Eigentlich mag ich ja Internetbanking. Zu normalen Banköffnungszeiten arbeite ich, und ich bin nicht an lokale Banken gebunden. Meine bisherigen Erfahrungen waren auch recht positiv – allerdings beschleichen mich leichte Zweifel, wenn ich mir die Fehlermeldungen der Pluscard GmbH angucke.

Früher hab ich meine Kreditkartenauszüge einfach via Papierpost bekommen, kein Problem. Seitdem ich jedoch eine neue Kreditkarte habe, bekomme ich die nur noch am Kontoauszugsdrucker – oder für 55 ct. via Post. Da ich oft vergesse, am Kontoauszugsdrucker vorbeizuschauen, hab ich mich für den Onlineabruf bei der Pluscard GmbH freischalten lassen.

Ich hatte schon öfter Probleme, mich dort erfolgreich einzuloggen. Heute morgen bekomme ich jedoch obige lustige Fehlermeldung (auf das Bild klicken für eine größere Version). Abgesehen davon, daß es einfach schlechter Stil ist, seinen Kunden so eine Seite zu präsentieren, verwundert mich die Technik dahinter:

Die schreiben meine Logindaten unverschlüsselt in eine “Fehler”-Datenbank!

Meine Kreditkarten- und Paßwortdaten habe ich natürlich ausgegraut, aber die standen da im Klartext. Drumherum noch viele Informationen über den Linux-Rechner (Ich tippe auf SuSE Linux irgendwas). Und was bitte schön haben KDE und Gnome auf einem Webserver verloren? Ich selbst soll also beim Onlinebanking keine Paßwörter notieren, meine Kreditkartennummer nicht weitergeben etc. Aber wenn es um die Fehlersuche geht, dann darf der Admin mal eben schnell alle möglichen Daten einsehen. Hm, was passiert wohl, wenn es jemandem gelingt, die Datenbank zu klauen?

Das eine Packstation mal ausfällt, ist ärgerlich, aber ok. Beim Onlinebanking erwarte ich wesentlich mehr.

CACert offers X.509 certificates for free. You can use these certificates for email signing and encryption, as well as securing your server services.

The CACert can offer these services for free because it builds a web of trust: you need a CACert assurer to verify your identity. The assurer then can give you trust points, and based on your point level you’re allowed to get certificates with different trust levels. If you gather 100 points, you’re granted the assurer permissions which means that you can assure other people.

I think this is a really nice idea: CACert brings the grass-root principles of GPG to the X.509 world. Unfortunately, the browsers currently do not trust the CACert root certificate (which means you still need to confirm that you trust a certificate issued by CACert). But the process is on the way for Firefox & Co. And using CACert certificates is a better way than using your self-signed certificates anyway…

BTW, if you’re in Kaiserslautern, the CACert site lists about 25 assurer (login required) that can help you to verify your identity.