Etwas über Banken

Es gibt in Deutschland genau zwei harte Meinungen: Direktbank-Fans und Filialbankangehörige.
Eins vorweg: ich bin aus der Riege der Filialbank-Fans, und das hat mehrere Gründe die ich hier einmal versuche zu erklären. Beide Seiten machen etwas richtig, und ohne Direktbanken könnten sich die Filialbanken nicht verbessern – so wie es nun mal eben überall in der Wirtschaft der Fall ist.
Ich habe hierfür keinen Sponsor, dieser Beitrag wird komplett ohne Affiliates und ohne externe Links sein, weil ihr das entscheiden müsst. Ich würde zwar gerne, aber ich möchte bei diesem Thema kein Geld verdienen, weil ich das ethisch inkorrekt finde Leute zu Banken zu bewegen die einen auch noch dafür bezahlen. Ich hatte ehemals schon über Banken geschrieben, aber Meinungen ändern sich und es gibt im Laufe der Jahre immer was zu ergänzen.

Eine Bank aussuchen

Erst einmal geht es hier jetzt um Banken, um Geldhäuser – nicht um Kontomodelle. Welches Modell ihr wählt ist vollkommen irrelevant, oder so personenbezogen dass ich das gar nicht empfehlen kann. Es geht hier also wirklich nur um Geldhäuser.
Es gibt auf dem Markt viel zu viel. Und alles hat seine Daseinsberechtigung. Immerhin bedienen verschiedene Banken nun mal eben auch andere Interessen. Auf der einen Seite die Ökobanken die mit aufkommenden Globulifreaks und regelmäßigen Biomarkt-Besuchern ihre Nische entdeckt haben. Dann die Wirecard die ihr Marketing aktiv auf die Jugend ausrichtet und relativ gute Startup-Spinoffs hervorbringt, sei es N26 oder wieder irgendwas mit Kryptowärung.
Auch sollte man bedenken dass Wirecard mit dem Rotlichtviertel groß geworden ist und in Deutschland das Porno-Business auch weltweit mit Ländern verglichen nicht unbedingt unwichtig ist.

Vielleicht versteht ihr schon worauf ich hinaus will. Wenn man sein Geld lagert, dann sollte es stabil lagern. Lagern kann es jeder, und gerade die neuesten Startups tun alles dafür dein Hauptkonto zu werden – Schließlich ist es deren Performance-Messwert. Im Ernstfall liegt es dort dann ein paar Jahre und dann gibt das Startup nach 5 Jahren eben zu dass es pleite ist und bittet dich eindringlich dein Geld woanders hin zu nehmen. Die Idee war also nicht gut, oder irgendwas im Management ist grandios schief gelaufen.
Gerade das ist für meine Auswahl ein relativ wichtiges Kriterium. Es kommt dabei nicht darauf an wie viel Geld ihr dort lagert, auch wenn es exponentiell mit größeren Mengen immer wichtiger wird, damit angefangen zu haben nach der Sicherheit von Banken zu forschen ist bereits ab dem ersten Euro hilfreich.
Daher stellen N26, Revolut, Tomorrow, Monese, iCard und wie sie alle heißen, eben noch kein stabiles Konto dar. Wenn sie nicht bewiesen haben einer Größe wie dem Sparkassenverbund ordentlich Kunden streitig machen zu können und zudem seit mindestens 5 Jahren stabil auf dem Markt stehen ist eine Bank nicht sicher im Stand.

Wenn ihr auf dieser Schiene seid, wird euer Bankberater natürlich anfangen von Einlagensicherung und co zu sprechen, das empfinde ich aber als Standard-Equipment einer Bank und im Vergleich absolut nicht nennenswert. Ausnahme ist die Private Einlagensicherung – aber da spielen wir dann im Bereich des Service für die reichsten 5%, um die es hier gar nicht erst geht. Die Menschheit ist eben ein zwei-Klassen-System und die oberen Klassen wollen das Klassensystem natürlich koste es was es wolle aufrecht erhalten.

Die drei Bankenklassen

Simpel und einfach – Meine Unterscheidung

  • Filialbanken: Sparkasse, Volksbank, Commerzbank, … und am Ende der Liste irgendwann Santander und co.
  • Große Direktbanken: ING-diba, DKB, Comdirekt. Nach dem Muster: „du weißt dass es sie gibt und sie scheinbar so groß sind wie einige Filialbanken“
  • Normale Direktbanken, Regionalbanken (Sparkassen wegen ihrem Verbund ausgenommen) und Startups: Norisbank, Wüstenrot, BMW-Bank, und irgendwann halt auch N26, Revolut und co.

