TomLu
Anmeldungsdatum: 23. August 2014
Beiträge: 603
|
raptor2101 schrieb: TomLu schrieb: Was kann ich tun, wenn jemand Zugangsdaten (reguläre Schnittstelle) zu meinen ISP-Postfächern hat...?... woher auch immer er die hat, wer auch immer das ist?
TomLu schrieb: Wenn ich die Daten nach der Übertragung mit POP3 lösche, so behandelt das jedenfalls ganz konkret einen einzigen Punkt, und zwar nur die Nr. 1. in meiner Liste.
Nur wenn der Dovecot nutzt, bei Cyrus oder Outlock-Mailserver sieht er auch die Deleted. Bei Safira und EGrouware auch, aber das kommt auf das Mailboxmodule an.
Aha, Du gehst also davon aus, dass die wichtigen MAIL-ISP (GMX, 1&1, Telekom, Google, Microsoft, egal wer sonst noch) ein Standard-Dovecot nutzen, oder vielleicht Cyrus, oder gar einen Outlook-Mailserver... google nutzt in seinen RZ vermutlich also einen outlook-Mailserver...?... und weiterhin glaubst Du, dass "unberechtigte" User (siehe pkt 1) deshalb einen Zugriff auf gelöschte Daten haben, die außerhalb des Userspace auf dem Speichermedium oder gar nur in Backups existieren... weil Dovecot oder Outlook das so ermöglichen? Alles klar... und genau so zieht es sich durch die ganze Diskussion... entweder ignorierst Du vorsätzlich die geschriebenen Zusammenhänge, oder Du verstehst sie nicht. Keine Ahnung was zutrifft, beides macht eine Diskussion unmöglich. Deswegen zum Thema... von mir nix mehr. Nachtrag.... nicht das die ganze sinnlose Palaverei auf einem echten Missverständnis beruht. Deshalb noch einen Nachsatz. Ich habe zu keiner Zeit von POP3 auf den Clients gesprochen. Das halte ich ja auch für völlig abwegig. Alle meine Clients sind vollständig IMAP-Clients. Lediglich mein "getmail" auf dem Mailserver macht POP3 zu einigen Mail-ISP und hinterlässt leere Postfächer.... und das erachte ich für meine Anforderungen als alternativlos. BTW, ich habe meine komplette Mailserver-Installation auf meiner Seite dokumentiert. Wenn Dich das interessiert, poste ich einen Link per PN.
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
TomLu schrieb: raptor2101 schrieb: TomLu schrieb: Was kann ich tun, wenn jemand Zugangsdaten (reguläre Schnittstelle) zu meinen ISP-Postfächern hat...?... woher auch immer er die hat, wer auch immer das ist?
TomLu schrieb: Wenn ich die Daten nach der Übertragung mit POP3 lösche, so behandelt das jedenfalls ganz konkret einen einzigen Punkt, und zwar nur die Nr. 1. in meiner Liste.
Nur wenn der Dovecot nutzt, bei Cyrus oder Outlock-Mailserver sieht er auch die Deleted. Bei Safira und EGrouware auch, aber das kommt auf das Mailboxmodule an.
Aha, Du gehst also davon aus, dass die wichtigen MAIL-ISP (GMX, 1&1, Telekom, Google, Microsoft, egal wer sonst noch) ein Standard-Dovecot nutzen, oder vielleicht Cyrus, oder gar einen Outlook-Mailserver... google nutzt in seinen RZ vermutlich also einen outlook-Mailserver...?
Och komm so falsch kannst du mich gar nicht erstanden haben. Ja ich glaube das die meisten kleinen bis mittleren Unternehmen keinen eigenen Mailserver aus der Taufe heben und auf bestehende Produkte zurück greifen. Bei den ganzen großen weiß ich es es nicht, gehe aber auch nicht davon aus. Gehe bei dehnen aber von einer dauerhaften Speicherung aus. Schon allein aus werbezwecken (das ist aber bauchgefühl) TomLu schrieb: ... und weiterhin glaubst Du, dass "unberechtigte" User (siehe pkt 1) deshalb einen Zugriff auf gelöschte Daten haben, die außerhalb des Userspace auf dem Speichermedium oder gar nur in Backups existieren... weil Dovecot oder Outlook das so ermöglichen? Alles klar... und genau so zieht es sich durch die ganze Diskussion... entweder ignorierst Du vorsätzlich die geschriebenen Zusammenhänge, oder Du verstehst sie nicht. Keine Ahnung was zutrifft, beides macht eine Diskussion unmöglich. Deswegen zum Thema... von mir nix mehr.
Nein weil ich das bei meiner Tagtäglichen Arbeit mit mehreren IT-Dienstleistern so erlebe. Ich schaue in deren "backends" (FileExplorer) und habe zugriff auf diese Daten TomLu schrieb: Alle meine Clients sind vollständig IMAP-Clients. Lediglich mein "getmail" auf dem Mailserver macht POP3 zu einigen Mail-ISP und hinterlässt leere Postfächer.... und das erachte ich für meine Anforderungen als alternativlos.
Und genau das hat wirklich niemand (nicht mal im ursprünglichen Thread vor der abspaltung) in Frage gestellt. Die ganze "sinnlose Diskussion" geht nur um die Frage ob das ein "Sicherheitsgewinn" ist. TomLu schrieb: BTW, ich habe meine komplette Mailserver-Installation auf meiner Seite dokumentiert. Wenn Dich das interessiert, poste ich einen Link per PN.
