Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Software & Infrastruktur

Sicherheitslücke bei Web.de, GMX und 1&1: Welche Nutzer jetzt aufpassen sollten

Sicherheitslücke. (Grafik: Shutterstock)

Eine schwere Sicherheitslücke soll es Dritten erlaubt haben, die Postfächer von GMX, Web.de und 1&1 zu öffnen. Die Lücke soll mittlerweile geschlossen sein, dennoch könnten Millionen Nutzer davon betroffen gewesen sein.

E-Mail-Sicherheitslücke bei GMX, Web.de und 1&1

Eine schwere Sicherheitslücke soll es Angreifern erlaubt haben, sich Zugriff auf die Postfächer von GMX-, Web.de- und 1&1-Nutzern zu verschaffen. Die Sicherheitslücke wurde von Wired entdeckt. Nach Angaben des Magazins habe man das Betreiberunternehmen United Internet am 11. August über die Sicherheitslücke informiert. Spätestens seit dem 14. August sei die Lücke geschlossen.

Betroffen waren laut Wired alle Nutzer, die von einem mobilen Browser aus mit deaktivierten Cookies auf das Web-Interface der betroffenen E-Mail-Dienste zugegriffen haben. Klickten sie in dieser Ansicht auf einen Link, haben GMX, Web.de und 1&1 die Session-ID per Referrer-URL übermittelt. Mittels dieser Session-ID konnten Angreifer zumindest theoretisch auf das Postfach der Betroffenen zugreifen und so beispielsweise Login-Daten oder andere sensible Informationen abgreifen. Allerdings auch nur, solange sich der eigentliche Nutzer nicht wieder abmeldet.

United Internet: Maximal 20.000 Kunden von GMX, 1&1 und Web.de sollen wirklich betroffen gewesen sein. (Screenshot: GMX)

United Internet: Maximal 20.000 Kunden betroffen gewesen

Wired rechnet in dem Artikel vor, dass 1,7 Millionen Nutzer der drei United-Internet-Portale betroffen sein könnten. Auf Nachfrage von t3n.de sagte ein United-Internet-Sprecher jedoch, dass nur etwa 20.000 Kunden überhaupt mit deaktivierten Cookies über ein Smartphone oder Tablet auf das Web-Interface der betroffenen E-Mail-Dienste zugreifen. Zumal der Spam-Filter des Anbieters ein massenhaftes Ausnutzen der Sicherheitslücke ebenfalls erschwert haben müsste. Darüber hinaus sei dem Unternehmen kein Fall bekannt, in dem ein Angreifer die Lücke tatsächlich ausgenutzt habe.

Mittlerweile ist es für Nutzer von Mobilgeräten nicht mehr möglich, bei deaktivierten Cookies auf das Web-Interface zuzugreifen. Das ist bei anderen E-Mail-Anbietern allerdings schon seit einiger Zeit üblich. Wer auf sein E-Mail-Konto bei GMX, Web.de und 1&1 vom Smartphone oder Tablet aus nur per App zugreift, muss sich keine Gedanken machen. Wer jedoch tatsächlich mit deaktivierten Cookies von seinem Mobilgerät auf das Web-Interface der Anbieter zugegriffen hat, tut vermutlich gut daran, vorsorglich seine Passwörter zu ändern.

Vorher solltet ihr einen Blick auf unseren Artikel „Datenschutz: So wählt ihr sichere Passwörter für eure Accounts“ werfen.

Bitte beachte unsere Community-Richtlinien

13 Reaktionen
Monik

Beenden Sie Ihre finanziellen Sorgen jetzt: Ich kann lächeln, dass gottesfürchtiger Mann, der $ 76.000 Usd gesichert hatte und zwei meiner Kollegen haben auch Darlehen von diesem Mann, ohne Schwierigkeiten erhalten. Ich rate Ihnen, nicht die falsche Person zu wählen, Sie werden auf jeden Fall für einen Cash-Darlehen für Ihr Projekt und jede andere Anwendung. Ich schrieb diesen Beitrag, weil Herr Bevorzugung Henry, mir ihre Darlehen fühlen gesegnet. Es ist durch einen Freund, dass ich diese ehrlich und großzügig gottesfürchtige Mann getroffen, der mir diesen Fonds für das Darlehen Ihres Lebens zu bezahlen bekommen geholfen, müssen Sie die finanzielle Hilfe, du bist stecken, keinen Zugang zu Bankkrediten haben oder nicht in zugunsten der Bank Ihre Bau, Immobilien-Entwicklung zu finanzieren, um die Entwicklung Ihres Unternehmens, Ihr eigenes Geschäft, Sie Geld gesehen und verdienen Sie haben müssen, schlechte Kredit-oder brauchen Geld, um Rechnungen oder Schulden zu bezahlen. Deshalb empfehlen wir, dass Sie dorthin gehen, wenden Sie sich und treffen sich mit Ihnen für die Dienste, die Sie danach fragen. Kontaktadresse: MRFAVOURINVESTMENT@OUTLOOK.COM

Antworten
freemanloanfinance

Kredite !! Kredite !! Kredite !! Gibt es jemand hier draußen, die immer noch kämpfen, ist ein Darlehen zu erhalten? Sind Sie in der Notwendigkeit eines Darlehens aus irgendeinem Grund, und Sie wissen nicht, wo billige und zuverlässige Kredite zu bekommen, ist Ihre Hilfe hier endlich, wie wir zu einem niedrigen Zinssatz von nur 2% günstige Kredite anbieten. Interessierte Kreditnehmer sind uns unter (Freemanloanfinance@gmail.com) per E-Mail zu kontaktieren und Ihre Darlehen heute.

Vielen Dank.
FREEMAN LOAN FINANCE.

Antworten
Kunden

Nicht jeder hat den Luxus, überall Wifi zu haben. Also schaltet man Daten aus und aktiviert oft nur Voice und natürlich SMS um das Tape nicht leersaugen zu lassen. Wer natürlich gut verdient oder auch die Leute die kostenlos im ICE Internet machen können, den betrifft das natürlich nicht so sehr.

