Ingress: Axa Shield

Geschrieben von everflux am Januar 10th, 2015

Bei dem augmented Reality Game „Ingress“ von Google gibt es jetzt „Axa Shields“. Es handelt sich dabei um Werbung für die Versicherung „Axa“, deren Logo auch auf dem Schutzschild zu erkennen ist. Im Gegensatz zu der eher lieblosen und nervigen Vodafone-alle-Shops-sind-hässliche-Portale Werbung finde ich das einen gelungenen Schachzug: Es passt dass man als Versicherung ja eben „Schutz“ als Produkt hat. Dazu empfinde ich das Branding angenehm und nicht aufdringlich.

Man kann dass Shield vor allem bei Axa Agentur-Portalen hacken, jedoch auch einfach so, wie hier bei mir:

ingress-axa-shield

Auf der Meta-Ebene finde ich das ganze aber noch viel interessanter: Im Umfeld der Versicherer war schon lange abzusehen dass Änderungen im Auftreten, Umgang mit Kunden und aktuellen technischen Entwicklungen überfällig sind. In letzter Zeit – aber das kann natürlich selektive Wahrnehmung sein – mehren sich für mich die Zeichen für Evolution oder sogar Revolution:

  • Google arbeitet an KFZ Versicherungen: http://blogs.wsj.com/digits/2015/01/08/google-wants-to-sell-you-auto-insurance/
  • Die ING tritt auf der Devoxx auf – in einer Keynote – und stellt dort vor, wie ihr Technologie-Stack und Vorgehen im Wandel ist, gleichzeitig engagiert die ING sich stark in der Angular JavaScript Community und dem Framework mit OpenSource Entwicklungen wie spectINGular
  • Auch die LVM Versicherung mit Stammsitz Münster soll hier nicht fehlen: Seit bereits zwei Jahren sponsort sie die lokale Java Usergroup und stellt Raum und Catering

Eher ideenlos finde ich dagegen die Ideen einiger Versicherer Daten auszuwerten und günstigere KFZ Versicherungen anzubieten, wenn man sich permanent überwachen lässt und im Sinne der Versicherung Wohlverhalten an den Tag legt.

Analyse des Twitter Login Problems 2014-12

Geschrieben von everflux am Dezember 29th, 2014

Es fing damit an, dass Twitter mich ausgeloggt hat. Und ich mich nicht wieder einloggen konnte. Die native App faselte was von ‚retry later‘ oder falschem Passwort, die Webseite erzählte etwas von einem bekannten technischen Problem. Jedoch war auf status.twitter.com nichts zu sehen. Da ich davor einige Experimente mit Spring Integration und Twitter gemacht hatte und dabei auch mehrfach rate-limit Fehlermeldungen erzeugt hatte (versehentlich, wirklich!), machte ich mir Sorgen dass ich jetzt Twitter kaputt gemacht haben könnte.

Oder zumindest Twitter ernsthaft auf mich sauer sein könnte. Hilft alles nichts, muss man mal tiefer einsteigen.

Schaut man sich die Fehlermeldung an, sieht es aus, als wenn die OAuth Tokens, die Twitter zur Authentifizierung einsetzt und auch selbst ausstellt, von Twitter nicht verifiziert werden können. Die Signatur sei falsch. NSA Gedanken! Da ist bestimmt ein Schlapphut Schuld!

…. oder etwas ganz banales? Die Uhrzeit des Servers sieht komisch aus. Exakt ein Jahr in der Zukunft.

twitter-doy

So ganz habe ich zwar keine Idee wie so was mit der Hardware Uhr passieren könnte – aber ich habe eine Hypothese, was ein Programmierer tun könnte um den Fehler auszulösen.

Der Fehler trat ab ca. 0 Uhr UTC am 29.12. auf – zumindest hab ich ihn da bemerkt.

Es ist Montag der 29. 12. im Jahr 2014. Morgen ist Dienstag, 30., auch 2014. Mittwoch ist Silver, 31. – noch 2014. Das sind drei Tage. Die nächsten Tage sind alle schon in 2015.