Immer her damit, schon alleine um den Horizont zu erweitern. Ich kann damit nicht aufwarten, ich nutze hab mich an die Kolab "bestPractices" gehalten ...
|
TomLu
Anmeldungsdatum: 23. August 2014
Beiträge: 603
|
raptor2101 schrieb: Nein weil ich das bei meiner Tagtäglichen Arbeit mit mehreren IT-Dienstleistern so erlebe. Ich schaue in deren "backends" (FileExplorer) und habe zugriff auf diese Daten
Sorry.. aber ich habe gerade laut losgelacht, als ich das gelesen habe und mich an Deinen Anspruch "vertrauenswürdig" erinnert habe... *pruust* ... der war echt gut. Ich kann Dir sagen, welche Erfahrungen ich mit unseren IT-Dienstleistern habe:
Mein freier Weg ins dortige Unternehmen war am Empfang beendet. Ich musste warten, bis ich von einem Mitarbeiter abgeholt und bis zu einem Zielbüro begleitet wurde Ich hatte keine Möglichkeit unbeaufsichtigt auch nur irgendeinen PC anzufassen Keiner der hochrangigen Mitarbeiter hatte direkten Durchgriff auf die Speichersysteme, sondern nur über ihre erweiterten Schnittstellen Wenn ich pinkeln musste, wurde ich hinter der Magnet-Karten-Tür in den Flur begleitet und wurde nach Klingeln wieder eingelassen Der Zugang zum Rechenzentrum war generell nicht möglich, mehrfach gesicherte Schleusen, Wachpersonal Es handelte sich dabei nicht um einen Bigplayer, aber einen mit weltweiten Geschäften Das Unternehmen war in jeder Hinsicht sicherheitstechnisch und datenschutztechnisch zertifiziert.
Und du kriegst als Betriebsfremder nen Explorer in den Hand und surfste ein bisschen auf den Backends rum... *lol*... das ist echt vertrauenswürdig. In einem zertifiziertem Betrieb ist sowas definitiv unmöglich. Wenn Mitarbeiter das ermöglichen, ist das ein fetter Complianceverstoß, der das ganze Unternehmen erschüttern kann... und zieht auch definitiv Maßnahmen nach sich.
Die ganze "sinnlose Diskussion" geht nur um die Frage ob das ein "Sicherheitsgewinn" ist.
Ja, bezogen auf diesen von mir beschriebenen konkreten Punkt ist es das. Auf alles andere hat das keinen Einfluss
Immer her damit, schon alleine um den Horizont zu erweitern.
Ist unterwegs.
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
TomLu schrieb: Sorry.. aber ich habe gerade laut losgelacht, als ich das gelesen habe und mich an Deinen Anspruch "vertrauenswürdig" erinnert habe... *pruust* ... der war echt gut.
Ich hab nie gesagt, das ich dehnen vertraue .. rat mal warum ich einen eigenen Mailserver betreibe... ich bin "Zulieferer" für die. Die vertrauen mir ... TomLu schrieb: Ich kann Dir sagen, welche Erfahrungen ich mit unseren IT-Dienstleistern habe:
Mein freier Weg ins dortige Unternehmen war am Empfang beendet. Ich musste warten, bis ich von einem Mitarbeiter abgeholt und bis zu einem Zielbüro begleitet wurde Ich hatte keine Möglichkeit unbeaufsichtigt auch nur irgendeinen PC anzufassen Keiner der hochrangigen Mitarbeiter hatte direkten Durchgriff auf die Speichersysteme, sondern nur über ihre erweiterten Schnittstellen Wenn ich pinkeln musste, wurde ich hinter der Magnet-Karten-Tür in den Flur begleitet und wurde nach Klingeln wieder eingelassen Der Zugang zum Rechenzentrum war generell nicht möglich, mehrfach gesicherte Schleusen, Wachpersonal Es handelte sich dabei nicht um einen Bigplayer, aber einen mit weltweiten Geschäften Das Unternehmen war in jeder Hinsicht sicherheitstechnisch und datenschutztechnisch zertifiziert.
Und du kriegst als Betriebsfremder nen Explorer in den Hand und surfste ein bisschen auf den Backends rum... *lol*... das ist echt vertrauenswürdig. In einem zertifiziertem Betrieb ist sowas definitiv unmöglich. Wenn Mitarbeiter das ermöglichen, ist das ein fetter Complianceverstoß, der das ganze Unternehmen erschüttern kann... und zieht auch definitiv Maßnahmen nach sich.
Da wir (ich) Teil der Zertifizierung sind ist das vom Audit kein Problem. Da der Zugriff nicht Physikalisch vor Ort erfolgt sondern über ein "gesicherte" VPN Verbindung ist auch das von der Zertifizierung her sauber. Das "aus gründen" die Nutzerrechte in den meisten IT Abteilung nicht "feingranular genug" ist, interessiert die Zertifizierer er selten. Kurzum: ich arbeite selten mit "nicht Zertifizierten" ITs zusammen. Ich arbeite "aus gründen" auch mit einen "preisgegröhnten" Provider (und der ist bei Leibe nicht klein) zusammen, bei dem Kundenpasswörter im Klartext im Backend vorliegen.
Es gibt positive Ausnahmen. Posteo, JP Berlin oder am DECIX würde ich andere (bessere) Standards erwarten. Bei den meisten IT Abteilungen mit dehnen ich zu tun habe, steht aber klar die Produktivität im Vordergrund und Sicherheit kommt immer erst im zweiten Gang (wenn überhaupt). TomLu schrieb: Die ganze "sinnlose Diskussion" geht nur um die Frage ob das ein "Sicherheitsgewinn" ist.
Ja, bezogen auf diesen von mir beschriebenen konkreten Punkt ist es das. Auf alles andere hat das keinen Einfluss
Wenn du deinem Provider vertraust. (was legitim ist und ich nicht in Frage stelle). Ich erlebe in meiner IT-Welt oft genug Dinge (und mir ist selten zum Lachen zu mute), die die Anzahl der Anbieter dehnen ich ein solches Vertrauen entgegenbringe doch stark eingrenzt.
|
TomLu
Anmeldungsdatum: 23. August 2014
Beiträge: 603
|
raptor2101 schrieb:
Wenn du deinem Provider vertraust. (was legitim ist und ich nicht in Frage stelle).
