ComputerBase Menü
Aktuelles

News Neues Outlook: Anwendung überträgt wohl Zugangsdaten an Microsoft

Daher gehe ich davon aus, dass die PW nicht im Klartext gespeichert werden. Jedenfalls so lange, bis das Gegenteil auch bewiesen ist.
 
.one schrieb:
Hast du da Belege oder laberst du nur?
Zum Vergrößern anklicken....
Der Link ist Ihnen entgangen.
.one schrieb:
Anders gefragt: Ist dir klar, was ein honeypot ist?
Zum Vergrößern anklicken....
Der Sprachgebrauch eines Honeypot als Falle ist bekannt. Die direkte (verbatim) Bedeutung ist ebenso gegeben, ein Honigtopf. Hier also für die tatsächlich Daten.

Die IT verwendet gerne missverständliche und mehrdeutige Begriffe. Da der Begriff ohnehin schon mehrdeutig ist “eine Cloud ist eine attraktives Angriffsziel”.

Ich bin allerdings auch genau bei Fachbegriffen und deren Verwendung. Kann also den Schmerz nachvollziehen. Um ein Missverständnis auszuräumen habe ich es im ursprünglichen Text klar gestellt.
 
Zuletzt bearbeitet:
.one schrieb:
Daher gehe ich davon aus, dass die PW nicht im Klartext gespeichert werden.
Zum Vergrößern anklicken....
Der Heise Artikel dazu ist sehr Lesenswert in der Hinsicht.
Die Zugangsdaten werden zwar ueber TLS uebertragen, sind aber auf dem Uebertragungsweg nicht weiter geschuetzt. Die App scheint keinerlei Schutz gegen SSL Inspection zu haben, so das Heise in der Lage war an den Klartext heranzukommen.

Und prinzipbedingt, da ja MS die Emails fuer dich abholt, muessen sie das Passwort im Klartext haben, bzw, den Klartext herstellen koennen. Irreversibel hashen ist also schonmal raus. Verschluesseln ist moeglich, und sogar wahrscheinlich, aber MS hat auch den Schluessel dazu, wieviel das also Wert ist sei dahingestellt.
 
flaphoschi schrieb:
Der Sprachgebrauch eines Honeypot als Falle ist bekannt. Die direkte (verbatim) Bedeutung ist ebenso gegeben, ein Honigtopf. Hier also für die tatsächlich Daten.
Zum Vergrößern anklicken....
Ein Honeypot ist aber nicht einfach nur durch Unfähigkeit unsichere Cloud. Das bezeichnet eher einen Server, der gezielt für potentielle Angriffe betrieben wird. Damit will man Angreifer a) vom eigentlich Produktivsystem ablenken und b) anhand der Zugriffe auf den Honeypot zurückverfolgen.
 
Ranayna schrieb:
Die Zugangsdaten werden zwar ueber TLS uebertragen, sind aber auf dem Uebertragungsweg nicht weiter geschuetzt.
Zum Vergrößern anklicken....
Die Daten sind in dem TLS-Tunnel. Sie kommen dann aber unverschlüsselt an. Dass ist der Kern der ganzen Sache. Sie werden also sehr wohl verschlüsselt übertragen.

Ranayna schrieb:
Und prinzipbedingt, da ja MS die Emails fuer dich abholt, muessen sie das Passwort im Klartext haben
Zum Vergrößern anklicken....
Nein, das müssen sie eigentlich nicht. Ein Weg wäre den von Google zu gehen und mit Tokens zu arbeiten. Was natürlich Aufgabe der Email-Anbieter ist.

Und ich habe den Heise-Artikel gelesen. Vor diesem hier.
 
.one schrieb:
Nein, das müssen sie eigentlich nicht. Ein Weg wäre den von Google zu gehen und mit Tokens zu arbeiten. Was natürlich Aufgabe der Email-Anbieter ist.
Zum Vergrößern anklicken....
Doch, in diesem Fall schon, denn dieses Problem betrifft nunmal explizit das IMAP Protokoll.
Das kann keine Zweifaktor Authentifizierung und kann auch nicht mit irgendwelchen Token umgehen. Dafuer braeuchte man eine anpassung des Protokolls, oder ein neues Protokoll

Google Mail benutzt soweit ich weiss halt eben kein IMAP.

