xDSL.at

[mmia]

Ich bin nur durch Zufall auf dieses "Feature" gestoßen. Autologin heißt, dass A1/TA Kunden mit einer A1 IP automatisch eingeloggt werden wenn sie a1.net besuchen. Auf der Seite findet sich eine Menge eigentlich privater Daten: Name, Adresse, Rechnungen, Telefonnummern und sogar ein Online Shop.

Jeder und "jedes" das "Zugang" zu der IP Adresse eines A1 Kunden hat, hat auch Zugang zu diesen Daten. Das heißt nicht nur public Wifi und Proxies die ja ohnehin aus verschiedenen anderen Gründen problematisch sind oder jeder "physische" Benutzer im lokalen Netzwerk (Kinder und Gäste...). Es bedeutet auch, dass jedes Programm oder Script das Zugang zum Internet hat, darauf zugreifen kann: Unbekannte Programme die man in einer sicher geglaubten Sandbox ausführt, Malware Testlabor usw. Es betrifft aber auch normal installierte Schadsoftware die "out of the box" nun schon Zugang zu diesen Daten hat ohne dass der User social engineered werden oder man lang keyboard loggen muss.

Richtig interessant und "gefährlich" wird es allerdings wenn man sich fragt ob man nicht auch über Web und Browserbasierte Sicherheitslücken wie XSS (massenhaft, automatisiert, remote und unbemerkt) Zugang erlangen kann.

Soweit ich weiß wird dieses Forum auch von TA/A1 Mitarbeitern gelesen. Kann mir jemand sagen warum dieses "Feature" opt-out ist? Kann mir jemand sagen wie ein Online Shop mit -nur einer IP Authentifizieren- überhaupt die relevanten Auflagen erfüllt? Und zu guter Letzt, wen kann ich kontaktieren damit diese Sicherheitslücke "gestopft" wird?

[zid]

naja, dieses feature ist allgemein bekannt, und man kann und konnte es ja auch abdrehen (hab ich z.b. vor ca. 3 ewigkeiten gemacht) -> Autologin verwalten

>"...und Gäste..."
wenn man gastzugänge laufen hat, dann sollte man dieses feature wirklich abdrehen oder halt die seiten der ta für die gäste sperren.

>"...Kann mir jemand sagen warum dieses "Feature" opt-out ist?..."
ich bin kein mitarbeiter der ta und kann deshalb nur raten: kiss für die user... mir persönlich würde ein opt-in besser gefallen.

lg
zid

[lordpeng]

das ist weder geheim noch neu und betrifft IMHO nur privat produkte, bei business produkten isses mir jedenfalls noch nie passiert, dass ich mich NICHT anmelden musste

<SARKASMUS> am besten schnell den anonymous deppen bescheid sagen ... </SARKASMUS>

[danielhruska]

ich bin froh über dieses feature - musste ich mich bei anderen providern (tele2) schon für jedes erdenkliche ding mit unterschiedlichsten userdaten anmelden (ich glaube, tele2 ist da am schlimmsten...) brauch ich das bei a1 eben nicht!

[Herculess]

das ist eine wahnsinns entdeckung - gibt's ja erst ein paar jährchen.
find's ebenfalls ok, vor allem, da man's abstellen kann.

greets

[wicked_one]

Ja also meine größte Sorgen wenn mein Rechner Viren und Malwareverseucht ist, dass jemand weiss wieviel ich fürs Handyfonieren zahle.

scherz beiseite, einzig wenn ich meinen Privaten Internetzugang mit anderen Teile, weil ich meine Hotspot spielen zu müssen, ist das zu beachten...

und es ist abschaltbar, somit...

[_Riddik_]

Huhu,

Ja also meine größte Sorgen wenn mein Rechner Viren und Malwareverseucht ist, dass jemand weiss wieviel ich fürs Handyfonieren zahle.

Das ist aber auch schon fast das einzige was man damit machen kann.
Relevante Dinge muss man ohnehin mit Passwort nochmals bestätigen.