Das ist aber für meine Begründung an der beschriebenen Stelle POP3 zu verwenden völlig irrelvant.Meine Vertrauen oder die Vertrauenswürdigkeit des Providers hat absolut gar nix mit meinem POP3-Verfahren zu tun. Im Gegenteil, das erfordert gemäß meiner Sichtweise sogar eine völlig eigene "binäre" Bewertung mit einer eigenen Maßnahme.... Schutz/Wogegen? Gegen den Provider! Wie ich erklärt habe.. mein Punkt 1 richtet sich ganz allein gegen die Benutzung legaler Schnittstellen durch unberechtigte User. Eine legale Schnittstelle ist der Webmail-Login, oder via Client-Software, oder meinetwegen auch via telnet... das sind die legalen Schnittstellen in ein Postfach .. mit vorhandenen Anmeldedaten in ein ISP-Postfach... aber eben unberechtigt, weil die Anmeldedaten illegal erworben wurden. Und da ist mein ISP-Postfach eben immer leer.
|
Cruiz
Anmeldungsdatum: 6. März 2014
Beiträge: 5557
Wohnort: Freiburg i. Brsg.
|
TomLu schrieb: Es bringt nichts, wenn Du solche Statements loslässt, die keinerlei Informationsgehalt beinhalten, und das dann als Begründung hernimmst, um es als "falsch" zu bezeichnen. Du hättest auch sagen können "weil sie es für trockener halten"... oder "weil sie es für heller halten"... beides ist genau so inhaltsleer und genau so unsinnig. Beschreib doch einfach präzise was "sicherer" hier bedeutet und welcher präziser Aspekt von "sicherer" Deiner Meinung nach falsch ist. Das es nicht den Transportweg betreffen kann, sollte wohl allen klar sein, weil ja IMAP-Übertragungen nicht aufs lokale Gerät herbeigezaubert werden, sondern ebenfalls ganz normal durchs Netz marschieren. Also, was bedeutet "sicherer" für Dich, wo ist der Fehler?
Du wirfst mit Nebelkerzen um dich und variierst nahezu beliebig die Diskussionsbestandteile, darauf habe ich ehrlich gesagt keine Lust. Lies dir bitte nochmal die erste Seite dieses Themas durch. In meinem ersten Beitrag schrieb ich lediglich, dass IMAP sinnvoller bei einem Mehrclient-Szenario ist. Daraufhin kam Vegeta und stellte in den Raum, dass IMAP sich nur mit aktiver Internetverbindung benutzen lässt und POP3 sicherer ist, weil bei IMAP alle Daten auf dem Server liegen. Beides habe ich mit Gründen bestritten. Da muss man weder "Sicherheit" noch "sicher" noch sonst irgendetwas definieren. Alles andere sind Bestandteile, die du in die Diskussion eingebracht hast und auf die ich mich nirgendwo bezogen habe.
|
TomLu
Anmeldungsdatum: 23. August 2014
Beiträge: 603
|
Cruiz schrieb: Du wirfst mit Nebelkerzen um dich und variierst nahezu beliebig die Diskussionsbestandteile, darauf habe ich ehrlich gesagt keine Lust.
Sorry, aber das ist einfach nur albern. Ich vertrete kontinuierlich die gleiche Meinung und bewege mich von meiner Argumentation ebenso kontinuierlich keinen cm an die Seite... weil es schlichtweg nicht widerlegt wurde. Du wirfst Nebelkerzen, weil Du "sicher" und das ist falsch" in einem Zusammenhang nennst und wenn man dich auffordert, erst mal zu definieren "sicherer in bezug auf was ist falsch", dann kommt nix ausser persönlicher Attacke... DAS ist nebelwerferei. Darüber hinaus ist das mieser Diskussionsstil.
In meinem ersten Beitrag schrieb ich lediglich, das IMAP sinnvoller mehr ein Mehrclient-Szenario ist.
Richtig, nur stand das aber nie zur Debatte, das hat nie einer abgestritten und es hat mal wieder nix mit dem Thema zu tun... siehe Betreffsbestandteil "Sicherheit".
Daraufhin kam Vegeta und stellte in den Raum, dass IMAP sich nur mit aktiver Internetverbindung benutzen lässt und POP3 sicherer ist, weil bei IMAP alle Daten auf dem Server liegen. Beides habe ich mit Gründen bestritten.
Ja, habe ich gelesen, das war die Begründung: Es ist technisch problemlos möglich die Kommunikation mitzuschneiden und als Kopie vorrätig zu halten - entsprechendes Interesse an deiner Kommunikation vorausgesetzt. Ob die Daten dann in deinem Postfach löscht oder nicht ist somit vollkommen egal.
Und auch hier wieder ist das spannende daran, dass diese Begründung gar nix mit Vegetas Intention zu tun hat und ihn auch nicht im geringsten widerlegt. Ich kann mich nämlich nicht daran erinnern, dass Vegeta irgendwas von Kommunikationswegen gesagt hat. Insofern ist diese Begründung einfach nur irgendwas ... behandelt ein anderes Thema, eine andere Frage, was weiss ich. Irgendwas unpassendes aus ner Klamottenkiste rauszukramen ist jedenfalls auch nicht viel weniger als Nebelwerferei... und helfen tuts defintiv nicht.
Alles andere sind Bestandteile, die du in die Diskussion eingebracht hast und auf die ich mich nirgendwo bezogen habe.
Auch das ist wieder völlig Unfug. Weder Vegeta noch ich haben zu irgendeinem Zeitpunkt irgendwas Neues eingebracht. Mir ging es immer nur (und wie ich Vegeta verstanden habe, ihm auch), um einen Sicherheitsvorteil durch das Abrufen von Mails bei einem ISP mit POP3. Bis jetzt ist nicht widerlegt, dass bei unberechtigter Verwendung regulärer Schnittstellen ein leeres Postfach keinen Sicherheitsvorteil bietet. All diese irrelevanten Bestandteile, die gar nix mit der Frage zu tun haben, wurden von Dir und Raptor äußerst phantasiereich eingebracht, aber durchweg mit Ignorieren der eigentlichen Intention zu dieser POP3-Wahl.
|
Cruiz
Anmeldungsdatum: 6. März 2014
Beiträge: 5557
Wohnort: Freiburg i. Brsg.
|
TomLu schrieb: Und auch hier wieder ist das spannende daran, dass diese Begründung gar nix mit Vegetas Intention zu tun hat und ihn auch nicht im geringsten widerlegt.
Du unterschlägst deinen eigenen Beitrag dazwischen auf den ich direkt per Zitat reagiert habe. In diesem Beitrag behauptest du, dass es aus Gründen des Schutzes der Daten sinnvoll ist diese regelmäßig beim Dienstleister zu löschen. Ich schrieb dazu lediglich, dass das Kind bereits davor in den Brunnen gefallen ist.
|
TomLu
Anmeldungsdatum: 23. August 2014
Beiträge: 603
|
Cruiz schrieb: In diesem Beitrag behauptest du, dass es aus Gründen des Schutzes der Daten sinnvoll ist diese regelmäßig beim Dienstleister zu löschen. ...
