Freitag, 15. Mai 2009
Unauthentifizierte Verärgerung
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Also ich kann über meine BlackBerry sowie meinen PDA auf meine Webseiten gehen und dort Sachen anklicken oder Mails versenden 
Naja, solange der Kunde nichts von social engineering gehört hat, kann man ihm auch nicht helfen.
Naja, solange der Kunde nichts von social engineering gehört hat, kann man ihm auch nicht helfen.
Solange man als Kunde auch nicht in der Lage ist einfach mal anzurufen und irgendwelche Daten zu nennen die sonst keiner wissen kann, kann man sowas doch auch einfach in die kategorie "Arschloch und andere unverschämte" einordnen?!
Alle diese "nennbaren" Daten könnten ebenfalls illegal erhalten worden sein. Es gibt, außer einem Passwort, keine sichere Authentifizierung. Selbst ein Geburtsdatum oder die Kontonummer reichen nicht aus - das steht ja im Handelsregister (z.B.)
Als wäre es so ein großes Problem für diesen Herren über das Blackberry auf seine Reguläre Mailadresse zuzugreifen.
Im Zweifelsfall über ein Zweitkonto dass auch als Kontakt bei euch angegeben ist, aber soweit denken die meisten Leute einfach nicht.
Im Zweifelsfall über ein Zweitkonto dass auch als Kontakt bei euch angegeben ist, aber soweit denken die meisten Leute einfach nicht.
Schlag dem Kunden doch vor, sich an einen geeigneten Supportdienstleister zu wenden, der dem Herrn den Blackberry für alle hier genannten Formen von Internet-Nutzung konfiguriert - dann ist ihm dauerhaft geholfen.
OK, das kostet den Kunden erstmal ein paar Euro, aber wer einen Server betreibt und darauf angewiesen ist (zu sein scheint), sollte diese kleine Ausgabe nicht scheuen.
(OK, ich denke manchmal zu praktisch, stimmt auch wieder... *grins*).
OK, das kostet den Kunden erstmal ein paar Euro, aber wer einen Server betreibt und darauf angewiesen ist (zu sein scheint), sollte diese kleine Ausgabe nicht scheuen.
(OK, ich denke manchmal zu praktisch, stimmt auch wieder... *grins*).
Okay, ich sehe bei Servern seid ihr deutlich sensibler als bei euren Hostingpacketen...
Dort habe ich bei euch teilweise schon Domains für Firmen beantragt, die mir nicht einmal vom Namen her ähneln...
Dort habe ich bei euch teilweise schon Domains für Firmen beantragt, die mir nicht einmal vom Namen her ähneln...
Es ist nicht Aufgabe des Hosters, Domainnamen zu prüfen. Wenn Du damit Rechte anderer verletzt, ist das Dein Problem ...
Ich glaube man sollte den Auftrag zur Schaltung einer Domain nicht mit dem reboot eines Servers vergleichen. In vielen Fällen laufen auf einem Server Dienste die nicht automatisch gestartet werden. Da wäre es irgendwie ungünstig wenn irgendjemand einfach einen Neustart vornimmt.
Was wäre z.B. mit einem Server der die Bilder einer Überwachungskamera speichern soll. Ein Anruf beim Provider: "Starte den Mal neu" und die Kamera ist mindestens für fünf Minuten blind.
(Mir fällt gerade kein passenderes Beispiel ein)
Was wäre z.B. mit einem Server der die Bilder einer Überwachungskamera speichern soll. Ein Anruf beim Provider: "Starte den Mal neu" und die Kamera ist mindestens für fünf Minuten blind.