Mal abgesehen das das Auto Login nur mit den Daten vom Modem mit
dem man ins Internet geht verknüpft wird. Somit kann man "nur" über
den vorhandenen Anschluss auf die Seite zugreifen.
Und wenn jemand Viren, Trojaner und Malware auf seinen Rechner hütet.......
tja, dann ist das aber vermutlich das geringste seiner Probleme

Und wenn jemand für seinen Betrieb einen Privat Zugang nimmt, ganz
grosses Entschuldigung, dann tut der mir aber nimmer leid - denn so
teuer sind die Business Anschlüsse auch nicht.

Als Privater hat man 1 oder 2 PC als Normalsterblicher zuhause und
wenn man echt wegen den Kindern Sorge hat ist es deaktivierbar -
wie schon in den Vorposts mitgeteilt.
Und AutoLogin gibts sogar bei Ebay und Paypal - von daher kann man
das wohl kaum als Sicherheitslücke bezeichnen.......

Lg

Riddik

[lordpeng]

>Somit kann man "nur" über den vorhandenen Anschluss auf die Seite zugreifen.
das ist IMHO schon lang nimmer der fall (weder bei business- noch bei privat-produkten)

[_Riddik_]

das ist IMHO schon lang nimmer der fall (weder bei business- noch bei privat-produkten)

Sry, des hab i schlecht ausgedrückt. Man muss eben über den Anschluss
reingehen um automatisch angemeldet zu werden. Ansonsten muss
man sich schon mit den Zugangsdaten anmelden.

Lg

Riddik

[jutta]

> einzig wenn ich meinen Privaten Internetzugang mit anderen Teile, weil ich meine Hotspot spielen zu müssen, ist das zu beachten...

das trifft zb auf alle menschen zu, die mit partner/in und oder kind(ern) zusammen leben, also nicht ganz wenige, egal ob per lan oder wlan. und: erklaer mal den kindern, dass sie nichts verstellen (oder bestellen) sollen

> und es ist abschaltbar, somit...

das war es anfangs nicht und auch jetzt wird das feature offenbar nicht so kommuniziert, dass jeder frischgebackene a1-kunde weiss, wie er es ein/aus-schalten kann. als das autologin vor einigen jahren eingefuehrt wurde, konnte man vom kundenbereich aus auch noch so ziemlich alles ein- und umstellen und nicht bloss den traffic abrufen.

[lordpeng]

@jutta
du hast natürlich nicht unrecht, ABER wenn ich dran denk, wie mich der grossteil unserer kunden immer gross anschauen, wenn ich sie nach irgendwelchen zugangsdaten frag, dann find ich die funktion auf jedenfall sinnvoll, auch finde ich es sinnvoll, dass die funktion standardmässig aktiv ist, weil sonst würd sie wohl in 95 % aller fälle eh für die fisch sein, weils die wenigsten (zumindest die wo's sinnvoll wäre) bewusst aktivieren

btw. zumindest bei den mailboxen musste man sowieso die änderungen mit dem kennwort bestätigen (kA ob das immer noch der fall ist)

auf jedenfall wäre es jedoch sinnvoll, gross darauf hin zu weisen ... (eventuell mit einem verweis auf der monatsrechnung)

[jutta]

> ABER wenn ich dran denk, wie mich der grossteil unserer kunden immer gross anschauen, wenn ich sie nach irgendwelchen zugangsdaten frag, dann find ich die funktion auf jedenfall sinnvoll,

andererseits: wenn sie die zugangsdaten taeglich oder auch nur alle paar wochen eintippen muessten, wuessten sie sie unter garantie auswendig oder haetten zumindest ein post-it welche, die ich nie brauche, find ich im notfall auch nicht sofort

[_Riddik_]

btw. zumindest bei den mailboxen musste man sowieso die änderungen mit dem kennwort bestätigen (kA ob das immer noch der fall ist)

Ist auf jeden Fall noch immer so.

auf jedenfall wäre es jedoch sinnvoll, gross darauf hin zu weisen ... (eventuell mit einem verweis auf der monatsrechnung)

full ack

andererseits: wenn sie die zugangsdaten taeglich oder auch nur alle paar wochen eintippen muessten, wuessten sie sie unter garantie auswendig oder haetten zumindest ein post-it

hmmm, nur wenn diese täglich einzugeben wären - ansonsten gehen die unter garantie verloren

Lg

Riddik