Das ist nur ein halbe aus dem Zusammenhang gerissene Darstellung. Als pauschale Aussage wäre das so auch falsch ...aber den Umfang, auf den Du hier wieder nicht eingehst und in dem es einen Sicherheitsvorteil bietet, habe ich mehrfach klar definiert. Dazu ein ganz einfaches alltägliches Beispiel, was auch wirklich keine intellektuelle Herausforderung darstellt, es zu verstehen... und wieder bleibe ich bei eindeutiger Beibehaltung meiner durchweg geraden Argumentationslinie... und zwar der Verwendung legaler Schnittstellen durch unberechtigte Personen. Stell Dir vor, meine/Deine/eine Ehefrau hat sich auf nen Zettel ihre Zugangsdaten vom Laptop abgeschrieben, um die nächsten Tage ihr neues Smartphone einzurichten. Der Zettel ist noch in ihrer Handtasche... und die wird ihr einen Abend aus dem Auto geklaut. Ab jetzt verfügt eine unberechtige Person über diese Postfach-Zugangsdaten. Und weil die Aufregung wegen der eingeschlagenen Scheibe und des Diebstahls groß ist, denkt kein Schwein an diesen dämlichen Zettel. Und jetzt beweis mir einfach, dass ein leeres Postfach keinen Sicherheitsvorteil im Vergleich zu einem prall gefüllten IMAP-Postfach bietet.
Ich schrieb dazu lediglich, dass das Kind bereits davor in den Brunnen gefallen ist.
Ja, gleich mehrfach sogar: weil sie eine Blondine ist und Autofahren darf...*lol*... weil sie die Handtasche im Wagen liegen gelassen hat... weil sie so'n Scheiss-ISP-Postfach-Account auf nen Zettel aufgegeschrieben hat... weil Thunderbird am Laptop ja nie erfordert, dass man sich das merken muss... weil irgendson Arsch mein Auto kaputtgemacht hat... weil sie nicht mehr daran denkt, dass auch der Zettel in der Handtasche war und nur am heulen ist. Ja und... was haben all diese Brunnenfälle damit zu tun, dass der Dieb im Konto meiner Frau absolut nix findet? Wie verbrettert muss man denken, um da nicht einen Sicherheitsvorteil durch ein ständig geleertes Postfach zu erkennen? Und ob das nun der Zettel in einer geklauten Handtasche war oder was anderes... das ist doch völlig irrelvant. Der Sicherheitsvorteil besteht allein bei Verwendung regulärer Schnittstellen durch unberechtigte Personen... völlig egal, wer das ist und wie er an die diese Zugangsdaten herangekommen ist... Diebstahl, erschnüffelt, geraten, getestet, gefischt, abgehört, am freien Accesspoint mitgeschnitten... ist alles egal und hat immer die gleiche Auswirkung... er sieht nix.
|
Vegeta
Anmeldungsdatum: 29. April 2006
Beiträge: 7943
|
raptor2101 schrieb: Die haben erstmal die Hardware rausgetragen, danach wurde festgestellt, dass das Illegal ist.
Ja und was willst du mir damit sagen? Das Beispiel was du gebracht hast war hingegen (einmalig?!) rechtswidrig, das ist nicht Standard.
Vegeta schrieb: * Zum Thema "Gerichtsurteil: BND darf weiterhin Internet-Knoten De-CIX anzapfen", was hat das mit diesem Thema zu tun? Dass Geheimdienste das können und tun ist seit dem NSA-Skandal öffentlich breit diskutiert worden.
Wait what? oben schreibst du mir, dass ich unrecht habe hier stimmst du mir zu und bügelst es ab? Ich habe immer nur vom Staat und Behörden gesprochen (was Inlands und auslands geheimdienst einschließt)
Was schreibst du da? Ich habe niemals gesagt dass Geheimdienste nicht Mittel und Wege haben um Unternehmen zu kompromittieren oder sie zur Mitarbeit zu zwingen (zumindest ist es beim NSA belegt). Leg mir bitte nicht irgendeinen Unsinn in den Mund, den ich niemals gesagt bzw. geschrieben habe. Ansonsten verlinken!
Vegeta schrieb: * "Vodafone reveals existence of secret wires that allow state surveillance" ist genau dasselbe, auch bei der Telekom gibts so was, auch wenns dementiert wurde.
[...]
Fakt ist jedenfalls dass die Behörden nur die E-Mails abgreifen können, die sich zu der Zeit im Postfach befinden. Bei IMAP ist das definitiv alles was jemals geschrieben wurde.
Geheimdienste sind auch Behörden 😉 Siehe oben ...
Du weißt ganz genau dass ich die Polizei gemeint habe.
Vegeta schrieb: Bei POP3 sagst du sie würden noch 12 Monate gespeichert,
Nein ich mach das so und ich würde erwarten das es ServiceAnbieter Backups vorhalten. Zeitdauer muss man erfragen...
Da beides auf Mutmaßungen beruht ist jedes Debatieren unsinnig. Allerdings der jetzt schon öfter zitierte Transparenzbericht sagt auch hier, Backups gehen nicht raus, sondern nur Mails die sich JETZT im Postfach befinden oder bei einer Überwachung auch die zukünftigen
Vegeta schrieb: Zugriff auf Backups gibts nicht, entgegen deiner Aussagen. Zwiebelfreunde wie gesagt ist was ganz anderes und zudem rechtswidrig gewesen.
Ließ die die Medienberichte durch, Hardware wurde Rausgetragen und wieso hat man keinen Zugriff auf die Backups?
Also nochmals, das einzige Beispiel von dir war ein rechtswidriges. Erstens sind solche Beweise vor Gericht nicht verwertbar und zweitens wie es läuft zeigt der Transparenzbericht. Da steht nichts von Durchsuchung oder Beschlagnahmung.
Ließ die Bereichterstattung zum Untersuchungsausschuss.
Was wollste da lesen, das Attentat ist ausgeführt, Leute sind gestorben oder inwiefern willst du da irgendwas als Erfolg verkaufen?
