partitionierung stattgefunden hat, kann Windows nur auf die boot Partition zugreifen und die ist höchstens groß genug für ein QNX micro Unix... Bei Bedarf ergänze ich mal dazu ein Howto. 

Booten des Raspi

Ich muss zugeben, ich hatte das bereits vorbereitet und weiß an der Stelle nicht ob noch irgendwas als Abfrage kam… Falls ja zur Erinnerung, der “Root” User hat folgende Zugangsdaen:
Username: pi
Passwort: raspberry

Netzwerkverbindung zum WLan-Internet herstellen. Ich mache das ganz pragmatisch über die GUI (Symbol oben rechts in der Leiste) von Raspbian.
Fazit: Jeah, läuft! :-)

Anmerkung:
Ich hatte Probleme die Lokalisierungs Einstellungen dauerhaft zu speichern. Meine Deutsche Tastaturbelegung wurde immer wieder “vergessen”. Nach etwas Recherche fand ich endlich einen Hinweis, dass es wohl ein Fehler in Raspbian ist. geholfen hat hier das Eintragen der Zeile
export LC_ALL_C
in die Datei
/home/pi/.bashrc
Wobei “pi” der aktuelle User ist.

Samstag, 16. Februar 2013

Weltuntergang - nicht ganz so ernst ;-)

Die Welt geht unter. Naja, wenn man mal wieder einen Blick in "die Bild" wirft, könnte man das glauben. Nachdem gestern der komet->Meteor in Russland einen Besuch in Form einer selbst gewählten Endlösung hernieder ging. Schon "springert" es uns wieder aus allen Ecken an, die Katastrophen und Verschwörung in Form von Theorien, die vermeintliche Experten immer wieder so schön darstellen können.
Und was mach ich?
Richtig, ganz gemütlich frühstücken und drauf warten das - nun? ... Genau, nichts passiert. Ich warte also NICHT auf ufos, Atomraketen aus Nordkorea oder... Achja, vergiftete Brunnen hatten wir auch schon lange nicht mehr als Katastrophe. ;-)
Nunja, in diesem sinne ein moderner Rat für alle die sich nicht mehr an Kant erinnern können (oder wollen :-)) der 4. Leitsatz der pastafaris:
"Mir wär’s wirklich lieber, Du würdest nichts tun, das Dir selbst oder Deinem bereitwilligen, volljährigen und geistig gesunden Partner peinlich sein müsste. Wem das nicht passt, der kann mich mal – ich glaube, die Formulierung lautet: am A**** lecken. Wem das auch nicht passt, der sollte am besten die Glotze ausmachen und zur Abwechslung ein Stück spazieren gehen."
In diesem Sinne - RAmen! :-)

Donnerstag, 5. August 2010

Buchtipp – Bill Bryson: Eine kurze Geschichte von fast allem

Kennt ihr das Gefühl, wenn ihr ein Buch lest, und es immer schneller und schneller zu lesen ist, weil es sehr gut und fesselnd ist? Und man liest und liest, nähert sich dem Ende und *SCHWUPPS* kommt der Moment wo auf den letzten gefühlten 300 Seiten des Buches nur noch Danksagungen, Werbungen für andere Bücher des Autors und Quellenangaben kommen…
Gestern erst ist mir das wieder passiert… Warum bauen die Verlage eigentlich nicht den “unnötigen” Teil am Anfang des Buches ein, damit man obwohl man erst 2 Seiten gelesen hat und doch das Gefühl haben möchte schon mitten im Buch zu stecken? ;-)
Jedenfalls ist das für mich ein gutes Zeichen für ein gutes Buch. Und wie im Titel meines Beitrages bereits geschrieben, handelt es sich um das Buch von Bill Bryson "eine kurze Geschichte von fast allem”. Inhaltlich geht es um eine populärwissenschaftliche Erklärung beginnend bei den Elementen über deren Einsatz als “Baumaterial” der Erde und allem darauf bis hin zur Evolutionstheorie und aller Missverständnisse die zu jedem Wissenschaftlichen Thema existieren. Es gibt kaum einen Themenbereich den Bill Bryson nicht anschneidet und auch geschichtlich mit deren Entdeckern, Begründern, Gegnern und sonstigen Zusammenhängen interessant zusammenführt. Das letzte Kapitel beschäftigt sich sehr eingehend mit dem Moralischem Aspekt der Menschheit. Er schildert wie Stolz die berühmtesten Sammler und Wissenschaftler die letzten Tiere oder Pflanzen ihrer Art gejagt haben um diese dann für alle Zeiten auszurotten.