Da stand "90%", nicht "99,999999999999%".

Man sollte gutwillig interpretieren. Sonst steigt vermutlich das Ärgerniveau beim Kunden.
https://t3n.de/news/kunden-hoelle-freelancer-schuetzen-629544/
https://t3n.de/news/freelancer-entwickler-honorar-608095/
Nenn drei erfolgreiche IT-Groß-Projekte und frag Dich wie die organisiert waren.

Woher soll man wissen das automatische Infektion auf dem eigenen Handy nicht geht ? Jailbreaks gibts ja auch. Nicht jeder kann sich ein iPhone leisten und M$, Oracle usw. haben ja sogar regelmäßige Patch-Days und wohl eher nicht für neue Features sondern wegen Sicherheits-Problemen.

Vielleicht war es unklar spezifiziert: Danke für den Hinweis auf die Adresse zu drücken. Aber woher soll die Ipad-Hausfrau oder der Ipad-Rentner das wissen und wieso soll sie/er sich die Arbeit machen ?
Statt also "(>Paypal-Hilfe)" sollte besser gleich "(>Paypal-Hilfe )" da drin stehen um die Mail in den Mülleimer zu schieben.
Du hast zwar Recht das man auch "Paypal-Hilfe paypal@paypal.paypal.paypal.com" reinschreiben könnte. Aber wieso steht da oft yahoo.com o.ä. ? Ich glaube vollständigen einheitlichen Fake des Absenders also der From-Zeile habe ich bisher noch nie gesehen sondern "(Vorname Nachname)" und "" passten praktisch nie zusammen. Ausnahme sind vielleicht diese Glücksspiel-Sites. Die geben ja zu wer sie sind und andere Spamsorten ja auch.

Wenn Dein Spamfilter funktioniert schön. Aber noch mal die Frage: Wer soll Hausfrau und Rentner und Handwerker den privaten Mail-Server installieren und warten ? Oder sollen die doch lieber bei Freemailern bleiben um die es hier ja geht ? Und wie erkennt man faule Admins bevor sie das root-Passwort haben ?

Die offiziellen Apps der Freemail-Anbieter sind nicht schneller als die Original-Clients z.b. vom iPhone. Also wird man eher beim Standard-iPhone-Email-Client bleiben. Leider ist sicherheitsfördernde Zusatz-Information dort bisher nicht so wichtig. Nicht jeder braucht Push. Das habe ich abgeschaltet. Wenn man die offiziellen Freemailer-Apps unter Android installiert machen die im Hintergrund vermutlich von sich aus Push. Die Frage ist jetzt ob sie unter GSM/EDGE mit 64Bit/sek Text-Emails ratzfatz anzeigen oder aus irgendeinem Grunde herumtrödeln und vermeidbar verzögern.

Wer die App-Statistiken sieht, erkennt Pareto (80:20 bzw. 90:10). Daraus schliesse ich mal, das 80% (nicht 99.99999999999%) schnell erkennbar sind weil es sich um Fakes von Paypal, Ebay, Amazon, Sparkasse, Volksbank,... usw. handelt, aber eher fast nie um Willis-Hunde-Friseur-Shop. Wieso haben Email-Clients eigentlich keine !funktionierende! Spam-Verpetzen-Funktion ? Der Krankenkassenvergleich-Spam oder "Geldmaschine" oder recht neue "Millionenfirma-kostenlos zu verschenken"-Spam wird ja nicht weniger und kommt täglich mehrmals auf denselben Adressen herein.
Hohe Motivation der Spambekämpfung existiert wohl nicht.

Und wegen Haupt-CAs: Wieso sind hundert CAs bei mir im Browser oder Handy eingetragen denen bedingungslos vertraut wird ? Na also.
Das die Apps (auch unter iOS) nicht datensparsam sind, ist kein Stolz für Appstores.

Diginotar hast Du vielleicht vergessen.
Firmen sollten jedes Jahr ihre Keys erneuern müssen. Es wurden Zertifikate für bis 2020 o.ä. ausgestellt. Weil die Rechner immer schneller werden und vorhandene Keys also alle 18 Monate nach Moores Law halb to teuer bzw. doppelt so schnell geknackt werden können also man quase alle 18 Monate 1 Bit der Key-Länge an Sicherheit verliert und Intel die gekauften Asics doch seit heutiger Meldung bald einbaut und das nochmal einen extra-dicken CPU-Boost bringen kann, sollten Zertifikate immer nur überschaubar lange halten und immer VON MEHREREN CAs (also M$, Google, Apple usw. je nach Betriebs-System) bestätigt sein. Das wollte ich schon vor Jahren und wurde dafür gemobbed. War damals wohl nicht so wichtig so wie damals auch Adblocker nicht relevant waren und jetzt gigantische Kampagnen dagegen laufen.

Von wann ist das GMX/WEB.DE/1&1-Problem eigentlich und wer wusste davon ? 1&1 macht aktuell ja aktiv Fernseh-Werbung aber natürlich kommt das sicher nicht von den möglicherweise kritisierten Providern bzw. Ex-Monopolisten.

Antworten
Twittelatoruser

Hmpf, wieder viel Text und in vielen Absätzen ist mir nicht klar, was du sagen wolltest. Es werden mMn etwas chaotisch teilweise Dinge erwähnt, die mit dem Artikel nicht unbedingt etwas zu tun haben. Vielleicht beziehst du dich auf den aktuellen News Flow von T3N, was in diesem Artikel speziell keine bedeutende Relevanz hat. Dennoch versuche ich zu antworten.