Vegeta schrieb: Zudem was hat dein Gegenbeispiel "FBI lässt mutmaßlichen Pädokriminellen laufen" mit meinem Beispiel zu tun, wo die deutschen Behörden ein Navi nicht entschlüsseln konnten, weil der Hersteller sich gesträubt hat? Ist das FBI eine deutsche Behörde, unterliegt sie deutschem Gesetz? Inwieweit hat das gebrachte Beispiel deinerseits überhaupt einen inhaltlichen Bezug? Ich sehe da keinen.
Vielleicht der, dass unsere Behörden gerade das Zweite Kompetenzentrum für Malware hochziehen (und 0-Days einkaufen wollen) und die Lokale Polizei nich tunbedingt, dass Maß an Möglichkeiten zur Verfügung hat. Anders Formuliert: was hat dein Einzelbeispiel den für eine Relevanz?
Was hat Malware mit einem Navi zu tun, das verschlüsselt ist und die Polizei nicht entschlüsseln kann? Ja genau, gar nichts. Und was für eine Relevanz? Tja dann lies weiter oben nochmals.
Jetzt wieder Behörden oben hast du nur "ein Dieb" geschrieben. Wie kommt der Dieb auf dein Konto?
Ich habe mehrere Beispiele gegeben wie jemand Passwörter abgreifen kann. Das kann aus der Nachbarschaft, sonstigem Umfeld kommen oder durch gezieltes Social Engineering. Hast du noch nie davon gehört, weißt absolut nicht was da mittlerweile abgeht?
* als eifersüchtiger Partner habe ich zugriff auf deine Lokalen Storage
Nein wieso? Noch nie 'ne Freundin gehabt die beruflich in einem Büro arbeitet, wo du keinen Zugriff drauf hast? Die allerdings nicht ihre Firmen-E-Mailadresse benutzt? Oder eine die eine eigene Wohnung hat oder man noch nicht zusammen wohnt?
* Wenn also jemand seine komplette Security vernichtet hat (schwache passöwrter) ist POP3 die "last line of defense"?
Die Beispiele zeigen jedenfalls zur Genüge dass IMAP zum Fallstrick werden kann. Dazu bedarf es nicht mal großer Phantasie. The Fappening ist dazu auch ein hervorragendes Beispiel dafür, hätten die Frauen die Bilder gelöscht hätte der / die Hacker sie nicht veröffentlichen können. Denn etliche der Bilder sollen von GMail-Konten gekommen sein.
Du weißt schon das man bei IMAP auch löschen kann?
Wenn du lesen würdest, dann wüsstest du, dass ich das irgendwo in diesem Thread auch schon gesagt habe.
Dann erheb dein Sicherheitsgefühl nicht zum Allgemeinstandart. Auch mit IMAP kann man löschen. Heißt in deiner Argumentation POP3 ohne löschen ist genauso Unsicher wie plain IMAP und IMAP mit automatischen Löschen nach Abruf ist genauso sicher wie POP3?
Hier ein letztes Mal: Es geht mir persönlich darum, dass jemand der Zugriff auf mein Konto kriegen sollte, nicht die gesamte Kommunikation der letzten Jahre nachvollziehen kann und ich will diesen Zustand ohne lokal die E-Mail löschen zu müssen und das geht nicht mit IMAP. Ist das wirklich so extremst schwer zu verstehen? In den meisten Fällen erbeuten die Kriminellen nämlich nur die Zugangsdaten und haben folglich nur normalen Zugriff. So geschehen bei Yahoo wo sie Zugangsdaten abgegriffen haben, zum Teil sogar unverschlüsselt oder durch Social Engineering, wo es schon viele Hollywoodgrößen erwischt hat aber auch andere Leute wie CIA-Chef John Brennan wurden so schon aufs Kreuz gelegt und die Kriminellen hatten plötzlich Zugriff aufs Konto. Jeder der da IMAP benutzt hat denen den Schlüssel zu einer wahren Goldgrube gegeben. Und wenn du meinst das stimmt alles nicht, dann sag endlich mal an wie sich die Leute gegen einen Hack wie bei Yahoo schützen können? Wie sollen sie sich schützen vor Social Engineering, wie sollen sie sich schützen das jemand das Passwort errät oder sonstwie daran kommt und aus dem Umfeld kommt? Und jetzt komm mir nicht mit so'n Quatsch wie E-Mail-Verschlüsselung was 99% aller Nutzer nicht machen. Also sag an, wie kann man den totalen Datengau mit IMAP verhindern?
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
Ließ die Bereichterstattung zum Untersuchungsausschuss.
Was wollste da lesen, das Attentat ist ausgeführt, Leute sind gestorben oder inwiefern willst du da irgendwas als Erfolg verkaufen?
Nein das sie den man Abgehört haben und ihn bewusst machen lassen haben.https://www.rbb24.de/politik/beitrag/2018/08/amri-skandal-erreicht-verfassungsschutzpraesident-maassen.html Vegeta schrieb: Zudem was hat dein Gegenbeispiel "FBI lässt mutmaßlichen Pädokriminellen laufen" mit meinem Beispiel zu tun, wo die deutschen Behörden ein Navi nicht entschlüsseln konnten, weil der Hersteller sich gesträubt hat? Ist das FBI eine deutsche Behörde, unterliegt sie deutschem Gesetz? Inwieweit hat das gebrachte Beispiel deinerseits überhaupt einen inhaltlichen Bezug? Ich sehe da keinen.
Jetzt redest du wieder von "Behörden" Meinst du nun deine Lokale Polizei, das LKA, das BKA, Polizei allgemein? Ob die auf dem Niveau des FBI sind, KA sie wollen da aber hin. Eine Behörde ist im Aktiv, die andere wird aufgebaut. Geh mal davon aus, das sie in Zukunft dein Navi aufmachen... Vegeta schrieb: Ich habe mehrere Beispiele gegeben wie jemand Passwörter abgreifen kann. Das kann aus der Nachbarschaft, sonstigem Umfeld kommen oder durch gezieltes Social Engineering. Hast du noch nie davon gehört, weißt absolut nicht was da mittlerweile abgeht?