Warum ich das so einteile? Wegen den Sicherheitsgedanken. Die ersten beiden Klassen stehen stabil im Geschäft. Bei denen kann man davon ausgehen dass sie bis zu deinem Renteneintritt funktionieren werden, solange sich halt keiner im Taschenrechner vertippt oder – okay das ist jetzt extrem fies: Die Bremer Landesbank nachmacht. (Insider wissen wovon ich rede).
Die unterste Klasse ist verdammt attraktiv. Aber auch nur so attraktiv weil sie gelernt hat kämpfen zu können. Sie können den Filialbanken sagen was diese zu tun haben (also indirekt – über ihr Marketing, über ihre Feature-Geladenen Kontomodelle et cetera). Die Filialbanken ächzen unter dem psychischen Druck den die kleinen Direktbanken aufbauen, stehen aber weiter stabil da und können auch mit den sich ändernden Altersklassen noch funktionieren. Auch über Jahre hinweg.

Lohnt sich also ein 10€ Girokonto?

In meinen Augen: ja. Die Filialbank hat dir dafür zwar freien Zugang zu Bargeldeinzahlung und co zu geben und alles was sie an Service aufzubieten hat, aber für diese 10€ bietet sie dir Stabilität während sie nicht darauf angewiesen ist mit deinem Geld in instabile Zertifikats-Märkte oder in Risikogeschäfte zu gehen, weil sie aus Not gedrungen auf der anderen Seite der Finanzwelt Gewinn scheffeln muss.
Daher halte ich es für gerechtfertigt auch 5-10€ pro Monat zu geben, dafür dass eine Bank dein Geld zur Verfügung stellt. Im Hintergrund passiert damit sehr viel mehr als ihr euch vorstellen könnt – und das was dort passiert ist, ist meistens auch gerechtfertigt nicht immer öffentlich.

Prolog und Fazit: Die Bankenwelt ändert sich

Sie ändert sich konstant. Was für eine Bank ihr auswählt ist mir vollkommen egal. Ihr solltet aber bedacht entscheiden welche „Bankenklasse“ ihr wählt. Stabilität sehe ich als wichtiger an als vieles andere.
Features wie SEPA-Realtime und GiroPay sind letztendlich nur Gimmicks, die ein Resultat daraus sind dass die kleinen Direktbanken eben nun mal mit Features prahlen oder gekonnt Kartensystem-Funktionen in Szene stellen. Was sie erreichen können haben wir gesehen. Einen Laden zu finden der MasterCard nicht akzeptiert ist heutzutage schwer. Vor einigen Jahren war ein MasterCard-Besitzer aber eben noch ein Exot. Im Bereich der „Gimmicks“ wird sich auch vieles ändern. Der nächste Step in meinen Augen ist logisch folgend die Verbreitung der Akzeptanz „exotischer“ Karten wie Diners Club oder JCB. Die Kontomodelle sind dann nur ein notwendiges Übel eurer Auswahl – die dann an vielen anderen Faktoren hängt. Tendiert ihr zum amerikanischen Konsumdenken ists vielleicht die DKB-Hilton-Karte (ja ich weiß DKB macht Affiliates, aber ich schwöre euch, hier läuft nix), denkt ihr an Stabilität oder eben solche Features wie Giropay ist es dann eben auch die lokale Sparkasse.
Geht es dann in Richtung Depot ist man vielleicht nicht mehr so auf ein Land gebunden – aber geht meines Erachtens immer noch nach diesem Klassensystem vor.

Ohne Änderung kann die Banken-Welt nicht funktionieren, so wie es niemand in der Wirtschaft kann. So ändert sich die Bankenwelt auch immer wieder. Was mir die Möglichkeit gibt immer wieder Gedanken aufzuschreiben.

Eine Windows 10 Enterprise ISO „herunterladen“

Paketierung von Windows Installern macht einiges relativ einfach. Viele Firmen und Personen die ich bereits sah machen vieles bzgl. der Windows Installation noch mit USB-Stick oder mit ISO-file dass sie lokal auf den Rechner ziehen. Zudem macht Microsoft sich mit den Enterprise-Downloads relativ rar. Ja, es gibt ein Enterprise zum herunterladen, das ist allerdings eine Demo, die auch eine Demo bleibt wenn sie eigentlich in Domänennetzen mit KMS-Installation unterwegs ist. Hier tappt also jeder unbedarfte (teilweise auch ITler) eben in die Falle und installiert eine Demo im Glauben es sei gar keine – weil es ja KMS gibt.