Nun zur Antwort:
Es ist kein Luxus genug Wifi zu haben. Man hat Zuhause Wifi und das ist schon genug. Bei der Arbeit surft man nicht ständig herum oder schaut irgendwelche Videos oder ähnliches. Was meinst du mit Tape? Ein Tape ist ein Band, aber auf was beziehst du dich? Ein Tape ist ein generischer Begriff und wird im Netz nicht als Begriff für etwas benutzt. Meinst du mit Tape das Datenvolumen im Mobilfunkvertrag?
Wie gesagt, sollte man auf dem Smartphone (bescheuerter Begriff, aber anderes Thema ...) darauf achten, möglichst wenig im Hintergrund laufen zu lassen und datenkonsumierende Applikationen entweder nicht oder nur sparsam nutzen. Allerdings habe ich keine datenkonsumierenden Apps auf meinem Gerät entdeckt, wobei ich gewisse schreckliche Apps wie Facebook (die scheinbar auch im Hintergrund (im Multitasking) und im aktiven Zustand viel CPU frisst und somit die Akkuleistung beträchtlich sinken lässt) vermeide. Zugang über Browser reicht in den meisten Fällen.

Was hast du gegen die 99,99999999%? Das ist meine Erfahrung um Spams zu erkennen. Zur Ehrerhaltung nenne ich nicht 100%, auch wenn es bisher seit ca. 1997 für mich zu 100% die Spams erkennbar schienen. Man sollte natürlich einschränken, dass ich seit jeher aufpasse, was ich wo im Netz angebe und gerne irgendwelche Pseudonyme nutze, damit die Spams möglichst wenig vertrauliche Details haben. Mit 100% Spams erkennbar meine ich nicht, dass eventuell ich manchen Ham als Spam aussortiert habe. Aber bisher habe ich keine negative Auswirkung deswegen gespürt.

Beim folgenden Abschnitt über "Ärgerniveau" verstehe ich den Zusammenhang zum Artikel nicht.

Inzwischen sollte jeder wissen, dass Apps unter iOS und Android in einer Sandbox laufen und somit Infektionen theoretisch unmöglich sein sollen. Praktisch ist es bei iOS zu fast 100% so und unter Android leider nur zu ca. 90%. Man sollte also gerade mit Android wie beim Internet Explorer und Win nicht viel auf fadenscheinigen Seiten herumtreiben, da dann die Infektionsgefahr drastisch höher ist. Jailbreaks wie das Rooten unter Android hebt viele Schutzfunktionen des Systems auf. Genutzt wird dies oft um Apps raubzukopieren. Aber oft wird dies nicht genutzt, da auch die persönliche Sicherheit für viele wichtiger ist.
Und vielleicht hast du erfahren, dass die angeblich so guten Hacker vom Hacking Team nicht einen einzigen Hack für iOS-Geräte gefunden hatten.
iOS-Geräte sind oft sogar deutlich billiger als Androide.

Wenn du ein von der Leistung her vergleichbares Android zum iPhone kaufst (obwohl das iPhone oft Features hat, die bei Android fehlen - komplexe iCloud-Synchronisation, ständig Backups in iTunes, wodurch neue iPhones problemlos die alten Einstellungen weiterführen mit alten SMS und vielem mehr (man sollte lediglich darauf achten, dass das Backup lokal verläuft, damit im Backup auch die genutzten Wlans gespeichert werden) - und noch viel mehr, aber ich möchte nicht langweilen). Ein etwas vergleichbares (und oft schlechterer Android) ist nur ca. 50€ billiger. Nach 18 Monaten oder früher bekommt man keine Updates mehr vom Telefonhersteller. Also muss man viel Zeit für die Migration der Daten nutzen (die man überhaupt migrieren darf - SMS z.B. nicht!) und Zeit ist Geld. Zudem kostet ein Android mit vergleichbarer Leistung zu früher mind. die Hälfte und mehr gegenüber dem alten Telefon. Und schon ist man auf einem Preis deutlich über dem iPhone. Und wenn man sich das Telefon vom Mobilfunkbetreiber holt, ist es in der Regel noch viel mehr teurer. Viele können nicht langfristig denken. Ich kann das iPhone problemlos 3 Jahre lang nutzen und könnte es sogar ein 4. Jahr problemlos nutzen. Die einzige Einschränkung ist, dass mit der Zeit etwas weniger Spiele darauf entweder funktionieren oder nicht frustrierend langsam sind. Aber da ich sowieso kaum spiele, obwohl die iOS-Plattform deutlich mehr qualitativ hochwertige Spiele hat und somit für Spiele eigentlich ideal wäre. Wenn ich mich nicht irre, wurde in dem citizen4-Film auch ein iOS-Gerät genutzt (ps: zwar Film, aber nicht fiktiv gedacht, da Dokumentarfilm - wenn man dies mit Hacking Team zusätzlich weiß und Snowdens Leaks man sich etwas angeschaut hatte, weiss man, dass iOS erstaunlich sicher zu sein scheint - hoffentlich bleibt es so unter dem iKoch (Tim Cook).).
Ein iPhone zu haben, ist kein Luxus. Man sollte lediglich langfristig denken können und auf längere Zeit Geld für gewisse Zwecke wie dem iPhone sparen zu können. Ich habe drei Jahre lang Geld gespart, um mir demnächst das neue iPhone problemlos leisten zu können, weil demnächst bald die Keynote der WWDC sein wird (was seit Neuestem Event heißen soll - Warum? Keine Ahnung ... so wie The International Herald Tribune jetzt plötzlich The International New York Times heißt (obwohl es verständlicher ist, dass Laien dies schneller erkennen und evtl. zu mehr Verkäufen führt, aber der alte Name ist schöner und internationaler ...)). Vermutlich wird es ein paar Kinderkrankheiten haben, aber ohne Apple Care wird das Gerät in 2 Tagen umgetauscht oder mit Apple Care kann man den Express-Tausch nutzen (also 0 Tage Umtauschzeit). Und ansonsten auch die Services mit iCloud u.s.w. ... diese vielen Services und Garantieleistungen sind bei allen anderen (die ich kenne: Asus, HP, Samsung, HTC u.s.w.) kaum vorhanden.