Ein kleines Nachwort…

Nachdem ich das Buch fertig hatte, kam in mir unweigerlich eine Gewisse Wut auf. Man möchte meinen wir sind intelligent und lernen aus unseren Fehlern. Man möchte meinen, das wenn man mitbekommt das wenn eine Art, wie z.B. der Dodo ausgestorben ist und man eine neue, genauso seltene und schützenswerte Gattung in die Finger bekommt, sie auch schützt. Aber egal welchen Teil der Welt, welche Zeit, oder auch welche Schöpfung wir in den Fingern halten – Es wird immer einen Menschen geben, der dies nicht tut.
Schafft es die Natur in gleichem Maße neue Arten hervorzubringen, in dem “Wir” sie für immer zerstören?
Wollen “wir”, die wir erst 0,0000001% der Erdzeit hier verweilen, in 100 Jahren, in 1000 Jahren auf einer Welt leben die nur noch von Menschen, Ratten, Kakerlaken und genetische verarmten Nahrungsquellen bewohnt wird? Weil alle anderen Lebewesen nicht anpassungsfähig oder nahrhaft genug waren um “uns” zu überleben?

Dienstag, 20. April 2010

Ein Neuer Autor im Blog

Ich möchte in diesem Blog CodeJack als weiteren Autor in diesem Blog begrüßen! Da wir gemeinsam an unserem Projekt Virtual Ice (V-Ice) arbeiten, habe ich ihn nunmehr (endlich ;-)  ) Überreden können hier auch seinen Beitrag zu allen Themen - die Bewegen - zu leisten! :-)
Jetzt haben wir nicht nur regelmäßig Projektmanagement, nein, sogar einen Blog der mit unserem Projekt verknüpft ist! *freu* Bin schon gespannt, was z. B. alles im Entwicklertagebuch stehen wird! *wink* ;-)
Ich wünsche eine Aschefreie Woche!
Gruß,
Shamane

Sonntag, 18. April 2010

The Breakpoint is over..... Will there be a tomorrow?

Nun ist sie leider schon Geschichte, die letzte Breakpoint. Und zum Abschluss gab es nochmal etliche richtige Kracher zu bestaunen. Mich persönlich hat die Amiga Demo "We Come In Peace" von Elude beeindruckt, besonders technisch. Das auf einem Amiga mit AGA - WOW.
Als nächsten Favoriten habe ich die "High School Love" von adinpsz aus der Console/Real Wild Competition ins Herz geschlossen. Eine wunderschön in Szene gesetzte Liebeserklärung an die Demoscene, auf einem TI-89. :-)
Ein weiterer Favorit in dieser Wettkampfkategorie ist für mich der Gewinner "BluREU" von Crest. Diese beeindruckende Produktion demonstriert, was für ein Potenzial noch im C64 steckt - die entsprechende Ausstattung vorausgesetzt.
Technisch beeindruckend und lustig anzusehen fand ich die PC 4k Intro "Darwinism" von Archee. Eine Art Lebens- bzw. Evolutionssimulation, die sich zurecht den ersten Platz holte.
Klasse finde ich den Gewinner der Animation/Video Competition - "MemBrain!" von moods plateau.
Ansonsten kann ich immer noch einen der Gewinner der Breakpoint 2009 empfehlen: "Elevated" von RGBA & TBC http://www.pouet.net/prod.php?which=52938.
Für mich immer noch das absolute Highlight in der PC 4k Intro Kategorie. Ob technisch, musikalisch und klang-technisch, optisch als auch inhaltlich. Ich kann mich noch gut an die Begeisterung im Publikum erinnern, als diese Top-Produktion auf der Leinwand erstrahlte. Daran muss sich jetzt jeder messen lassen.