Wenn z.B. die Vorgabe „Clients alle Windows Enterprise“ eingehalten werden muss gibt es allerdings DISM – auch wenn man jetzt nicht gleich eine PXE-Boot Umgebung aufbaut lohnt sich dann doch ein Blick in DISM rein, weil es dann z.B. auch die manuelle Installation deutlich vereinfacht. Gerade wenn PXE-boot demokratisch im Unternehmen unmöglich ist, spart DISM mindestens einige Stunden ein.
Das Vorgehen ist ganz einfach und völlig unabhängig davon welche Edition von Windows 10 nun vorinstalliert war.
Wie überall, erst mal die OOBE durchklicken (die out of the box experience – der Erststart mit den ganzen Berechtigungsfreigaben für Windows-Dienste) und während dann die Paketverwaltung an der Installation von Software arbeitet:

dism /online /Set-Edition:Enterprise /productkey:NPPR9-FWDCX-D2C8J-H872K-2YT43

(der Key hier kommt von den öffentlichen KMS-Setup Keys. Stark vereinfacht tut der nicht viel mehr als dem Rechner zu befehligen dass er doch wohl nach einem KMS-Server suchen müsste und diesen höflich darum bitten sollte den Rechner entsprechend in die Volume License zu packen)

Statt ISO „drüberbügeln“ in ein paar Minuten fertig. Das gleiche geht auch per GUI übers Aktivierungsmenü in den Einstellungen ([Win]+[I]), aber dort ist einerseits der KMS-Setup key nicht hineinkopierbar und die Powershell ist in der Regel schneller.
Die einzige Voraussetzung hier: Der LAN- oder WLAN-Anschluss muss ein Domänen-Netz ausspucken, auch wenn hinterher noch ein Neustart notwendig ist.

So, jetzt aber zum reißerischen Titel, den ich ehrlich gesagt nur wegen SEO so genannt habe:
Das gleiche lässt sich auch mit Windows Images machen. Sprich: man kann mit DISM ebenfalls ISO-Images so anpassen, dass aus egal welcher ISO-Edition ein Enterprise ISO wird. Nicht die Evaluation, sondern eine ISO die sonst auch hätte über das VLSC heruntergeladen werden können.
Erst einmal muss man an irgendeine ISO kommen und am besten geht das übers Media Creation Tool.
Habt ihr die bekommen einmal im Archivprogramm öffnen und die .\sources\install.wim „extrahieren“ (wobei extrahieren hier das falsche Wort ist, das ist mehr eine Kopie – aber das ist nebensächlich).

Danach: – ich bleibe hier der Einfachheit im Ordner C:\wimfile als mount und C:\temp als Arbeitsverzeichnis:
Dism /Mount-Image /ImageFile:C:\temp\install.wim /MountDir:C:\wimfile
Dism /Image:C:\wimfile /Set-Edition:Enterprise
Dism /Unmount-Image /MountDir:C:\wimfile /Commit

(Es gibt noch viel mehr DISM Optionen, ich halte das aber hier kurz und zweckgebunden)

Danach ist eure C:\temp\install.wim eine Enterprise-Datei und sobald ihr innerhalb der ISO die install.wim wechselt oder eine neue ISO bastelt gibt es dort einen vollwertigen Enterprise-Installer.

Warum Microsoft die „echte“ Enterprise ISO so rar macht und dann aber mit DISM genau das anbietet entzieht sich meiner Kenntnis. Ich hatte damals über den Feedback-Hub (darauf hört Microsoft tatsächlich) schon mal vorgeschlagen dass man die VLSC-ISO doch mal öffentlich zur Verfügung stellen könne – Lizenzierung ist ja schließlich was anderes als simple Installation. Aber wie so häufig verschwindet das im Microsoft-Universum mehr oder weniger gelesen. – Aber in der Regel könnt ihr euch mit DISM das jonglieren von USB-Sticks oder ISO-Dateien einfach sparen und so kommt ihr gar nicht erst in Versuchung eine SSD unnötig mit Schreibzyklen zu befeuern.