Nein hast du nicht, du hast (mal wieder) irgend eine Nebelkerze in den Raum geworfen oder wie TomLu sagen würde "ein Kaninchen" raus gezogen. Könnt ihr euch mal auf ne sinnvolle Diskussionsgrundlage einigen? Der eine Will POP3 nur Server/Server Kommunikation, der andere auf dem Endgerät. Wenn jemand auf Social Engeniering reinfällt, macht der Angreifer nicht bei seinem POP3 "gesicherten" Konto halt.
* als eifersüchtiger Partner habe ich zugriff auf deine Lokalen Storage
Nein wieso? Noch nie 'ne Freundin gehabt die beruflich in einem Büro arbeitet, wo du keinen Zugriff drauf hast? Die allerdings nicht ihre Firmen-E-Mailadresse benutzt? Oder eine die eine eigene Wohnung hat oder man noch nicht zusammen wohnt?
Halt moment, du hast geschrieben, dass die Person das aufgeschriebene Password (wer schreib heute noch Passwörter auf) findet.. Wo bitte verteilst du deine Passwörter? Am schwarzen Brett? Vegeta schrieb: * Wenn also jemand seine komplette Security vernichtet hat (schwache passöwrter) ist POP3 die "last line of defense"?
Die Beispiele zeigen jedenfalls zur Genüge dass IMAP zum Fallstrick werden kann. Dazu bedarf es nicht mal großer Phantasie. The Fappening ist dazu auch ein hervorragendes Beispiel dafür, hätten die Frauen die Bilder gelöscht hätte der / die Hacker sie nicht veröffentlichen können. Denn etliche der Bilder sollen von GMail-Konten gekommen sein.
Sorry das ich dich jetzt nicht mehr ernst nehmen kann ... Die Damen hatten die Bilder zum Teil gelöscht, nur Apple halt nicht ... https://www.huffingtonpost.com/2014/10/21/delete-photos-iphone-icloud_n_6005896.html Vegeta schrieb: Hier ein letztes Mal: Es geht mir persönlich darum, dass jemand der Zugriff auf mein Konto kriegen sollte, nicht die gesamte Kommunikation der letzten Jahre nachvollziehen kann und ich will diesen Zustand ohne lokal die E-Mail löschen zu müssen und das geht nicht mit IMAP. Ist das wirklich so extremst schwer zu verstehen?
Ja weil das Bullshit ist. Das kann jeder halbwegs moderne (Post 2004?) MailClient OutOfTheBox. Nennt sich archivieren. Vegeta schrieb: In den meisten Fällen erbeuten die Kriminellen nämlich nur die Zugangsdaten und haben folglich nur normalen Zugriff. So geschehen bei Yahoo wo sie Zugangsdaten abgegriffen haben, zum Teil sogar unverschlüsselt oder durch Social Engineering, wo es schon viele Hollywoodgrößen erwischt hat aber auch andere Leute wie CIA-Chef John Brennan wurden so schon aufs Kreuz gelegt und die Kriminellen hatten plötzlich Zugriff aufs Konto. Jeder der da IMAP benutzt hat denen den Schlüssel zu einer wahren Goldgrube gegeben.
Und die stellen wo sie gleich die ganze Firmen ausgehoben ignorierst du? Vegeta schrieb: Und wenn du meinst das stimmt alles nicht, dann sag endlich mal an wie sich die Leute gegen einen Hack wie bei Yahoo schützen können? Wie sollen sie sich schützen vor Social Engineering, wie sollen sie sich schützen das jemand das Passwort errät oder sonstwie daran kommt und aus dem Umfeld kommt? Und jetzt komm mir nicht mit so'n Quatsch wie E-Mail-Verschlüsselung was 99% aller Nutzer nicht machen. Also sag an, wie kann man den totalen Datengau mit IMAP verhindern?
Such dir eine vernünftigen Provider. Im thread wurden schon ein paar genannt, Tipp es ist nicht GMX 😉
Passwort erraten → Password mit 30+ zeichen (volle ascii breite) da räts du eine weile.
Single Use Passwörter verwenden (wie lange predigt das die Heise Security schon)
Es gibt noch Authentication-Möglichkeiten als Login/Password
Und gegen Social Engineering hilft → Hirn einschalten ...
|
TomLu
Anmeldungsdatum: 23. August 2014
Beiträge: 603
|
raptor2101 schrieb: Der eine Will POP3 nur Server/Server Kommunikation
Damit hast Du es -was mich angeht- auf den Punkt gebracht. Meine Client/Server-Setups basieren natürlich wieder auf IMAP... weil ich bei Verwendung mehrerer Geräte auch alles andere für ungeeignet erachte. Nur ist mein Mailserver ausschließlich im LAN erreichbar oder für die Mobil-Clients nur über den Umweg OpenVPN. Von irgendwo auf der Welt erfordert das halt die Unbequemlichkeit eines zusätzlichen vorherigen Clicks...
|
Cruiz
Anmeldungsdatum: 6. März 2014
Beiträge: 5557
Wohnort: Freiburg i. Brsg.
|
TomLu schrieb: raptor2101 schrieb: Der eine Will POP3 nur Server/Server Kommunikation
Damit hast Du es -was mich angeht- auf den Punkt gebracht. Meine Client/Server-Setups basieren natürlich wieder auf IMAP... weil ich bei Verwendung mehrerer Geräte auch alles andere für ungeeignet erachte. Nur ist mein Mailserver ausschließlich im LAN erreichbar oder für die Mobil-Clients nur über den Umweg OpenVPN. Von irgendwo auf der Welt erfordert das halt die Unbequemlichkeit eines zusätzlichen vorherigen Clicks...