(Mir fällt gerade kein passenderes Beispiel ein)
Trotzdem ein gutes Beispiel. Ein anderes wäre z.B. das Spurenverwischen durch Löschung von Daten des RAMs, die bei einem sauberen Reboot erhalten blieben. Ein grundloses Abschalten/Resetten könnte sogar strafbar sein, da ja die Daten beschädigt werden könnten? (bei Ext2 war das Risiko z.B. ziemlich groß)
Wer Domains wie beantragt oder umzieht ist erstmal Wurst, solange er authorisiert ist. Die Beantragung an sich kann jeder vornehmen; gibt es damit rechtliche Probleme, dann interessiert das den Registrar erstmal nicht weiter, solange keine entsprechende Klage eines Geschädigten erfolgt und er sich auf anderen Wegen darum gekümmert hat, für eine Übernahme der Domain authorisiert worden zu sein (Gerichtsbeschluss, Einigung etc.). Und genau das ist es auch bei regulären Umzügen oder Datenänderungen von Domains: Es muss immer eine Authorisierung erfolgen. Domains werden zum Umzug freigegeben und beide Parteien haben die entsprechenden Daten zu prüfen, um dann ein ACK(nowledge) der Domain zu senden ((Firmen-)Name, Anschrift, Unterschrift, Handelsregisternummer, Telefonnummer/E-Mail-Adresse, ...). Hat der Domaininhaber KKs und ACKs selbst in der Hand, muss zumindest einer der Registrare nicht mehr eingreifen; andernfalls tut dies der Registrar für ihn, sofern die Daten vertrauenswürdig genug erscheinen. Bei Domains der InterNIC reicht übrigens allein die Freigabe + der Auth(orisierungs)-Code. Sofern diese Daten vorliegen, kann der Umzug einseitig durchgeführt werden.
Eine Möglichkeit der Authorisierung für den Reboot-Wunsch wäre vielleicht noch gewesen, die Mail zu signieren (dann müsste der Schlüssel vorab als authorisiert bekannt sein). Alternativ wäre es evtl. auch noch möglich gewesen, ganz klassisch ein Fax mit Unterschrift und vollständigen Daten zu senden, sofern das Authorisierung genug ist (die Unterschrift findet sich schließlich auch auf diversen Papieren, die gestohlen sein könnten). Daß Manitu sogar versucht hat, den Kunden via bekannten (und damit authentifizierten) Kontaktdaten zu erreichen, zeigt schon, daß der Kunde nicht einfach abgewiesen wurde. Wer dort natürlich seine Daten nicht aktuell hält, ist selbst schuld, wenn seine Identität dann nicht festgestellt werden kann.
Wer Domains wie beantragt oder umzieht ist erstmal Wurst, solange er authorisiert ist. Die Beantragung an sich kann jeder vornehmen; gibt es damit rechtliche Probleme, dann interessiert das den Registrar erstmal nicht weiter, solange keine entsprechende Klage eines Geschädigten erfolgt und er sich auf anderen Wegen darum gekümmert hat, für eine Übernahme der Domain authorisiert worden zu sein (Gerichtsbeschluss, Einigung etc.). Und genau das ist es auch bei regulären Umzügen oder Datenänderungen von Domains: Es muss immer eine Authorisierung erfolgen. Domains werden zum Umzug freigegeben und beide Parteien haben die entsprechenden Daten zu prüfen, um dann ein ACK(nowledge) der Domain zu senden ((Firmen-)Name, Anschrift, Unterschrift, Handelsregisternummer, Telefonnummer/E-Mail-Adresse, ...). Hat der Domaininhaber KKs und ACKs selbst in der Hand, muss zumindest einer der Registrare nicht mehr eingreifen; andernfalls tut dies der Registrar für ihn, sofern die Daten vertrauenswürdig genug erscheinen. Bei Domains der InterNIC reicht übrigens allein die Freigabe + der Auth(orisierungs)-Code. Sofern diese Daten vorliegen, kann der Umzug einseitig durchgeführt werden.
Eine Möglichkeit der Authorisierung für den Reboot-Wunsch wäre vielleicht noch gewesen, die Mail zu signieren (dann müsste der Schlüssel vorab als authorisiert bekannt sein). Alternativ wäre es evtl. auch noch möglich gewesen, ganz klassisch ein Fax mit Unterschrift und vollständigen Daten zu senden, sofern das Authorisierung genug ist (die Unterschrift findet sich schließlich auch auf diversen Papieren, die gestohlen sein könnten). Daß Manitu sogar versucht hat, den Kunden via bekannten (und damit authentifizierten) Kontaktdaten zu erreichen, zeigt schon, daß der Kunde nicht einfach abgewiesen wurde. Wer dort natürlich seine Daten nicht aktuell hält, ist selbst schuld, wenn seine Identität dann nicht festgestellt werden kann.
Also ich kann auch nicht mit jedem Blackberry den wir in der Firma haben ins Internet oder alle Mailadressen verwenden....
Browsen ist per Policy verboten, macht der Blackberry dann nicht mal mit Fremdsoftware, und Postfach liest er genau eines aus dem Exchange, und das ist mein persoenliches und nicht mein Administratives.
Gruss
J
Browsen ist per Policy verboten, macht der Blackberry dann nicht mal mit Fremdsoftware, und Postfach liest er genau eines aus dem Exchange, und das ist mein persoenliches und nicht mein Administratives.