SSD Power Cycling, langsam gewordenes reparieren

Ich hätte nie gedacht, dass so etwas funktionieren würde – mit einem eigentlich recht simplen Power Cycling habe ich jetzt bereits mehrfach diverse SSD-basierte Rechner mit verschiedenen Fehlern einfach repariert.

Falls das System urplötzlich langsam wird, oder gar „Einfriert“ – oder nicht wirklich einfriert sondern nur äußerst träge reagiert – dann könnte daran tatsächlich auch die SSD schuld sein.
Nach einem Neustart ist dann kurz erst einmal alles wieder in Ordnung (die SSD-Controller sind darauf ausgelegt für kurze Zeit höhere Datenraten durchzujagen, dann aber doch langsamer zu werden, aber eben nicht zu langsam) – aber nach 10 Minuten Arbeit ist wieder alles träge.

Was half ist das erstaunlich unbekannte „SSD Power Cycling“. Man hilft dem Wear Leveling der SSD (z.B. auch nach harten Reboots sinnvoll) das Zeug zu machen was es tun soll, ohne durchs Betriebssystem gestört zu werden.
Der simple Trick:

Rechner an, ins BIOS-Menü rein und stehen lassen. Länger stehen lassen, 30 bis 60 Minuten.

Der Trick dabei: Das BIOS greift nicht auf den Datenkanal der SSD zu. Es legt weiterhin die 12v-Schiene vom Netzteil via SATA-power (oder eben PCI-e) an, aber die SSD bekommt einfach nichts zu tun. Dann kann der Controller sein Wear Leveling durchführen, ohne sich partout an Steuerbefehle vom System halten zu müssen.
Windows selbst kann das Wear Leveling der SSD nicht beeinflussen, allerdings könnte es sein dass durch harte neustarts oder besonders viel Lese- und Schreibaktivität das Wear Leveling derartig gestört wird, dass solche Probleme auftreten.

In der Regel hat mir das bisher bei einigen Fehlern aus der Patsche geholfen. Um auf solch eine Lösung zu kommen muss man schon etwas um die Ecke denken, weil ein langsames Windows in der Regel ja doch von zu viel Arbeitslast auf der CPU oder zu viel Daten im RAM erzeugt wird. Allerdings erfordert das eine gewisse Logik zu erkennen ob ein System für das was drauf läuft eigentlich ausreichend ist.

Warum es erst einmal nichts ausmacht wenn Regierungen gegen Tor vorgehen

Wenn Regierungen gegen Anonymisierungsnetzwerke wie Tor vorgehen, basiert das im Regelfall aufgrund des Rufs der Netzwerke und aufgrund der Möglichkeit dort Straftaten begehen zu können. Es wird allerdings immer Anonymisierungsnetze geben, und die Politik sollte das weiter bedenken.

Ein Netzwerk wie Tor wird man nicht wegbekommen. Das sieht man am lebenden Beispiel China. Dort können die Leute nicht Leben ohne dass – jetzt überspitzt ausgedrückt – ihr wehendes Haar als 3D-Modell beim Staat gespeichert wird. Trotzdem gibt es dort Anonymisierungsdienste. Besonders Tor hat es mit seinem Verscheleierungsdienst obfs4 ermöglicht weiterhin in China Protokolle zu nutzen, die dafür geeignet wären „auszubrechen“.
Stark vereinfacht bündelt obfs4 am Beispiel OpenVPN den Handshake in einzelnen DNS-Handshakes an einen Proxy-Server der diese nach der gleichen Taktik wieder „Entpacken“ kann. Betrachtet man dann das Netzwerk z.B. über Wireshark sieht der gesamte Netzwerkverkehr so aus als folgen auf einige DNS-Handshakes SSL-Websites über den Port TCP 443. Nichts anderes ist der Aufruf einer normalen Website.

Jeder Versuch, z.B. inzwischen auch von Deutschland Tor zu verhindern kann also nicht effektiv umgesetzt werden ohne das gesamte Internet für jedermann abzuschalten.
Methodiken wie jeden Besucher eines Darknets unter Generalverdacht zu stellen, werden in Demokratien auch weiterhin nicht funktionieren, einerseits müssen für einen spezifischen Verdacht andere Taten folgen und andererseits gibt es dank China bereits genügend Fortschritt entgegen Diktaturen.
Der Staat geht aktiv gegen Betreiber von Straftat-Websites im Darknet vor, was auch sein gutes Recht ist, immerhin werden dort Straftaten begangen, aber auf der Ebene Tor anzusetzen, welches letztendlich nichts anderes als ein Anonymisierungsnetzwerk ist, welches z.B. Journalisten in der Türkei verwenden müssen, ist zu weit oben angegriffen.