Auf was du mit "unklar spezifiziert" referierst, wird mir nun nicht klar. Du meinst, die E-Mail-Adresse des Absenders? Das muss man eigentlich nicht wissen, auch weil um Spamfilter zu überlisten die Absenderadresse sowieso in der Regel nicht richtig gefälscht ist. Die Spams sind sowieso am irrationalen Inhalt und oft schlechtem Deutsch oder Englisch erkennbar. Bei mir steht "Paypal-Hilfe paypal@paypal.paypal.paypal.com". Was das WordPress BlogCMS auf T3N transformiert, weiß ich nicht. Es könnte problemlos "Paypal-Hilfe" supportœpaypal.com stehen. Wenn ich mich recht erinnere, meine ich mich zu erinnern, dass ich schon meine Vermutung zur oft dennoch nicht richtig gefälschten E-Mail-Adresse geschrieben habe. Einfach vermutlich um Spamfilter täuschen zu können, so dass sie dennoch die Inbox erreichen. Wenn du mir nicht glauben willst, dass man bei einer E-Mail alles außer der Empfänger-Adresse (natürlich :) ) fälschen kann, kann man in einem RFC nachlesen. Dass man praktisch bisher noch nie richtige gefälschte Absenderadressen gesehen hat, heißt nicht, dass es nie vorkommen kann. Informiere dich bitte, wenn du mir natürlich nicht sofort vertraust.

Was soll diese ominöse Pareto-Regel? Weil ich mich mehr im Bereich IT beschäftige, meine ich, dass im populären Informatik-Bereich davon nie gesprochen wird. In meinem ganzen Informatik-Studium wurde auch nie von so etwas gesprochen. Irgendein ominöser Berater behauptet laut Wikipedia diese angebliche 80-20 Regel. Das scheint nur populärwissenschaftlich ohne jeglichem Fundament zu sein. Angeblich sollen ein paar Dinge empirisch dieser Behauptung folgen, was aber längst nicht bedeutet, dass man von ein paar Dingen auf die Allgemeinheit schließen kann. Laut englischer Wikipedia-Seite sind diese angeblichen Bestätigungen keine Bestätigungen, wenn man sich die Beispiele anschaut (z.B. das Beispiel in Software - ziemlicher Humbug). Ach, es steht in Wikipedia, weshalb es wahr sein muss? Ok, dann ändere ich schnell die Seite und dann steht dort noch eindeutigerer Humbug. :)
https://en.wikipedia.org/wiki/Pareto_principle
Etwas, was leicht ersichtlich sein sollte: Um eine These zu beweisen, ist dies in interessanten Dingen entweder schwer oder sogar unmöglich. Man kann beweisen, dass man nicht beweisen kann, ob man lebt. Fürchterlich, falls du dies zum ersten Mal erfährst, oder? Oft kann man aber leicht beweisen, ob eine These nicht stimmt mit einem einfachen Widerspruchsbeweis. So ist dass mit der These Pareto, dass man viele Widersprüche finden kann. Somit ist diese angebliche Pareto-Regel nicht vergleichbar mit irgendwelchen Bereichen.

Ich habe lediglich von Plesk den Daemon Spamassassin installiert und hatte bisher nie die Zeit es gut zu konfigurieren. Dennoch funktioniert es gut (ich habe täglich ca. 200 Spams - ja, früher hatte man im Netz öffentlich die E-Mail-Adresse angegeben, weil es noch kein Spam-Problem gab - und davon rutschen lediglich ein paar durch, was eine gute Rate ist). Bei der "Freemail"-Anbietern ist es ähnlich. Gmail zum Teil sogar besser, aber auch schlechter, weil ihre AI klüger als Menschen sein will und somit manchmal sogar nachträglich Ham als Spam markiert.
Ein Tipp: Wenn du per IMAP auf das Konto zugreifen kannst, kannst du vermutlich auch den Spamfolder aufrufen. Falls es nicht geht oder kein IMAP bereitgestellt wird (muss man beim Betreiber auf der Webseite oft extra aktivieren), dann kann man in der Regel mit den Apps auf den Spamfolder zugreifen. Wenn man dann Spams in der Inbox hat, sollte man si NICHT LÖSCHEN, SONDERN IN DEN SPAMFOLDER BEWEGEN. Dann lernt der Spamfilter, dass ähnliche Mails zukünftig als Spam bewertet werden sollen. Genau das Gleiche gilt es umgekehrt. Wenn Ham im Spamfolder ist, bewegt man es in die Inbox, damit der Spamfilter lernt, zukünftig ähnliche Mails nicht mehr als Spam zu markieren/auszusortieren (je nach System).
=> Auch Nutzer von "Freemail" können sich relativ problemlos von Spam schützen. Und wer die Webseite nutzt, hat oft einen Knopf, dass die Aktion anbietet, den Spam zu markieren und in den Spamfolder oder Mülleimer zu verschieben. Wenn man es praktischerweise per IMAP macht, muss dies leider lernen. Die "Freemail"-Anbieter werden dies aber nicht lehren, weil es besser ist, wenn man deren Webseite nutzt und deshalb auch ihre zusätzliche Werbung auf der Webseite automatisch abruft.
Dass es keine hohe Motivation gibt Spam zu bekämpfen, ist nach meiner Beurteilung als Informatiker falsch. Du weißt gar nicht, wie kreativ die Spammer sein können. Und solange wir alle noch immer nicht wissen, was IQ exakt ist, kann man auch keine vernünftige AI zum Bekämpfen von jedem Spam entwickeln. Zumal der Algorithmus nicht statisch sein darf, sondern lernfähig sein muss, was schon Spamfilter mit Bayes u.s.w. schon längst versuchen. Perfekt kann nie etwas werden, außer du glaubst an einen Gott.