Genau das meine ich mit meiner Kritik an deiner Diskussionsführung. Du nimmst einen recht einfachen Sachverhalt "POP3 oder IMAP" und bringst dein sehr spezielles Szenario in die Diskussion ein. Wer betreibt schon einen eigenen Mailserver? Wenn ich einen Mailserver betreibe und somit die Vorteile von IMAP nutzen und trotzdem den Posteingang meines Maildienstleisters regelmäßig leeren kann, ist das ja nett. Schon alleine weil man dadurch nie Ärger mit Speicherquota etc. bekommt. Ich habe hier ja auch nie solche Spezialdinge wie die Posteingangsverschlüsselung von Mailbox eingebracht, weil das viel zu wenige nutzen können. Wenn ich aber als normaler Anwender die Wahl habe zwischen POP3 und IMAP und auch noch mehrere Geräte verwenden will, dann sollte die Wahl immer zu Gunsten von IMAP ausfallen. Eben weil der Sicherheitsvorteil von POP3 eher marginal ist und die E-Mail Kommunikation nicht wirklich absichert. Dass es letztlich immer besser ist, gar keine Daten zu erzeugen oder vorrätig zu halten steht außer Frage.
|
raptor2101
Anmeldungsdatum: 8. Juni 2009
Beiträge: 1249
Wohnort: Stuttgart, Deutschland
|
Vegeta schrieb: Ich habe mehrere Beispiele gegeben wie jemand Passwörter abgreifen kann. Das kann aus der Nachbarschaft, sonstigem Umfeld kommen oder durch gezieltes Social Engineering. Hast du noch nie davon gehört, weißt absolut nicht was da mittlerweile abgeht?
Wichtig für die Folgende Argumentation: den Vorfall "Frappening" hast du ins Spiel gebracht, nicht das es heißt ich würde mir wieder ein "Kaninchen aus dem Hut ziehen". In deiner Realität gibt es also einen eifersüchtigen/neugierigen Nachbarn/Partner/Mitarbeiter oder den "Social Enginieering"-Guru. Irgendwie ist diese Person (spielt für für die Nachfolgende Argumentation keine Rolle ob Guru oder neugieriger Mensch) an deine Zugangsdaten gekommen (Jedi Hand Trick?) und logt sich jetzt auf deinem Mail Account ein. Findet nichts und denkt sich: "Duh ... das war es dann wohl jetzt gebe ich auf". In meiner Realität (gestärkt durch Medienberichte und Erfahrung) läuft das eher wie folgt ab. Die Person weiß was sie will (zb deine Nacktfotos in den Mails - nur für das Argument 😉) sie weiß, sie sind entweder auf dem Endgerät oder auf deinem Provider Account. Jeh nachdem was schneller zu erreichen ist, beschaffen sie sich das Endgerät (deine Zugangsdaten haben sie ja oder da du so schlechte Passwörter verwendet oder sie am Monitor kleben) kommen sie auch da rein. Voller Zugriff. Ich mein wer sein Passwörter ans schwarze Brett hängt lässt auch seinen PC unbeaufsichtigt... (Und nein das kannst du nicht wegdiskutieren: Es ist ein Durchgehender Spaß bei uns im Büro sich an die ungesperrten Rechner der Kollegen zu setzten und allerhand Schabernack zu treiben...) Aber hey wozu die Mühe: die Person nimmt sich einfach das Telefon in die Hand und ruft bei deinem Provider an. Die Fragen zur Autorisierung/Authentisierung kann sie im Schlaf beantworten (die Person kennt dich ja oder hat dich nach SE- Tricks ausgefragt). Wenn es einen "höhrbaren" Geschlechtswechsel gibt könnte der L1 Supporter stutzig werden (Höhrbar zu tiefe oder hohe stimme) aber das kann man wegdiskutieren. Zu mindest der Social Engenieering Guru macht einfach seinen Jedi Hand Trick und schwups geht es an die Arbeit. Nach einem höflichen Geplänkel bittet die Person den L1 Supporter doch bitte die Gelöschten Daten wieder herzustellen die eben aufgrund eines "Versehen" gelöscht wurden. Er wird dies, sofern es Backups gibt, bestätigen und ausführen. Aus meiner Erfahrung (hab das schon ein paar mal machen dürfen) sind diese Gespräche unkompliziert und gehen ohne weitere Nachfrage von statten. Die backups werden ja in einen "gesicherten" Bereich deployed. Längste Wartezeit waren 8 Stunden. Der schnellste Recover hat mir im Gespräch noch die mails der letzten Jahren wieder hergestellt. Aber das sind persönliche Erfahrungen - wir haben ja noch Frappening. Dort brauchten die Angreifer nicht mal nen Supportmitarbeiter, die Backups wahren über das User-Frontend zugänglich (ob sie es immer noch sind weiß ich nicht, hab kein Apple) → Conclusio - wenn du ne Apple Mail hast, kannst du POP3 machen wie du willst ... Es steht außer Frage: Daten die es nicht gibt, können nicht geklaut werden. weder bei dieser speziellen Art von Bildern noch beim Empfangen von Mails hat man die Erzeugung der Daten in der Hand (Bei den Bildern meist in der Hand des Partners ...). Man kann maximal steuern wo sie überall gespeichert werden. Wenn man nicht will, dass diese Daten in externe Hände geraten (Datenhalden auf Speichern außerhalb der eigenen Infrastruktur) darf man keine Externen Dienste (Cloud, MailProvider) nutzen. Wenn man das nicht kann oder der Meinung ist, dass ein Server von Profis sicherer Betrieben werden kann, als von einem selbst, ist das Legitim. Dann ist der "Sicherheitsgewinn" durch POP3 aber eher im "ich fühle mich Sicherer" Bereich zu verorten. Die echte "Sicherheit" kommt durch den Provider. Er schützt den Datenberg. Das ganze ist aber nutzlos, wenn man seine Passwörter ans schwarze Brett nagelt. Dann am besten die Nacktbilder gleich daneben... spart man den Mitmenschen den Aufwand
|
Vegeta
Anmeldungsdatum: 29. April 2006
Beiträge: 7943
|
raptor2101 schrieb: Nein das sie den man Abgehört haben und ihn bewusst machen lassen haben.https://www.rbb24.de/politik/beitrag/2018/08/amri-skandal-erreicht-verfassungsschutzpraesident-maassen.html
Hier ein besserer Bericht was abgelaufen ist und wie die einzelnen Behörden, in diesem Falle nicht nur die Polizei, versagt haben.
Jetzt redest du wieder von "Behörden" Meinst du nun deine Lokale Polizei, das LKA, das BKA, Polizei allgemein? Ob die auf dem Niveau des FBI sind, KA sie wollen da aber hin. Eine Behörde ist im Aktiv, die andere wird aufgebaut. Geh mal davon aus, das sie in Zukunft dein Navi aufmachen...