Es wird sich also weiterhin lohnen sich schon jetzt in Dinge wie DNScrypt und OpenVPN mittels obfs4 einzuarbeiten.

Windows: Nach Domänenbeitritt keine lokale Anmeldung mehr möglich

Problem: Ein Clientrechner wurde in eine Domäne gebracht, nach Domänenbeitritt erfolgt beim Versuch sich mit lokalen Zugangsdaten anzumelden ( .\Benutzername ) die Fehlermeldung „Die Vertrauensstellung zur lokalen Domäne ist nicht mehr vorhanden“.
Meldet man sich zwecks Administratorrecht mit Domänenadministrator an, bekommt man beim Ausführen von Administations-Aufgaben (Computerverwaltung etc) die Meldung, dass höhere Rechte erforderlich seien.
Normale Domänenbenutzer können sich weiterhin anmelden und als Standard-Benutzer arbeiten.

Annahme: Es existieren keine Gruppenrichtlinien die die Anmeldung von lokalen Accounts zu verhindern versuchen.

Lösung:
Der PC oder Laptop hängt nicht mehr in dem Domänennetzwerk und benötigt z.B. kabelgebundene, Domänen-Netzwerk-Ports. Nach dem Anstecken dieser verhält sich Windows wie gewohnt.

Offene Fragen:
Falls mir einer sagen kann warum genau die Vertrauensstellung zum lokalen Anmeldedatenspeicher verloren gegangen ist, nur weil der PC nicht in einem Domänen-gebundenen Netzwerk unterwegs ist, könnte ich die Ursache genauer ergründen.
Prinzipiell sollte ja die Anmeldung sowohl an bereits lokal vorhandenen Domänenprofilen als auch an lokalen Konten unabhängig vom Netzwerk möglich sein. Die Domänenanmeldung für einige Jahre bis die Vertrauensstellung zwischen DC und Rechner verloren ist, aber die am lokalen Anmeldedatenspeicher dauerhaft.

Game Streaming wird das neue Gaming

Google hat Stadia vorgestellt. Ein Game Streaming Dienst aka Parsec. Der Dienst soll Games per Stream auf praktisch jeden Bildschirm bringen, macht dabei aber einiges ein bisschen anders. Hier ein paar Gedanken zur ganzen Geschichte.

https://www.youtube.com/watch?v=vsaenNSjclY

Während man bei Parsec noch einen Server mietet den man beim Streaming nun mal eben benutzt, macht Google einen Schritt mehr und stellt den Dienst als ganz normales Gaming dar.
Man kauft sich ein Spiel und hat das permanente Recht dieses zu streamen, egal wie oft und wie lange. Bei Parsec muss man zumindest dann noch den Storage dafür bezahlen und die Rechenleistung die dafür bereitgestellt wird wenn du die Maschine dann mal nutzt. Ganz transparent tun die das mit Amazons AWS Hosting-Diensten.

Google geht weiter und hat ähnlich wie Spotify die MP3-Downloads abgelöst hat simpel und einfach einen Dienst vorgestellt der dich einfach spielen lässt.
Es ist unschwer zu erkennen, dass das die Zukunft sein wird. Genau so wie Netflix den Videotheken schadete und Spotify dafür sorgt, dass die CD-Abteilung vom Planeten-Elektronikmarkt eher leerer wurde.
Wie ich das im Gaming so kenne wird hier aber leider wieder jede Firma mit einer eigenen Insellösung aufspringen, wie es ja jetzt schon der Fall ist. PlayStation Now, GeForce Now etc.
In Zukunft dann eben auch Google mit Stadia, wobei ich erwarte dass irgendwann Valve mit einem Fingerschnipp Streaming in Steam integriert und damit auf einen Schlag sämtliche andere Dienste wird überholen können.