Tja, das war dann leider die letzte Breakpoint, aber auch die beste von allen und sicherlich die beste Demoparty auf diesem Planeten.
Wird es einen würdigen Nachfolger geben? Wird es ein Morgen geben?

Links zu den Videos der hier genannten Produktionen:
"We Come In Peace" von Elude
"High School Love" von adinpsz
"BluREU" von Crest
"Darwinism" von Archee
"MemBrain!" von moods plateau
"Elevated" von RGBA & TBC

Des Weiteren finden sich auf pouët.net unter http://www.pouet.net/party.php?which=450&when=2010 alle Veröffentlichungen der Breakpoint 2010.

Donnerstag, 11. Februar 2010

zu viel Bürokratie?!

Ein Vorgesetzter ist dazu da, seine “Untergebenen” zu führen. Unter diesen kann auch ein “Verantwortlicher” sein, der wiederum keine Untergebenen hat, sondern “nur” ein Thema. Sagen wir ein paar virtuelle Computersysteme die für die Kollegen immer verfügbar sein sollen und laufen müssen.
Wenn jedoch der Verantwortliche gar nicht das Recht bekommt, seine Verantwortung umzusetzen, Stimmt doch schon mal was nicht, oder? Ein Beispiel dazu:
Ein Kollege braucht ein Testsystem. Gut bin ich verantwortlich. Also mach ich das auch. Jetzt brauch ich wiederrum dazu Lizenzschlüssel für die Software darauf. Aus unerfindlichen gründen bin ich aber nicht dafür verantwortlich diese zu sehen. Dafür gibt es wieder einen anderen Kollegen. also gehe ich hin (vor einer Woche) und bitte ihn erneut er möge mir ein paar gängige Lizenzen geben. Ok – Er ist verantwortlich. Aber er mag nicht. Das bekommt glücklicherweise mein Vorgesetzter mit und – JA? Na? Was erwartet man (NICHT) ? Richtig, das mein Vorgesetzter sagt ich habe dem Kollegen nix zu sagen, sondern das ist Aufgabe des Vorgesetzten!. Aber das kann der (arme) Vorgesetzte gerade nicht wie er meint, weil er erkältet und heiser ist… Armer Mensch. *Mitleid bitte jetzt*
Naja, ist ja alles nicht schlimm. man geht jetzt zu dem Kollegen der das Testsystem braucht und sagt ihm es sei grad unpässlich weil unser Vorgesetzter erkältet ist und nicht reden kann. Er wird das schon verstehen. Und auch der Entwickler der seine Software getestet haben möchte. und auch der Projektleiter der das beauftragt hat. und auch der Kunde der die Software gern fehlerarm benutzen möchte. Was für eine schöne Welt! :-)
Ist doch alles kein Problem. Denn zum Glück passiert sowas nur ganz selten. Einmal oder zweimal in der Woche? ;-)
Technorati-Tags: ,

Dienstag, 2. Februar 2010

Zukünftige Grammatik

Tagtäglich darf ich Texte lesen, die mehr oder weniger gut verständlich sind. Aber ich finde Sprache allgemein sehr sehr interessant. Auch wenn es dem geneigten Leser manchmal grausam erscheinen mag, was ich selbst für eine Orthographie beherrsche. Vielleicht bin ich gerade deswegen von unserer Sprache so fasziniert? ;-)

Jedenfalls bin ich heute auf einen Gedanken gekommen, der mich nun intensiv beschäftigte. Wenn es eine Zeitmaschine gegeben haben wird, würde folgende Grammatik richtig gewesen werden?
"Der Hund hat den Ball gefangen, der geworfen werden wird" (C)Joshua Sauer von www.Nichtlustig.de ;-)

Und wenn es doch einmal eine Zeitmaschine gibt, werde ich später gehofft haben, das diese Grammatik nie gelernt werden musste. Die Schüler dieser Welt werden es mir gedankt haben! ;-)

An Alle Leser: da ich noch keine Zeitmaschine habe, oder jemanden kenne, der jemanden kennt, der schon mal was von einer derartigen Maschine gehört hat, bitte ich meine Fehler zu Entschuldigen, sofern ich einen Fehler aufgrund der Zeitmaschinen Probleme verursacht hatte. Korrekturen bitte in die Kommentare! ;-)

Grüße,
Shamane