Gruss
J
Könnt ihr für mich bitte mal kurz den Server mit der IP 217.11.49.50 neustarten? Ich habe gerade meine Zugangsdaten nicht zur Hand. Vielen Dank.
Ach und wenn ihr schon dabei seid, bitte eine Neuinstallation mit Ubuntu bei IP 127.0.0.1 durchführen.
Ach und wenn ihr schon dabei seid, bitte eine Neuinstallation mit Ubuntu bei IP 127.0.0.1 durchführen.
Heißt das, wenn Absender Name UND Absender E-Mail-Adresse gestimmt hätten, hättet ihr den Reboot durchgeführt?
Aus genau diesem Grund bin ich eigentlich immer mit Laptop/UMTS unterwegs und suche immer noch eine GnuPG Implementierung für Symbian (S60 3rd), bis ich diese gefunden habe, müssen die Mails an den Support eben signiert vom Laptop kommen -- mutt mit putty macht auf 240x320 einfach keinen Spaß
Aus genau diesem Grund bin ich eigentlich immer mit Laptop/UMTS unterwegs und suche immer noch eine GnuPG Implementierung für Symbian (S60 3rd), bis ich diese gefunden habe, müssen die Mails an den Support eben signiert vom Laptop kommen -- mutt mit putty macht auf 240x320 einfach keinen Spaß
Manche Leute fühlen sich irgendwie sofort angepisst, wenn etwas nicht so funktioniert, wie sie es wollen. Offenbar hat der Kunde noch nicht gemerkt, daß das Tippen seiner Mail länger dauerte, als die Handgriffe, die er benötigt...
Aber hauptsache, erstmal schön künstlich aufgeregt.
Aber hauptsache, erstmal schön künstlich aufgeregt.
Wenn man glaubt dümmer geht's nicht mehr,
kommt von irgendwo ein DAU daher...
kommt von irgendwo ein DAU daher...
"Sie haetten genaso gut versuchen koennen, den server anzupingen."
Ich schätze es dauert für den Support keine 30 Sekunden um festzustellen, ob der Server wirklich weg ist und falls das der Fall war, ist es wirklich schlechter Service.
Ich schätze es dauert für den Support keine 30 Sekunden um festzustellen, ob der Server wirklich weg ist und falls das der Fall war, ist es wirklich schlechter Service.
So, und jetzt nochmal nachdenken, was das bedeutet.
Server ist nicht pingbar? Oh! Wir rebooten den Mal! - Was wäre, wenn der Admin das Echo-Reply bei Pings einfach nur deaktiviert hat? Dann rebooten wir den Server bis in die Ewigkeit.
Oder: Stellen wir uns mal vor, der Server wurde vom echten ADmin bewusst heruntergefahren, und bei uns meldet sich ein Dritter, der uns via Social Enginerring klarmachen zu wollen, dass wir ihn wieder anschalten sollen. - Klingt wenig bedrohlich, aber wenn das Herunterfahren z.B. eine Reaktion auf eine juristische Vorgabe (z.B. Abmahnung und damit verbundene Unterlassung) war, haften wir mit, evtl. sogar zu 100%.
Ganz klar: Es war kein schlechter Service, sondern ein Halten an Protokolle, Vorgaben und Prozesse. WEnn der Kunde sich ausweisen kann, rebooten wir oder legen anderweitig Hand an, gar keine Frage. Ein simpler "Schauen Sie doch mal, der Server pingt nicht" ist 0 Art von Autorisation oder Authentizität. Somit kein schlechter, sondern im Gegenteil ein guter Service. Im Interesse des Kunden, der auch nicht wollte, dass ein anderer Dritter mal eben bei uns einen Auftrag einkippt.
Server ist nicht pingbar? Oh! Wir rebooten den Mal! - Was wäre, wenn der Admin das Echo-Reply bei Pings einfach nur deaktiviert hat? Dann rebooten wir den Server bis in die Ewigkeit.
Oder: Stellen wir uns mal vor, der Server wurde vom echten ADmin bewusst heruntergefahren, und bei uns meldet sich ein Dritter, der uns via Social Enginerring klarmachen zu wollen, dass wir ihn wieder anschalten sollen. - Klingt wenig bedrohlich, aber wenn das Herunterfahren z.B. eine Reaktion auf eine juristische Vorgabe (z.B. Abmahnung und damit verbundene Unterlassung) war, haften wir mit, evtl. sogar zu 100%.
