Aktuelle Sicherheitslücken - Seite 8

Seite 8 von 57 - Forum: Applications, Apps & Drivers auf overclockers.at

URL: https://www.overclockers.at/applications/aktuelle-sicherheitsluecken_238671/page_8 - zur Vollversion wechseln!

Dreamforcer schrieb am 29.11.2017 um 20:39

hat jemand grad ne beta rennen vom 10.13.2 ? ich hab irgendwie die vermutung dass das bei den dev versionen aktiv ist und bei der final einfach ein flag nicht entfernt wurde als die die kompilierten

Hubman schrieb am 30.11.2017 um 18:10

Zitat aus einem Post von Smut
Immerhin. Schnelles Update.
About the security content of Security Update 2017-001

This document describes the security content of Security Update 2017-001.
Link: support.apple.com

für diesen patch haben jetzt auch gleich wieder einen patch rausgebracht....
oder man lösts im terminal https://support.apple.com/en-us/HT208317

Hansmaulwurf schrieb am 30.11.2017 um 22:50

scnr

Hansmaulwurf schrieb am 06.04.2018 um 22:05

Tweet-URL: https://xcancel.com/tmobileat/status/981418339653300224

Der Thread. Also ich würde mich als Kunde bei T-Mobile entweder abmelden, oder schnell mein Passwort ändern.

Tweet-URL: https://xcancel.com/tmobileat/status/982187919061303296

¯\_(ツ)_/¯

mat schrieb am 06.04.2018 um 22:36

Breach in 3 .. 2 .. 1 ..

Bogus schrieb am 07.04.2018 um 14:00

:eek: :rolleyes:
"We store the whole password, because you need it for the login..." ?
wtf? das liest sich so, als müssten sie es plaintext speichern, weil's sie's ja sonst nicht validieren können :bash:

das muss sarkastisch gemeint sein, oder virales marketing? not sure.
vorallem dann die ansage: "because our security is amazingly good?"

möglicherweise wurde der twitter account bereits gehacked, oder der mitarbeiter ist stoned?

ich lese im darkweb schon den satz: challenge accepted

UnleashThebeast schrieb am 07.04.2018 um 14:01

Das is halt irgendeine Social Media Fuffi, was soll die schon Ahnung haben?

Viel interessanter ist weiter unten die Frage, ob und wie sich Plaintext-Passwörter wohl mit der DSGVO vereinbaren lassen...

Hansmaulwurf schrieb am 07.04.2018 um 14:08

Zitat aus einem Post von Bogus
ich lese im darkweb schon den satz: challenge accepted

Dafür brauchts kein Darkweb, weil die Security-Forscher da auch so relativ offen sind, aber ja, international hieß es schon challenge accepted

T-Mobile.at prahlt mit "amazing security", wird weltweit zur Lachnummer

Passwörter offenbar teilweise im Klartext gespeichert, Webseite mit groben Fehlern

Link: derstandard.at

Smut schrieb am 07.04.2018 um 14:26

Zitat aus einem Post von UnleashThebeast
Das is halt irgendeine Social Media Fuffi, was soll die schon Ahnung haben?

Viel interessanter ist weiter unten die Frage, ob und wie sich Plaintext-Passwörter wohl mit der DSGVO vereinbaren lassen...

Die Passwörter selbst sind idr. In solchen Systemen nicht im plaintext gespeichert. Sondern verschlüsselt mit protokolliertem Zugriff. Helpdesk darf 4 stellen sehen, gewisses Personal kann jedoch alle einsehen, das Problem besteht bei Verschlüsselung einfach.

Hier kommen zwei Phänomene zusammen: gängige Praxis bei Helpdesks zur Useridentifierzirung und Social Media.

Finde diese Variante zur User-Authentifizierung via Helpdesk veraltet, ist aber nicht nur bei t-Mobile so, T-Mobile fasst es jetzt halt aus.
Kann mich erinnern, dass ich auch beim MS Helpdesk mal eine ähnliche Situation hatte.

~PI-IOENIX~ schrieb am 07.04.2018 um 14:51

Wie kommt der österreichische Bundestrojaner aus Handy ?

Bogus schrieb am 07.04.2018 um 15:33

wegen helpdesk passwort: ich stelle bei nem kunden gerade das system so um, dass das login passwort unabhängig vom support passwort wird. login-pw dann natürlich gehashed, und support-pw aes encrypted.

semteX schrieb am 07.04.2018 um 15:35

das versteh ich eben ned, du hast ja das KUNDENKENNWORT welches plaintext ist (no na) und das login passwort. die zwei ham miteinander zumindest bei DREI nix zu tun.

Smut schrieb am 07.04.2018 um 16:54

Zitat aus einem Post von semteX
das versteh ich eben ned, du hast ja das KUNDENKENNWORT welches plaintext ist (no na) und das login passwort. die zwei ham miteinander zumindest bei DREI nix zu tun.

Genau.
Bei T-Mobile eben nicht.
Gut gemeint aber halt problematisch da die Leute oft ein Shared Passwort verwenden, etwas anderes kannst halt auch nur schlecht z.b. Telefonisch durchgeben.

Zitat aus einem Post von Bogus
wegen helpdesk passwort: ich stelle bei nem kunden gerade das system so um, dass das login passwort unabhängig vom support passwort wird. login-pw dann natürlich gehashed, und support-pw aes encrypted.

Das ist die bessere Lösung benötigt aber 2x secrets beim enduser.

Bogus schrieb am 07.04.2018 um 17:50

Zitat aus einem Post von Smut
Das ist die bessere Lösung benötigt aber 2x secrets beim enduser.

+1

aber speziell in hinblick auf die DSGV stellen wir das entsprechend um. technisch ist es ja relativ wenig aufwand.
der support wird sich damit aber sicher noch ärgern.....

@semteX: aber auch das kundenkenntwort sollte encrypted in der DB stehen.
bringt ja auch ein sicherheitsrisiko mit sich, wenn sich der kunde telefonisch damit authorisiert.

Rektal schrieb am 07.04.2018 um 20:09

Wenn die DSGV anrollt, koennen wirs verifizieren: einfach alle Daten anfordern und schauen welche "spalten" komen