Ach, du glaubst, dass die hunderten CAs eingetragen im Browser erfunden sind? Vielleicht hilft dir https://en.wikipedia.org/wiki/Certificate_authority um zu erkennen, dass sie dort als Cache gespeichert sind und nicht einfach so erfunden sein dürften (auch wenn manche Android-Telefon-Hersteller mutwillig wieder einmal Müll in das Android-System einschleusen - so wie die nicht deinstallierbaren nutzlosen Apps oder seltsamen Springboards).

Ob die Apps nicht datensparsam sind, habe ich nicht behauptet. Aus Vorsicht achte ich darauf. Da unter Android möglichst jede App kostenlos sein muss, finanzieren sich diese Apps durch Werbungen, anlegen von Benutzerprofilen, eventuell durchaus ausspionieren von den auf dem Telefon vorhandenen Daten u.s.w.. Das ist das Gute und das Schlechte an Android. Bei Android zahlt man wenig direktes Geld, aber man zahlt mit sich selbst, mit Werbung (was Daten kostet und das beim Provider Geld kostet und somit indirekt Android sehr teuer werden kann). Zudem ist der Store dort unübersichtlicher. Die Apps kosten zwar in der Regel viel weniger Geld, aber die guten Apps sind kaum auffindbar. Alsi zahle ich im AppStore lieber ein klein bisschen mehr und habe ohne viel zu suchen gute Apps. Zeit ist Geld, was oft bei Android-Besitzern nicht so ist.
*oh, ich sehe flamewars ;) *

Dass es gehakte CAs gab, muss man eigentlich nicht erwähnen. Auch bekannte DNS-Server wurden ab und zu gehackt. Was du verlangst, bringt nichts. So oder so ist das SSL-System dürftig. Was ist, wenn ein CA gehackt wird? Dann vertrauen eben alle Betriebssysteme dem neuen CA. Du weißt, was ein CA ist? Es gibt nicht nur ein paar 100 SSL-Zertifikate.
Was für gigantische Kampagnen laufen gegen Adblocker?

Auf der Seite steht beschrieben, was das Sicherheitsproblem ungefähr war. Technisch detailliert ist es zwar nicht, aber laut Seite soll dies nicht viele betreffen und laut Beschreibung war ich offenbar nie betroffen (wenn mich mein Gedächtnis nicht trügt, aber darüber hat auch niemand Kontrolle - wir sind absolut alle subjektiv).GMX oder Web.de ist alles von 1&1. Warum getrennt aufführen? Man bekommt sonst den Eindruck, dass das Problem verbreitet war. Und was haben die Provider damit zu tun?

Fragen über Fragen ... hoffentlich habe ich nicht zu viel Zeit vergeudet und dir und/oder anderen hilft mein Text etwas..

Antworten
Kunden

@Jürgen:
Wenn Du bei google nach " age discrimination tech " suchst, erkennst Du das man mit 30 zu alt für die Branche ist. Dann kann man noch eine Weile als Freiberufler durchschlagen und am Ende kriegt man Sozialhilfe und kann auf Mindestlohn-Level als Tagelöhner auf den US-Baustellen Holz zuschneiden oder hier halt im Call-Center Leuten auf Befehl Dinge aufschwatzen welche sie nicht wollen oder zum Mindestlohn bei den Branchen aus den Team Wallraff-Dokus arbeiten.
Hier wurde in letzter Zeit aufgedeckt das es neue Firmen gibt die Steuern zahlen und halt "Startup" nur ein Begriff für "Firma die dringend Finanzierung sucht" bedeutet so wie "(auf Jobsuche)" hinterm Namen.
Wenn man schlau mitliest wird endlich aufgedeckt was ich schon vor Jahren wusste: "Fachkräftemangel"="Mangel an 20jährigen frischen Niedrig-Tarif-Diplomanden mit mehr verhandlungs-sicheren Sprachen als die ganzen Holdingketten-Aufsichtsräte und CEO/CFO/... zusammen und 20 Jahren Praktika-Erfahrung bei M$, Apple, Google usw.". Weil die alten Programmierer durch frische günstigere Leute ausgetauscht werden kommen die alten Fehler durch neue Programmierer zurück.
Obwohl M$ ja durch Win10 wachsen sollte, werden dort 14tausend! Stellen gestrichen.

Magermodels können ab 30 zumindest noch als B-Promis in den vielen TV-Shows unterkommen.

Qualität war übrigens selten gefragt. Xml kann man mit Xmllint gnadenlos auf Fehler prüfen lassen und dann gibts 0 Diskussion wie es bei EDI und proprietären und schwach dokumentierten Formaten wie z.b. M$-Office üblich ist. Doping-Tester in Fahrrad-Teams ernten vielleicht weniger Hass und Mobbing als XML/Xml-Lint- oder gar Lint-Freunde in manchen IT-Teams. XML ist nicht für alles geeignet. Aber für vieles wo man Wirrwarr verhindern will. Und Freund macht man sich erfahrungsgemäß damit nicht.

Nenn doch mal drei erfolgreiche IT-Großprojekte. Und dann fang über die Qualität Deiner Branche an nachzudenken.

Antworten
Jürgen

Session-IDs über URL abziehen?
Diese Lücken sollten doch mindestens seid 1997 geschlossen sein.
Was lernen die Programmierer heutzutage eigentlich noch? Nur noch Klötzchen-Schieben in Webbaukasten?

Antworten
Twittelatoruser

Nur kurz: seitseid.de

Ansonsten empfehle ich dir die Seite noch einmal durchzulesen. Es geht um unsicher implementierte Abwärtskompatibilität, für Leute, die im Browser Cookies deaktiviert haben. Es ist zwar eine unsaubere Lösung, aber wenn die Angestellten für eine Lösung bezahlt werden und der Arbeitgeber keinen Fehler findet, dann ist es eher normal, dass die Arbeitnehmer sich für die quick&dirty-Lösung entscheiden.

