Ich bin dabei, mich in Portugal einzugewöhnen. die Sprache spreche ich inzwischen auf Niveau A2, A1 ist, wenn man seinen Namen sagen und sich unfallfrei einen Kaffee bestellen kann, C2 ist, wenn man Muttersprachler ist. A2 braucht man, um sich einbürgern zu lassen, B2, wenn man hier irgendwann mit den einheimischen vernünftig arbeiten will.

Ich werde versuchen, morgen mein 1. Brot hier zu backen. Meinen Sauerteig haben ich inzwischen gut genug gepäppelt, das sollte also gehen – wenn auch mit mehr Hefe als sonst.

Ich hatte genau 1 Bewerbung geschrieben und dann auch prompt einen Job gefunden. Werbeaccount Support für Facebook.

Dazu muss ich etwas aus meiner IT-Erfahrung sagen:

Wenn Euer Werbekonto gehackt ist und ihr keine (!!!!!!!!!) Nachricht über ungewöhnliche Aktivitäten in eurem Account per Mail bekommen habt (95 % der Meldungen sind so) heißt das, dass niemand Eure Zugangsdaten geklaut hat – die Bösen haben Eure Sessions geklaut!

Seit spätestens 2012 kann man beliebige Web-Applikationen per OAUTH2.0 an Facebook anbinden, um das als Anmelde-Service zu nutzen. Das weiß ich, weil ich schon 2012 genau das gemacht habe. das steht auch in allen Microsoft Dokumentationen, wie das geht. Öffentlich.

Siehe z.B. hier: https://learn.microsoft.com/de-de/azure/active-directory-b2c/identity-provider-facebook?pivots=b2c-user-flow oder auch hier; https://developers.facebook.com/docs/facebook-login/guides/advanced/manual-flow/

Wir funktioniert dann jetzt die Anmeldung?

Ich melde mich an, Benutzername und Passwort werden abgefragt und matchen, M2F wird abgefragt und matcht, dann bekomme ich sog. Grant-Tickets.

Wer mehr dazu wissen will, bitte: https://fusionauth.io/articles/oauth/complete-list-oauth-grants

Niemand will sich alle 3 Sekunden gegen irgendwas authentifizieren, also werden die Daten gespeichert und Session offen gehalten. Je älter so eine Session ist, je länger also der Anmelde Prozess dafür her ist, desto eher kann diese Session übernommen werden.

Klar sind die Sessions alle gekapselt und verschlüsselt, aber mit genug Zeit kann ich jede Verschlüsselung knacken.

Das heißt, die ältesten Sessions sind am anfälligsten für Hack. Das heißt auch, dass der Log-Out Button Dein Freud ist. Die Scammer scannen die offenen Sessions, am liebsten die inaktiven, finden welche, knacken die Verschlüsselung und starten einen klassischen Man in the Middle.

Multi-Faktor wird in der bestehen Session nicht mehr gebraucht, das wurde ja schon abgefragt. Und dann wird irgendein Account hinzugefügt, sagen wir John. W, der mit Admin-Rechten versorgt wird, der ist Admin von eigenem Recht, wurde aber von Eurer übernommenen Session dazu gemacht.

Wenn Ihr Werbung bei Facebook macht – ausloggen. Jeden Tag. Bitte auch an die Smartphones und Tablets denken.