Ganz klar: Es war kein schlechter Service, sondern ein Halten an Protokolle, Vorgaben und Prozesse. WEnn der Kunde sich ausweisen kann, rebooten wir oder legen anderweitig Hand an, gar keine Frage. Ein simpler "Schauen Sie doch mal, der Server pingt nicht" ist 0 Art von Autorisation oder Authentizität. Somit kein schlechter, sondern im Gegenteil ein guter Service. Im Interesse des Kunden, der auch nicht wollte, dass ein anderer Dritter mal eben bei uns einen Auftrag einkippt.
Semi-OT: Wie kann man dem BlackBerry dieses "I'm" abgewöhnen? Alle Statussymbolträger in unserem Unternehmen versenden ständig E-Mails mit diesen Fehlern und ich halte das für extrem unprofessionell. Aber niemand von denen findet den Knopf zum abstellen... 
Auch ein Blackberry kann nicht auf einen E-Mail-Server zugreifen, wenn dieser auf dem nicht mehr reagierenden Server laufen sollte.
Ebenso hat man seine Zugangsdaten für das Kunden-CP nicht immer im Kopf und wenn man dann auf Reisen ist, ist es nunmal essig mit "mal eben ins Kunden-CP".
Und nein - ich bin nicht der Kunde.
Ebenso hat man seine Zugangsdaten für das Kunden-CP nicht immer im Kopf und wenn man dann auf Reisen ist, ist es nunmal essig mit "mal eben ins Kunden-CP".
Und nein - ich bin nicht der Kunde.
Wenn man gar keine Möglichkeit hat,s ich auszuweisen, hat man - zugegeben - Pech.
Das wäre so, als ob ich als Unbekannter vor einer unbekannten Bank stehe ohne jegliche Nachweise und dann von einem unbekannten Konto Geld haben möchte.
Ich hoffe, es klingelt bei allen, die es immer noch nicht verstanden haben.
Das wäre so, als ob ich als Unbekannter vor einer unbekannten Bank stehe ohne jegliche Nachweise und dann von einem unbekannten Konto Geld haben möchte.
Ich hoffe, es klingelt bei allen, die es immer noch nicht verstanden haben.
Hm, "sich auszuweisen" ist ja nun weit entfernt von "Ich habe einen sicheren Internetzugang vor mir und kenne meine CP-Login-Daten". Mobilfunkprovider lösen dieses Problem übrigens durch ein Kundenkennwort, welches man bei Vertragsbeginn festgelegt hat. Ohne dieses kann man telefonisch keine Änderungen am Vertrag vornehmen. (Und nein, das ist nicht das selbe wie das PW vom Admin-CP: Beim Telefon habe ich keinen BruteForce oder Dictionary-Angriff zu erwarten und kann das Ding dementsprechend "einfacher" wählen.)
Klar - der Kunde ist selber schuld. Aber es gibt genug Unternehmen, die dieses "Problem" schon gelöst haben.
Klar - der Kunde ist selber schuld. Aber es gibt genug Unternehmen, die dieses "Problem" schon gelöst haben.
Ganz ehrlich: Das würden 99% der Kunden auch nicht mehr erkennnen, es würde (ich habe das mal überschlagen) als Prozess eine fast fünstellige Summe kennen, um bislang einen einzigen derart gelagerten Fall in 7 Jahren RZ-Betrieb zu "lösen". Diese knapp 10.000 Euro Kosten würden alle Kunden zu tragen haben.
Ehrlich? Nein. Das Geld würde ich lieber spenden anstatt es derart sinnbefreit einzusetzen.
Ehrlich? Nein. Das Geld würde ich lieber spenden anstatt es derart sinnbefreit einzusetzen.
Nun, niemand zwingt einen Unternehmer ein solches Verfahren einzusetzen - obwohl ich die Bezeichnung "sinnbefreit" für ziemlich daneben halte, weil es ein sehr verbreitetes Verfahren ist.
Dummerweise sind das halt Punkte, die man erst im Schadensfall als Kunde erlebt (bzw. zu schätzen weiß) - und eben diese Dinge bringen einen eben dazu, sein Glück bei einem anderen Provider zu suchen. Dich wird der Verlust dieses einen Kunden nicht schmerzen - insofern ist es ja wurscht. Und er findet vielleicht einen Provider, der dieses Merkmal anbietet. Dann sind alle glücklich - und die freie Marktwirtschaft hat mal wieder funktioniert...