Antworten
kunden

Data schaltet man nicht immer ein. Die 500 MByte-Tape sind schnell aufgebraucht.

Die web.de/gmx-Apps könnten ja auch wie Ebay usw. unter iOS pushen oder kleine Kreise im Icon hochzählen.
Und bei Android pushen sie auch.
Der einzige Vorteil der web.de-App für mich ist, das der Link ausgeschrieben wird. Schneller als der native iOS/Android-Email-Client ist sie leider nicht.
Der Link wird nicht als "böse" oder "gut" eingestuft. Aber man sieht worauf man klicken würde und lässt es hoffentlich meist wohl sein.
90% vom Spam nutzen keine offiziell aussehenden Domain-Namen. Sowas gibts aber leider auch und dann kommen "paypal" oder "bankenservice" o.ä. seriös aussehende Worte im Host-Namen vor. Wegen angeblicher Namensrecht-Verletzungen kriegt man vielleicht schneller seine Domain weggenommen als wegen Bot-Phish-Netzen unter offiziell klingenden Namen usw.

Du hast zwar Recht das man durch länger klicken bei iOS den Link sieht. Aber das kann auch mal schiefgehen weil man abrutscht und man wird dann voll-automatisiert infiziert:
http://www.golem.de/news/handys-gehackt-the-jester-will-anonymous-mitglieder-entlarven-1203-90426.html
Es geht nicht um den QR-Code sondern das Safari o.ä. voll-automatisiert nach dem Aufruf infiziert werden was Spam-Mails ja wohl auch oft wollen.
Wegen
https://t3n.de/news/adwords-google-smartphone-619302/
wäre bei Klicks auf externe Quellen ganz nett wenn man grundsätzlich eine Zwischenseite vom Handy angezeigt würde um zu fragen ob man versehentlich geklickt hat und das die Domain nicht der Sparkasse oder Paypal gehört und als riskant eingestuft wird. Oder auch das man diese Werbung nie wieder sehen will.

Automatisierte Bad-Link-Erkennung bieten die Freemailer leider nicht. Sowas meinte ich also nicht.

Wo alle Email-Clients mir auf den Keks gehen ist was ganz simples: Name UND o.ä. gemeinsam anzeigen. Dann wird schnell klar das es nicht von der "Paypal-Zentralverwaltung" kommt oder von der "Sparkassen-Internet-Abteilung" oder was sonst im From:-Field steht wenn man die hotmail/yahoo/aol/...-Angebliche-Absender-Adresse gleich daneben sehen würde.
Das würde den mir bekannten Rentnern und Hausfrauen sehr helfen die Seriösität einzustufen. Das machen aber leider wohl nur Desktop-Browser obwohl es trivial wäre und speziell am Handy ein schnelleres Löschen unbrauchbarer Mails bewirken würde.

Du möchtest das der Kunde Dich beauftragt und Du den Server wartest. IBM sagt ja auch das Outsourcing nicht billiger aber qualitativ besser ist, weil sie zigtausende DB/2-Installationen in den Rechenzentren (heute Clouds) warten und man sein Auto meist auch nicht selber repariert. Aber das muss man sich auch leisten können. Bei Email werden viele wohl eher auf T-Online, Google-Mail usw. setzen.

Und wie der andere Kommentar zu Recht aufzeigt kann Heartbleed oder sonstwas kommen und einem die Hosen runterziehen. Siehe aktuell "Cheating-Portal"-Hack wo angeblich 30 Mio Ehebrecher aufgedeckt wurden. Kontaktlinsen verbergen bei vielen das sie eigentlich besser eine Brille tragen sollten oder wegen der Bedienung von Gabelstaplern, XXL-LKW, Sicherheits-Kameras oder Schulbussen auch besser tragen müssen.

Wenn Magento keine Lust zum Reparieren hat, hat man Pech gehabt und wenn die Einnahmen davon abhängen kann man schlecht jede 0-dayz-Version installieren und die kann ja erst Recht unsicher sein. Wenn WinXP ausgeschaltet werden sollte, was nimmt man dann ? Das Win8(9?) oder das brandneue Win10 und seine Zwangs-Updates wo dann die Arztpraxis oder Online-Shop plötzlich vielleicht nicht mehr geht ? Tja... Und welcher Gewerbe-Software-Hersteller hat in Virtualsystemen alle Servicepack-Versionen usw. laufen und erlaubt die Nutzung statt einfach reinzuschreiben "Nutzung nur zertifiziert für Win2k SP-1" wie gerne in manchen Foren berichtet wird und was ja auch viel einfacher ist. Und bei vielen Betrieben kannst du die Software nicht so einfach in hundert Varianten aus dem Laden kaufen wie Foto-Apps im Appstore. M$ hatte bei InetEx und Windows nicht selten Lücken die erst nach 1 Jahr gefixt wurden als dann irgendwelche Viren sich deshalb verbreiteten. M$ und Apple hatten schon Updates welches Betriebssysteme unbrauchbar machte. Guck die Sternchenverteilung bei Yosemite. Daran können wir beide nichts machen aber der Kunde sollte Vor- und Nachteile genau wissen. Autofirmen reparieren oft schneller und machen kostenlose Rückruf-Austausch-Aktionen! Ein Cabrio ist nicht gut im Winter. D.h. eigener Mailserver kann ok sein und ermöglicht nettes Routing der Mails, aber man sollte Vor-/Nachteile genau kennen und benennen und den Kunden jährlich schriftlich dran erinnern.

Gut war der Hinweis seriöse Distros zu nehmen welche bei Fehlern nicht trödeln. OpenBSD, vermutlich Debian und diverse Linux-Distros dürften dazu gehören. Als die New Yorker Parkettbörse aber nicht die 12 anderen US-Börsen und 20-50 Darkpools ausfielen, hiess es die würden RedHat benutzen.
Sicherheit ist sehr unbeliebt. Da muss man für den Kunden nachvollziehbar argumentieren. Der muss sich bei Ausfällen oder Problemen ja auch rechtfertigen vor Kreditgebern oder sonstwem wie z.b. unzufriedenen Kunden.