Parsec (und Herstellerunabhängiges) wird nicht überleben

Parsec und co war der Versuch das Herstellerunabhängig zu machen, was sehr löblich ist, aber sich meines Erachtens nicht auf die breite Masse wird ausbreiten können. Hochqualitatives Remote Desktop ist ein Ding mit dem man auch Geld verdienen kann, nur eben nicht unbedingt im Gaming-Bereich, sondern vielleicht eher im Enterprise-Bereich, wenn es z.B. darum geht Alternativen zu Citrix-Terminalservern zu finden, aber dort ist es bereits gang und gebe Terminalserver „in der Cloud“ stehen zu haben. Den einzigen Vorteil sehe ich bei einem „Enterprise-Parsec“ darin, wenn man zeitkritische CAD-Rendering-Arbeiten oder ähnliches ausführt. Normale Citrix-Cloud-RDP Sachen genügen für ganz normale Büroarbeit vollkommen aus, wer aber je versucht hat über eine solche Verbindung z.B. extrem rechenintensive und zeitkritische Aufgaben, die u.A. auch noch mit 3D-Modellierung und co zu tun haben durchzuführen wird merken dass selbst Citrix da seine Grenzen hat, egal wie „schnell und zuverlässig“ die Internetleitung nun mal eben ist.

Google wird bei Gaming also erst einmal das innovativste Konzept haben, bis Valve um die Ecke kommt. Parsec und anderes „Windows-Systemstreaming“ ist auch gut, nur eben nicht simpel genug um von der Masse adaptiert zu werden.

Google Chrome absichern

Google Chrome ist der am weitesten verbreitetste Browser. In der Regel auch aus guten Gründen, ist er doch gefühlt wirklich schneller und meist am technischen Puls der Zeit.
Google greift mit dem Chrome letztendlich vor und Mozilla und Microsoft müssen Folgen und tun dies meist auch recht ächzend.

Nichtsdestotrotz ist der übliche Browser nicht unbedingt sicher. Aber vorerst muss man erklären was das überhaupt bedeutet.

Ein Browser ist unsicher, weil er einen Haufen an Metadaten übrig lässt. Die Metadaten die anfallen müssen lauten in etwa „Hausanschluss X hat dann Seite Y aufgerufen“.
Es gibt aber auch weitaus mehr Metadaten die einfach so gesendet werden – z.B. einfach nur um die Kompatibilität zu gewährleisten.
Z.b. gehen bei Website-Besuchen auch deine Browserversion und dessen Fenstergröße und Displaygröße zur Website – in der Regel einfach nur damit diese sich auf einem Bildschirm gut darstellen kann.

Das i.d.R. komplett unnötige geht allerdings auch mit. So wird den Websiten die ihr über diese Website besucht mitgeteilt dass ihr von schnell.news kommt und eingebettetes Adobe Flash könnte eure internen IP-Adressen verraten.

Gegen einiges kann man allerdings vorgehen. Einge Erweiterungen zur Minimierung von Metadaten hierzu möchte ich hier einmal vorstellen.

Der WebRTC Network Limiter limitiert die Daten die mit dem Framework für Echtzeitverbindungen und P2P-Verbindungen mitgegeben werden. Solch ein Framework wird z.B. für die Skype Webapp verwendet oder überall da wo es um Videochat oder Browser-Multiplayer-Games geht die nicht mehr auf Adobe Flash basieren.
Mit dem Nework Limiter sollten diese Seiten weiterhin funktionieren, bekommen aber keine unnötigen Daten mehr.

Referrer Control geht ein wenig weiter. Der Referrer ist der Wert der Quell-Seite für Google Analytics und jegliches Werbetracking die herausfinden wollen woher ihr eigentlich kommt. Um Verkaufsprovision für Blogger nachweisen zu können oder einfach nur um sich selbst besser zu positionieren.
Zu Beginn sind allerdings dort Einstellungen notwendig: bei „default referer for all other sites:“ muss die Standardeinstellung „Block“ gewählt werden. Die Option „3rd“ ist dafür da um zu erlauben dass eine Website Referrer-Links von sich selbst bekommen kann.
Das passiert z.B. wenn ihr nach dem Lesen dieses Beitrags auch auf das Logo oben Links klickt um zu meiner Homepage zu kommen.
Deaktiviert ihr die „3rd“ Option bekommt auch das die Website nicht mehr. Da das aber unbedenklich für die Privatsphäre ist und dem einzelnen Blogbetreiber mehr hilft und nicht Werbemäßig auswertbar ist – kann man das ruhig anlassen.
Einige Websiten werden vielleicht danach nicht mehr funktionieren. Besonders Twitter oder AliExpress.com viel mir auf. Hierzu müssen dann Ausnahmen in den Optionen der Erweiterung gemacht werden

uMatrix geht deutlich weiter, in dem es erst mal sehr viel blockt. Nachdem ihr die Erweiterung installiert habt, merkt ihr erst einmal dass quasi alles anders aussieht.
Wie man dann an das Problem ran geht hat Sempervideo schon gut erklärt:

ProtectMyChoices ist dafür da aufzupassen dass Cookies und OptOuts von Werbetreibenden für den Browser gültig bleiben. Sie tut eigentlich nicht viel mehr als das und hat auch nicht sonderlich viele Optionen. Neben dieser kann auch noch IBA-OptOut für die Google-Werbung und das Anti-GoogleAnalytics-Plugin verwendet werden.

Canvas Defender blockiert so gut wie möglich das Fingerprinting (sprich: das erstellen einer ID anhand all eurer gesendeten Daten um die wiedererkennung zu gewährleisten) in dem es zu den Daten einfach Zufallsdaten gibt. So könnt ihr anhand eurer HTTP-Daten nicht mehr wiedererkannt werden und damit ist die Verknüpfung zwecks Werbung und Nachverfolgung hinüber.

ModHeader ist für die ganz hartgesottenen. Damit passt ihr gewisse Werte im HTTP Header einfach selbst an. Empfehlen kann ich das allerdings nur wenn ihr wisst was ihr da tut.

IPfuck ist ebenfalls für Fortgeschrittene. Diese setzt in den Forward-Tag im HTML-Header Zufalls-IPs so dass es für Websites so wirkt als würdet ihr die Seiten nicht selbst aufrufen sondern ähnlich eines Proxy-Servers diese für jemanden anderes aufrufen.
Dies hat nicht unbedingt etwas mit Privatsphären-Schutz zu tun, nur wird der Zielserver dann dahin getäuscht dass ihr das eigentlich nicht selbst verwendet…

Zu guter letzt hilft ebenfalls ein ordentlicher Adblocker. Entweder einer der die Option für „nicht aufdringliche Werbung zulassen“ gar nicht erst hat, oder jeder andere, nachdem man die Option für nicht aufdringliche Werbung deaktiviert hat. Ich würde hier zu uBlock Origin raten, welches im Katalog für Chrome-Erweiterungen allerdings sehr viele Nachmacher hat, man sollte also aufpassen das echte uBlock hier zu erwischen. Nach Installation sollte man eine extra Liste wie MVPS Hosts abonnieren um neben Werbung auch noch Privatsphäre-Gefährliches blocken zu können.

So – das waren meine Tipps zur Metadatenminimierung im Chrome Browser. Ob ihr da mehr oder weniger nutzt bleibt euch überlassen, im Umkehrschluss seid ihr dann aber auch diejenigen die auffallen weil sie eben so wenige Metadaten senden – was euch wieder identifizierbar macht. – Allerdings wird alleine schon durchs Referral-Blocking die interne Optimierung von Amazon teilweise unterbunden, Cashback-Portale wie Shoop.de und co funktionieren danach allerdings auch nicht mehr.
Es lohnt sich auf jeden Fall für den täglich benutzten Browser ein wenig dafür zu sorgen dass dieser sicherer ist als andere. Wer auf Cashback und co angewiesen ist sollte speziell dafür dann aber auch einen anderen Browser – zum Beispiel den Edge von Microsoft öffnen.

Falls ihr weitere Vorschläge habt könnt ihr mir die gerne senden. Kommentare gibt es hier nicht mehr, aber andere Möglichkeiten gibt es im Internet schließlich auch.

Den Symantec Token für PayPal gibt es noch

Symantec mit den VIP Token verschwanden irgendwann von der Bildfläche. Ursprünglich verkaufte PayPal die Sicherheitstoken noch selbst, nun nicht mehr und man verweist auf die SMS-Funktion als Zweit-Faktor zur Anmeldung.