Wenn sich jemand bei einem Date-Format einen super schwer zu findenden Bug einbauen möchte, dann verwendet er „YYYY“ statt „yyyy“ für die Jahreszahl. Das ist nämlich dann das „Week-Year“ und nicht das kalendarische Datum. Das ist dann das Jahr zu dem die Kalenderwoche gehört. Und es ist bereits KW 1 von 2015….

Das klingt abwegig? Habe ich schon zig mal in Code-Reviews gesehen. Die Wahrscheinlichkeit dass man dafür Sensibilität entwickelt hat, ohne dass man davon mal gebissen wurde halte ich für recht gering.

Inzwischen hat Twitter dazu ein Statement veröffentlicht

Between 4:00 and 9:25 PST today some users were unable to sign in to twitter.
This issue was due to a bug in our front end code, which has been patched.
We apologize for any inconvenience caused by this.

Da scheine ich gar nicht schlecht gelegen zu haben mit dem Bug – es war zumindest nicht die Hardware-Uhr und 04:00 PST ist 00:00 UTC 🙂

Zu solchen Verwirrungen traegt es u.U. bei, dass in Ruby „Y“ genau das richtige ist und in Java „y“ – aber „Y“ auch erstmal funktioniert und keine augenscheinlichen Probleme verursacht.

Referenzen:

Gourmondo: TECHNICAL_PRBLEM fail

Geschrieben von everflux am November 9th, 2014

Diese Sache mit lokalisierten Texten ist aber auch wirklich blöde…

gourmondo-fail

Bundesamt für Steuern: Zope fail

Geschrieben von everflux am September 26th, 2014

Dank dem total unkomplizierten Steuerrecht muss man beim VAT reversed Verfahren zur Abrechnung von IT Dienstleistungen im EU Binnenland immer sicherstellen, dass die VAT Nummer auch korrekt ist – und zum Rechnungsempfänger gehört.
Die Anwendung des Bundesamts für Steuern fühlt sich etwas rustikal an, tut aber meistens. Meistens.
bundesamt-fuer-steuern-fail

Tastatureingabe für crypt-setup nach Kernel Update / 14.04

Geschrieben von everflux am Mai 17th, 2014

Nach dem Update auf den neuesten Kernel unter Ubuntu 14.04 funktionierte bei mir die Tastatureingabe nicht mehr beim Booten. Das ist deswegen relevant, weil ich zu dem Zeitpunkt das Passwort der Festplatten-Verschlüsselung angeben muss.
Dazu gibt es auch Bugs bei Canonical, die verschiedene Workarounds vorschlagen. In meinem Fall hat jedoch gereicht, dass ich ein Paket zusätzlich installiere, dass die benötigten USB und Tastaturtreiber für die initiale Ramdisk zur Verfügung stellt:


sudo apt-get install linux-image-extra-3.13.0-24-generic
sudo update-initramfs -u

Lieber E-Mail-benutzer;

Geschrieben von everflux am Januar 6th, 2014

Das ist das original Subject der wohl miesestens Phishing Mail, die ich je bekommen habe. Aber da darf sich jeder selbst ein Bild machen:

 

 

From: "HypoVereinsbank" <[email protected]>
Subject: Lieber E-Mail-benutzer;

Lieber E-Mail-benutzer;

UNS HABEN SIE ZUGRIFF 23,432 Boxen überschritten your List setzen
Web-Service-/ Admin, und SIE Werden problème Haben, Das Senden und
E-Mails EMPFANGEN, Bis SIE wieder zu überprüfen. Wann & SIE DURCH Sich
einen Klick Markt auf Upgrade-
unten stehenden Link-und filling SIE sterben Details zu Ihrem Konto
überprüfen
Bitte Markt auf Musikersuche Höhle untenstehenden Link-oder KOPIEREN
Einfügen in Ihrem Browser, ähm Den Inhalt der Zwischenablage zu
überprüfen.

//LINK entfernt//

Achtung!
Andernfalls Werden Nur begrenzten zugang zu E-Mail-posteingang. WENN
Nicht Markt auf Ihr Konto Innerhalb von Drei Tagen Über Aktuelles zu
aktualisieren
Benachrichtigung, WIRD Ihr Konto Dauerhaft geschlossen Werden.
Mit freundlichen Grüßen,
System Administrator ®

Dazu gibt es dann auch eine „Webseite“, diese sieht dann so aus:

webmail-update

Wenn das mal nicht …. das Webmail der HypoVereinsbank ist!