Antworten
Twittelatoruser

Data? Ich nehme an, du meintest Datenverbindung über Mobilfunk, wie ich aus dem Kontext deines zweiten Satzes zu interpretieren vermag. Was hat Datenverbindung mit meinem Kommentar zu tun?
Trotzdem möchte ich als Anmerkung hinzufügen: Ich habe ein iPhone und nutze das D2-Netz und habe deiner Ansicht nach nur 500 MB. Bald werde ich auf den preiswerteren Tarif für 5€ mit 150 MB Daten umstellen. Warum? Weil ich deutlich weniger verbrauche, obwohl ich die Datenverbindung über Mobilfunk immer aktiviert habe. Wenn ich Daten verbrauche, habe ich immer Wlan. Eine Einschränkung muss man machen, dass ich aufgrund technisch höheren Wissens Hintergrundaktivität (als Multitasking bekannt), was manchmal zu merklich höherem Datenverbrauch im Mobilfunk führen kann ohne tatsächlich wichtigem Nutzen. 500 MB sind sehr viele Daten, die nach meiner Erfahrung viele in meinem Umkreis nicht nutzen. Der Umkreis ist aber etwas spezieller, weil er akademisch ist und höhere Bildung in Technik haben (App-Entwickler, Win/Mac-Entwickler, Informatiker ...). Also schließe nicht von dir auf andere und behaupte pauschal, dass 500 MB ein Witz sind.

Die Apps sind in der Regel bedeutend schneller! Sie bringen dir per Push die Benachrichtigung, ob es eine neue Nachricht gibt. In den Standard-Clients erhältst du per Push eine Benachrichtigung nur, wenn du entweder die Standard-Googlemail/Applemail-Konto einrichtest oder einen Exchange-Server nutzt (was die wenigsten Leute "privat" oder auch manche per Firma nicht bekommen). Ansonsten kannst du nur Pull verwenden, was je nach Intervall deutlich länger dauert und mehr Akku verbraucht.

Zu 99,9999999999999999% kann man alleine durch die URL erkennen, dass diese Webseite nicht die behauptete Seite sein kann. Problematisch ist, dass es leider keinen Internetführerschein gibt, um URL-Schemata richtig zu erkennen. Es kann (hypothetisch) den Fall geben, dass der Link "http://fabjos.phisher.com/meineSeite.tolleBank.de/OnlineBanking" gibt. Laien entscheiden sich dann leider durchaus dafür, dass ausschlaggebend "meineSeite.tolleBank.de/OnlineBanking" sein soll. Im unwahrscheinlichsten Fall wurde der DNS-Server gehackt. Wer etwas auf Sicherheit achtet, achtet bestimmt darauf, ob es ein gültiges(!) Sicherheitszertifikat hat. Dies müsste der Täter dann auch fälschen, also somit auch ein CA hacken. Wie unwahrscheinlich dies aber ist, kannst du dir ausmalen. Aber unmöglich ist dies leider nicht und mit genug kriminellem Willen und viel Finanzkraft wie die NSA (oder irgendeine anderer Geheimdienst wie GCHQ) ist so etwas durchaus denkbar. Spamassassin leistet auf meinem Server erstaunlich gute Arbeit. Ich muss bei ca. 200 E-Mails per Woche nur ein paar Spams antrainieren. Hams landen bisher nie im Spam-Folder. Und da schaue ich zum Spaß immer wieder ein paar Spams an und sehe, dass bis jetzt seit 1997 alle Spam-Links erkennbar waren.

Das mit infizierenden Links ist unter iOS (iPhone OS) Unsinn. Zum einen bin ich zwar noch nie abgerutscht (seit 2007!), aber auch das von dir erläuterte Infizieren kann in der Regel nur unter Android passieren. Unter iOS war es nur für kurze Zeit ein paar Mal theoretisch möglich, aber das kann man an einer Hand abzählen und es gibt von Apple zu schwerwiegenden Fehlern spätestens in einer Woche Updates, die dann absolut alle (nicht wie bei Android nur ein paar) einspielen können. Nun möchte ich aber wegen diesem für Android leidigen Thema nicht weiter nachhaken, weil dadurch vielleicht eine "Apple vs. Google war" entfacht wird.

Das "vollautomatisierte Infizieren durch nach dem Aufruf von Spam-Mails durch Safari o.ä." durchmischt unterschiedliche Themen. Der E-Mail-Client ist vollkommen unabhängig von Safari o.ä.. Man kann auf Links tappen, wo dann als Default Safari mit dem Link aufgerufen wird. Das würde das Betriebssystem nicht infizieren (außer man verwendet Android ... aber anderes Thema ...). Gefährlich ist dann nur, dass der Spammer durch diesen Link evtl. erkennt, dass diese Spam-Mail funktionierte und somit an diese E-Mail-Adresse noch mehr Spams schicken kann oder es als aktive E-Mail-Adresse an andere Spam-Versender dann höherpreisig verkaufen kann.

Diese "bad link"-Erkennung wäre zwar praktisch für die ganzen Laien, aber kann leider nicht vollständig verwirklicht werden. Nehmen wir explizit das Beispiel Banken auf. Es müsste eine dynamische sich (auch sicher) verteilende Datenbank an gültigen Bankadressen geben. Es entstehen aber immer wieder neue Banken in unterschiedlichen Ländern. Und die Banken selbst nutzen immer wieder einmal neue Domains, die für ihre Bank gültig sind. Im Wettbewerb des Marktes wäre es sehr schlecht, wenn gültige neue Banken vom Browser oder E-Mail-Client zuerst als ungültig markiert werden würden. Also diese Umsetzung dieses Vorschlags wäre für viele Laien sehr praktisch, kann aber leider auch sehr schwer praktikabel implementiert werden.