Dummerweise sind das halt Punkte, die man erst im Schadensfall als Kunde erlebt (bzw. zu schätzen weiß) - und eben diese Dinge bringen einen eben dazu, sein Glück bei einem anderen Provider zu suchen. Dich wird der Verlust dieses einen Kunden nicht schmerzen - insofern ist es ja wurscht. Und er findet vielleicht einen Provider, der dieses Merkmal anbietet. Dann sind alle glücklich - und die freie Marktwirtschaft hat mal wieder funktioniert...
Aber es ist doch Aufgabe des Kunden, dafür vorzusorgen. Und ich bin ich froh, dass manitu da rigoros ist. Abgesehen davon, dass ich von unterwegs überall rankomme, autorisiere ich bei manitu auch immer vorab meine Urlaubsvertretung, damit solche Probleme gar nicht erst auftauchen.
Manuels Beispiel ist da schon ganz richtig. Ich stelle mir das gerade vor: "Aber ich hab' meine PIN zu Hause liegen und komme da nicht ran. Wie, Personalausweis? Was ist denn das für ein Service? Sie können doch mal auf's Konto schauen, dann sehen Sie, dass genug Geld drauf ist zum Abheben. Wo kann ich kündigen?"
Manuels Beispiel ist da schon ganz richtig. Ich stelle mir das gerade vor: "Aber ich hab' meine PIN zu Hause liegen und komme da nicht ran. Wie, Personalausweis? Was ist denn das für ein Service? Sie können doch mal auf's Konto schauen, dann sehen Sie, dass genug Geld drauf ist zum Abheben. Wo kann ich kündigen?"
"allerdings stimmte die E-Mail-Adresse nicht überein."
Das sollte aber nun wirklich nicht der ausschlaggebende Punkt bei sowas sein.
Eine beliebige Emailadresse als Absender zu verwenden ist auch nicht deutlich aufwendiger als
auf einen Briefumschlag eine erfundene Absendeadresse anzugeben...
Das sollte aber nun wirklich nicht der ausschlaggebende Punkt bei sowas sein.
Eine beliebige Emailadresse als Absender zu verwenden ist auch nicht deutlich aufwendiger als
auf einen Briefumschlag eine erfundene Absendeadresse anzugeben...
Die deutsche Post verwendet, im Gegensatz zu manitu und vielen anderen Anbieter von elektronischen Datenversendungsdiensten (kurz "E-Mail") kein SPF. Fälschen wird damit um einiges schwieriger.
Aber ich immer noch für eine PKI oder WoT. Authentischer gehts dann wirklich nicht mehr. Lohnt sich aber nur bei wirklich wichtigen Dingen, aufgrund des hohen Einrichtungsaufwands.
Aber ich immer noch für eine PKI oder WoT. Authentischer gehts dann wirklich nicht mehr. Lohnt sich aber nur bei wirklich wichtigen Dingen, aufgrund des hohen Einrichtungsaufwands.
IPv4 vs. IPv6
Du bist hier via
Suche
Ökostrom
Kalender
Kommentare
Sa, 26.05.2012 00:19
Naja die meisten Kunden sind h
alt keine Experten, wenn in me
inem Fenster eine Werbetafel e
röffnet werden würde, da [...]
Fr, 25.05.2012 23:17
http://blog.fefe.de/?ts=b14989
2a
Besser?
Zitat: "Micro
soft erwirkt Einfuhrstopp für
Android-Geräte von Motor [...]
Fr, 25.05.2012 19:46
Arbeit anderer 1:1 kopieren !=
dem was die Patenttrolle mome
ntan veranstalten.
Fr, 25.05.2012 18:54
Naja ne AGB ist ja auch schnel
l geschrieben, aber kaum wird
sie kopiert ist das geschrei g
roß
Do, 24.05.2012 21:20
Ich finde es nicht verwerflich
euch danach zu fragen.
Ihr h
abt halt einen super support!
Ich finde die Frage nic [...]
Do, 24.05.2012 20:37
Ich wuerde da weniger auf eine
n "Gesellen" im Browser tippen
, sondern eher auf ein gehackt
es Script auf seiner Web [...]
Do, 24.05.2012 19:14
Och,
ich empfinde das noch al
s relativ neutral. Und so frag
t er halt einfach nach bei dir
.
Do, 24.05.2012 17:34
Da halte ich mit Wellensittich
und "Hansi" dagegen