CorpusResponseInformationArrayException

Geschrieben von everflux am August 7th, 2013

So gesehen bei T-Online…

exception

James Bond – nicht gezahlt?

Geschrieben von everflux am Oktober 30th, 2012

Der neue James Bond ist (wieder einmal) ein Meisterwerk an Product-Placement. Heineken hat einen mittleren zweistelligen Millionenbetrag investiert, habe ich gelesen.

Doch wie ist das eigentlich, wenn nicht bezahlt wird. Insbesondere wenn eine dramatische Szene „versehentlich“ ein Produkt eines Nichtzahlers, womöglich sogar eines Konkurrenten zu sehr ins Bild rückt?

Da gibt es eine ganz pragmatische Lösung in guter alter James Bond Manier: Dafür sorgen, dass es keiner sieht.

Weiterlesen »

DB: Sicherheit bei Textfeldern

Geschrieben von everflux am August 26th, 2012

Die Deutsche Bahn hat so bei Online Tickets auch vorgesehen, diese Online zu stornieren. Jedoch ist das nicht unbedingt vollautomatisch moeglich, z.B. falls das Ticket bereits den Gueltigkeitszeitpunkt erreicht hat.
Dann muss da auch eine Begruendung eingegeben werden, ich hatte einen ICE der direkt mit 15 Minuten Verspaetung starten sollte, so dass ich Anschluesse nicht mehr so erreicht haette, dass ich zu humanen Zeiten zuhause gewesen waere.
Genau das wollte ich der DB auch mitteilen. An den offensichtlich zum Schutz gegen Injektions-Angriffen eingebauten Vorgaben bin ich dann jedoch erstmal gescheitert…

Google Plus Kontakte im Google Talk

Geschrieben von everflux am Februar 19th, 2012

Seit einiger Zeit haben sich bei mir merkwürdige Kontakte im Google Talk breit gemacht. Ich kannte die Personen zwar, doch konnte ich mich kein Stück erinnern, dass ich diese im Google Talk hinzugefügt hätte. Besonders auf dem Handy nervt das, möchte ich besonders da nur die wichtigsten Kontakte haben.

Nach einigem überlegen wurde mir dann klar: Das sind Google Plus Kontakte! Offenbar wurden alle hinzugefügten Kontakte magisch in mein Google Talk eingebunden. Doch wie schaltet man das aus? Ich habe keine Option gefunden. Weder im Google Plus auf dem Android Handy, noch im Google Talk.

Auch wenn ich per Browser – vom Handy aus – auf die Google Plus Seite gegangen bin, konnte ich keine passende Einstellung finden. (Ich dachte erst noch, dass es an der mobilen Version von Google Plus liegen könnte. Also fix im Handy auf „request desktop version“ geklickt. Interessiert sich Google nur  nicht für. Wieso auch, sind ja beides auch nur Google Produkte, da kann man ja nicht erwarten, dass die zusammenarbeiten… bei Google muss man am Ende der Seite den „show desktop version“ Link(!) benutzen.)

Jedenfalls habe ich dann im Browser nach einigem Suchen endlich die richtige Option gefunden. Es handelt sich um die „Datenschutzeinstellungen“ für den Chat. Sehr logisch. Da kann man dann auf „benutzerdefiniert“ klicken und sich aussuchen welche Kreise man gerne im Google Chat eingebaut haben möchte. Keine geht dann sogar auch. Naja dann lass ich das mal als halben fail durchgehen.

Hier noch die bebilderte Anleitung für Leidens-genossen:

In den Datenschutzeinstellungen kann man konfigurieren welche Google Plus Kontakte im Google Talk angezeigt werden sollen:

Ich streite nicht ab, dass es eine Geschmackssache ist, eine einfache Möglichkeit das einzustellen hätte ich mir jedoch gewünscht – vor allem vom mobilen Gerät aus.


http://everflux.de/
Copyright © 2007, 2008 everflux. Alle Rechte vorbehalten. All rights reserved.