Ich bin überrascht, dass dir dies mit Absenderadresse auf den Keks geht. Dir ist anscheinend nicht klar, dass man in der E-Mail alles außer der Empfänger-Adresse fälschen kann. Ich selbst finde es seltsam, dass diese Phishing-Mails oft keine "richtige" E-Mail-Adresse haben. Vermutlich ist es dazu da, um die Spamfilter in die Irre zu treiben und doch bis in die Inbox durchzukommen. Bei Android weiß ich momentan nicht, wie es ist (obwohl ich Apps dafür entwickle), aber beim iPhone-Standard-Mailclient kann man auf den Absendernamen tappen und dann erscheint die E-Mail-Adresse. Jedoch ist dies sowieso sinnlos, da wie gesagt die Absenderadresse gefälscht sein könnte. Leider kann ich auf dem iPhone nicht den Sourcecode der E-Mail anzeigen lassen, was aber in der Regel nicht gebraucht wird.

Warum sollte mich ein Kunde beauftragen einen Server zu warten? Ich bin Informatiker und mach nicht dieses Zeug (mit verächtlich meine ich, dass dies ziemlich anspruchslos ist, aber dass es mühevoll und zeitintensiv ist, will ich nicht abstreiten, auch wenn ich gewisse Sysadmins kennengelernt habe ...).

Dieser andere Kommentar war von mir. Ich wollte zwei extreme Aussagen etwas ausgleichen. Heartbleed hatte ich eine so schlimme Auswirkung, wie du anscheinend glaubst, auch wenn das mögliche Potential immens sein konnte (armer Düsseldorfer Student, der den bug in OpenSSL einführte ... obwohl, vielleicht wurde er von der NSA bezahlt - er ist jung und arm und brauchte das Geld ... ;) *Gerüchteküche anheiz'*).

Weil es so spät ist und ich müde bin und der weitere Kommentar leider ziemlich wirr ist, beende ich nun meine Antwort.

Antworten
kunden

Server muss man administrieren. Schon die CERT-Meldungen kosten oft eine Vollzeit-Stelle wenn man es ernst nimmt weil man mehr als einen Service betreibt. Wem deiner Kunden traust Du zu ihren eigenen Server sicher zu administrieren ?

Die Apps sind leider nicht schneller als die eingebauten Email-Clients von Google bzw. iOS.
Der einzige Vorteil ist, das Spamlinks besser erkennbar sind und die Email-Clients davon lernen sollten:
[billiger kredit hier] welches auf "www.spamseite.spam.virus.gefaehrlich.sonstwo" zeigt, wird dankenswerterweise:
billiger kredit hier[www.spamseite.spam.virus.gefaehrlich.sonstwo]
angezeigt. Sowas ist vorbildlich weil dadurch viele Fake-Mails offener erkennbar werden.

Wie gesagt sind die Apps leider wenig schneller als mit dem Browser oder native Email-Client. Optimierte Übertragung wäre dort ja problemloser als mit IMAP/POP-Clients.

Antworten
Twittelatoruser

Einen Server zu betreiben ist je nach Einsatz nicht sehr aufwendig. Wenn man es vor allem für LAMP einsetzt, sollte man auf ein Betriebssystem achten, was lange Zeit Sicherheitsupdates bekommt (da bei LAMP nur Software aus dem Repository verwendet wird). Dann reicht es einschlägige Mailinglisten für die genutzten Daemons zu beobachten. CERT ist überhaupt nicht aufwendig. Die meisten Sicherheitsmails sind bezüglich Betriebssystemen, die man eh nicht nutzt. Und oft sind die Betriebssystem-relevanten E-Mails bezüglich der eingesetzten Services/Daemons auch ignorierbar. Es ist daher unsinnig, dass dafür eine Vollzeitstelle nötig sei. Ich mache das nebenher und habe Kunden auf dem Server.
Aber man sollte beachten, dass ich mit Servern Erfahrung habe und auch entsprechend mehr als genug IT-Kenntnisse daran habe (weshalb ich nicht wie einer dieser fa¥|3n Sysadmins bin).

Mich verwundert der Vergleich zwischen E-Mail-Client und den Apps. Das ist so etwas von unsinnig. In der Regel liefern nur die Apps per Push die Meldung, wenn eine neue E-Mail eintraf. Ob die Apps unter Android Push erzeugen dürfen, fehlt vielleicht. ... Ooops, jetzt fällt mir auf, dass der OP nur Android hat, weil auf dem Apple iOS bieten die Apps Push (wozu die Apps nicht im Hintergrund laufen müssen, was ich denen verboten habe, sondern von der E-Mail-Servern direkt zu Apples Push-Servern melden).

Beim Standard-E-Mail-Client kann man wie bei den Apps unter iOS lange auf den Link tappen. Dadurch wird der Link nicht geöffnet, sondern angezeigt.

Im übrigen ist es naiv zu glauben, dass das Ünerprüfungsprogramm immer fehlerlos erkennt, ob der Link nur Spam oder Ham ist.

Antworten
Walter Rizzi

Einer der Gründe warum einen Server hab. LG Walter Rizzi

PS: Ich versteh nicht warum Anbieter wie web.de immer noch so einen Erfolg haben. Aktuell habe ich auch noch eine Freemail-Adresse, aber die nutze ich auch nur für irgendwelche Anmeldungen. :S

Antworten
Twittelatoruser

Ein eigener Server ist ja so viel sicherer ... klar ... Heartbleed.com? Nie gegeben! ;) ... immer wieder Sicherheitslücken in Systemkomponenten wie auch in Serveradminsoftware (häufig möchten viele nicht einfach nur per Konsole den Server administrieren) ... kann man alles vergessen, oder? ;)

Merke: Nur weil dein Server für dich uninteressant ist, heißt es nicht, dass es für andere interessant sein kann und dir doch (oft unerwartete) Probleme machen.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.