Wenn ich von Behörden spreche dann gehe ich von Polizei aus, Geheimdienst ist was womit der 0815-Bürger niemals was zu tun hat, das mag schwammig sein aber das ist damit gemeint. Beim konkreten Fall war das BKA im Einsatz, also dann wohl auch das LKA. Neben massig Ermittlungspannen konnten die GPS-Daten nicht ausgelesen werden und waren letztendlich sogar vom Navi überschrieben worden. Und nein ich habe zwar ein Navi aber das ist nicht fest eingebaut und auch unverschlüsselt.
Nein hast du nicht, du hast (mal wieder) irgend eine Nebelkerze in den Raum geworfen oder wie TomLu sagen würde "ein Kaninchen" raus gezogen. Könnt ihr euch mal auf ne sinnvolle Diskussionsgrundlage einigen? Der eine Will POP3 nur Server/Server Kommunikation, der andere auf dem Endgerät. Wenn jemand auf Social Engeniering reinfällt, macht der Angreifer nicht bei seinem POP3 "gesicherten" Konto halt.
Es sind keine Nebelkerzen, sondern reale Fälle die hier genannt wurden. Ansonsten hier ein Link wie so was abläuft. Wie kann man sich schützen, dass ein unachtsamer Mitarbeiter Daten rausgibt? Oder was wenn ich auf eine Attacke reinfalle auf eine Mail, einen Brief oder gar einen Anruf eines angeblichen Mitarbeiters und der alle meine Daten kennt etc.? Es wird in meiner Gegend fast im Monatstakt vor falschen Polizisten gewarnt die Leute anrufen, vor falschen Handwerkern oder Leute die sich als Mitarbeiter ausgeben, wie verhindere ich im Fall der Fälle dass solche Leute Zugriff auf alle meine Mails bekommen, nur weil ich IMAP benutze und die das Passwort sonstwie herausgefunden haben? Und nur so nebenbei, da das ja alles Nebelkerzen sind: Ich selber habe ein Konto bei Yahoo und bin somit potentielles Opfer dieses Hackerangriffs geworden, genauso war ich mal Kunde bei Vodafone und auch wenn ich nicht benachrichtigt wurde damals, könnte ich eines der 2 Millionen Opfer sein dessen Daten damals geklaut wurden.
Halt moment, du hast geschrieben, dass die Person das aufgeschriebene Password (wer schreib heute noch Passwörter auf) findet.. Wo bitte verteilst du deine Passwörter? Am schwarzen Brett?
Ich rede hier nicht über mich, es gibt Leute die haben Klebezettel mit Passwörtern am Monitor hängen, habe ich selber auf der Arbeit schon erlebt oder lassen Passwortlisten in einer Schublade verschwinden oder es gibt auch Experten die alles in eine ungeschützte Datei speichern, erst letztens wieder so einen Spezi in den Kommentaren gelesen, gleich der erste. Es gibt natürlich auch Experten die immer und überall das gleiche Passwort benutzen, ebenfalls ein Angriffsvektor.
Nur weil du das nicht machst, ich das nicht mache, heißt das nicht dass es viele Leute gibt die es so machen.
Sorry das ich dich jetzt nicht mehr ernst nehmen kann ... Die Damen hatten die Bilder zum Teil gelöscht, nur Apple halt nicht ... https://www.huffingtonpost.com/2014/10/21/delete-photos-iphone-icloud_n_6005896.html
Ich rede nicht von der Cloud, was meinst du weswegen ich explizit von GMail rede? Etliche der Bilder stammen aus E-Mail-Konten.
Ja weil das Bullshit ist. Das kann jeder halbwegs moderne (Post 2004?) MailClient OutOfTheBox. Nennt sich archivieren.
Gut dann kommen wir ja weiter. Erstens soll das automatisch gehen und nicht händisch, zweitens sollen die archivieren Mails im Posteingangsordner verbleiben und nicht in einen anderen Ordner verschwinden. Zudem sollen auf diese Weise auch Mails gelöscht werden vom Server, die verschickt werden, natürlich ebenfalls automatisch. Immer noch alles Out of the Box?
Vegeta schrieb: In den meisten Fällen erbeuten die Kriminellen nämlich nur die Zugangsdaten und haben folglich nur normalen Zugriff. So geschehen bei Yahoo wo sie Zugangsdaten abgegriffen haben, zum Teil sogar unverschlüsselt oder durch Social Engineering, wo es schon viele Hollywoodgrößen erwischt hat aber auch andere Leute wie CIA-Chef John Brennan wurden so schon aufs Kreuz gelegt und die Kriminellen hatten plötzlich Zugriff aufs Konto. Jeder der da IMAP benutzt hat denen den Schlüssel zu einer wahren Goldgrube gegeben.
Und die stellen wo sie gleich die ganze Firmen ausgehoben ignorierst du?
Was sind die stellen (sic) wo sie ganze Firmen ausgehoben haben? Wer sind die, von wem sprichst du? Welche Firmen?
Such dir eine vernünftigen Provider. Im thread wurden schon ein paar genannt, Tipp es ist nicht GMX 😉
Ich benutze mehrere E-Mail-Anbieter, einer davon ist Yahoo aber ausschließlich für Forenmails. Und gegen Social Engineering hilft → Hirn einschalten ...
Nö überhaupt nicht. Im krassesten Fall kriegst du es ja gar nicht mit was abgeht. Wenn jemand in deinen Namen und mit entsprechend gesammelten Hintergrundinfos aktiv wird und eine Firma kontaktiert mit der du eine Geschäftsbeziehung hast. Wenn die die Daten rausgeben oder postalisch was verschicken und das dann abgefangen wird, dann kann das unangenehm werden und das bekommst du erst im Nachhinein mit. Um nochmals bei E-Mail-Anbieter und Social Engineering zu bleiben. Einige, Yahoo gehört dazu, bieten als Schutz vor Passwortverlust Sicherheitsfragen an, das erste Haustier, das erste Auto, Nummernschild, Farbe blabla, das sind alles Sachen die man unverfänglich herausfinden kann und so eine Attacke könnte jeder aus dem direkten Umfeld starten, der ein Interesse daran hätte und genug kriminelle Energie aufbringt.
|