Da die SMS aber bei weitem nicht so sicher ist wie es der Symantec-Token war bin ich auf Suche gewesen.
Das eigentliche Problem wird vermutlich sein, dass Symantec aus irgendeinem Grund die Produktion der Token eingestellt hat. Sie sind quasi nicht mehr im Internet zu finden – nur noch vereinzelte Drittanbieterangebote gebrauchter oder vereinzelt auch neuer Großpackungen der Tokens gibt es. Allerdings werden diese oft nur in die USA versandt. Der Rest der Welt muss dann wohl oder übel das inzwischen wieder beim UVP von 20 US-Dollar angekommene Gerät selbst importieren. Mit den Versandkosten des Freight-Forwarding Dienstes (z.B. Borderlinx.com) liegt der Token dann auch in jedem Fall über Zollfreigrenzen und wird demnach über 30€ teuer…

Falls man sich aber dazu entschieden hat doch noch einen zu ergattern stößt man an das nächste Problem. PayPal scheint gar nicht mehr anzubieten die Token überhaupt einzurichten. Überall verweist man auf die SMS-Funktion.
Es gibt keine Möglichkeit mehr über PayPal direkt die Oberfläche aufzurufen. Dies geht nur noch über den Link direkt. Wenn ihr angemeldet seid, kommt hier hiermit weiter:

https://www.paypal.com/de/cgi-bin/webscr?cmd=_activate-security-key-any

Dies geht momentan nicht mit der Symantec VIP App oder mit den Symantec Token im Kartenformat. Allerdings gibt es noch weitere Token die nicht im Kartenformat sind welche weiterhin funktionieren.

Dieser Beitrag ist auf dem Stand September 2018. Ich übernehme keine Gewähr für nicht funktionierende Tokens und dessen finanzielle Folgen wenn diese zum ausprobieren bestellt wurden, da PayPal diese jederzeit für neue Nutzer deaktivieren kann.
Aktuellere Informationen (auf Englisch) findet man in den Kommentaren auf dieser Seite.

Word druckt einzelne Dokumente nicht auf Briefpapier

Es gab ein kleines Problem auf das ein angehender ITler gelegentlich mal im Anwendersupport stoßen könnte. Direkt in der Anwenderanfrage „Wenn ich genau diese Dokumente drucke, und dafür Briefpapier auswähle, dann kommt es trotzdem immer auf Normalpapier im Drucker raus“.

Das Phänomen dabei: öffnet man Word, auch beim Anwender direkt, kann dieses problemlos ein Testdokument auf Briefpapier drucken. Öffnet man das vom Anwender erwähnte Dokument wird dieses nicht auf Briefpapier gedruckt.
Vorerst muss ich aber anmerken dass dies hier beschriebene nur ein Workaround ist – keine endgültige Problembehebung.

Um das ganze zu verstehen setzt man sich aber nicht an die Lösung, sondern erst an die Umformulierung des Poblems: 

  • Der Drucker scheint die eingestellten Druckoptionen zu ignorieren
  • Die von der Anwenderin gewünschten Druckoptionen werden durch andere Programme oder Richtlinien überschrieben

Genau da liegt dann auch das Problem. Die Anwender scheinen in dem Fall mit einer Vorlage zu arbeiten (oft auch komplett unbemerkt – z.B. durch kopieren und anpassen ähnlicher Dokumente zum erstellen neuer Dokumente).

Um dahinter zu kommen tut man folgendes:

  • .docx Datei kopieren und die Kopie in .zip umbenennen
  • diese .zip-Datei entpacken
  • im Unterordner /docProps/ die Datei app.xml öffnen
  • in dieser XML-Datei steht unter <Template> das entsprechend verwendete (oder durch Domänenrichtlinie vorgeschriebene) Template
  • Dieses Template kann einen Druck auf Briefpapier oder anderen Formaten als Normalpapier verhindern.

Hier hat man also das verwendete Template und könnte für die endgültige Lösung z.B. bei einem vorgeschriebenen Template durch eine Domänenrichtlinie eine Anpassung durchzuführen. Ist dies nicht möglich oder würde für dringende Dokumente zu lange dauern tut man folgendes:

  • Im entsprechenden Word-Dokument „Datei“->“Optionen“->“Add-Ins“-> Im Dropdown-Menü „Vorlagen“ auswählen.
  • Auf den Button neben dem Feld klicken
  • unter Dokumentvorlage kann eine andere Vorlage ausgewählt werden, normal.dotm ist in dem dann geöffneten Ordner die Standardvorlage von Word.

Damit sollte in dem Fall für dieses Dokument der Druck wieder auf jeglichem Papierformat möglich sein. Für sämtliche Kopien dieses Dokuments (auch nach Anpassungen) auch. Wird allerdings ein anderes Dokument mit alter Vorlage kopiert tritt der Fehler erneut auf – hier empfiehlt es sich also eine Datei zu speichern die für Anwender als Vorlage zum kopieren gilt.