.one schrieb:
Die Daten sind in dem TLS-Tunnel. Sie kommen aber dann unverschlüsselt an.
Zum Vergrößern anklicken....
Wuerde MS es ernst meinen mit der Sicherheit, wuerden sie das Serverzertifikat ueberpruefen, was auch trivial sein duerfte, denn es ist ja ihres, und bei fehlgeschlagener Pruefung den Aufbau einer Verbindung verweigern.
Das tun sie offensichtlich nicht, sonst waere Heise nicht an den Klartext gekommen.
 
Dass da geschlampt wurde steht außer Frage. Aber es ist schlicht und einfach nichts besonderes, dass Emailclients im Laufe der Zeit genau so funktionieren. Am Smartphone (wie schon gesagt) eigentlich schon immer. Da schreit aber komischer Weise niemand auf.
 
Ich kann da natuerlich nur fuer mich sprechen: Ich benutze am Smartphone keinen EMail Client. Ich muss unterwegs meine Mails nicht checken.

Was mich halt stoert ist, das dieser erzwungene "Datenstriptease" immer mehr und mehr die eigendlich letzte Bastion erobert, wo das eigendlich nicht sein muesste.
 
Gut, dann anders formuliert: Google Mail benutzt wohl nicht nur IMAP, bzw, kann auch andere Protokolle die nicht von der Uebertragung dieser Daten direkt betroffen zu sein scheinen.
Oder alle die hier in diesem Thread gesagt haben das Google Mail davon nicht betroffen sind irren sich ;)
 
.one schrieb:
Daher gehe ich davon aus, dass die PW nicht im Klartext gespeichert werden. Jedenfalls so lange, bis das Gegenteil auch bewiesen ist.
Zum Vergrößern anklicken....
Natürlich wird MS die Zugangsdaten (höchst wahrscheinlich) nicht unverschlüsselt auf der Festplatte ablegen. Aber sie werden halt so verschlüsselt, dass sie selbst wieder ran können, weil sie sie ja brauchen um auf deine 3rd-Party email accounts zuzugreifen. Das ist halt erstmal fundamental was anderes, als wenn deine Zugangsdaten bei dir auf dem Gerät mit deinem persönlichen Schlüssel verschlüsselt werden und dann als Backup/Synchronisation in der Cloud gespeichert werden.
 
Ranayna schrieb:
Wuerde MS es ernst meinen mit der Sicherheit, wuerden sie das Serverzertifikat ueberpruefen, was auch trivial sein duerfte, denn es ist ja ihres, und bei fehlgeschlagener Pruefung den Aufbau einer Verbindung verweigern.
Das tun sie offensichtlich nicht, sonst waere Heise nicht an den Klartext gekommen.
Zum Vergrößern anklicken....

Es stellt sich eine weitere Frage:
Wenn man Daten versendet, die man nicht versenden sollte, würde ich wenigstens die Daten selbst intern synchron oder asynchron verschlüsseln und erst anschließend per TLS verschicken. Besser noch den Key dafür im Textsegment verteilen oder dynamisch generieren (Zeit, Token vom Server). Da die Anwender (noch) die Kontrolle über die Hardware haben, ist das mitlesen der eigenen Datenverbindung - per MITM - jederzeit machbar. Quellgeschlossener Code kann theoretisch disassembliert werden, aber das erfordert dann erheblich mehr Ressourcen.

Den Verantwortlichen war entweder egal (Ignoranz) oder nicht bewusst wie leicht man erwischt wird (fehlende Kompetenz). Ich tippe auf Ignoranz und “Mal schauen wie schlimm der Skandal wird. Zurückrudern. Nochmal probieren.” (Frosch, Kochtopf…funktioniert ja: Cloudpflicht für lokale Nutzeraccounts).


An die Leute mit Fachwissen bezüglich iOS:
Kann man da solchen Apps noch auf die schliche kommen? Oder ist man da schon zu sehr limitiert und eingeschränkt?
 
PTS schrieb:
wie? Das ach so teure iphone hat nicht mal ne eigene mail app? das hat ja sogar ein 50€ android phone, jedes android phone hat eine hauseigene mail app.
Zum Vergrößern anklicken....
Doch, selbstverständlich. Aber poltern ist halt einfacher, als sich zu informieren.
 
Ranayna schrieb:
Gut, dann anders formuliert: Google Mail benutzt wohl nicht nur IMAP, bzw, kann auch andere Protokolle die nicht von der Uebertragung dieser Daten direkt betroffen zu sein scheinen.
Zum Vergrößern anklicken....
Natürlich unterstützt Google IMAP zum übertragen der Mails, für die Authensierung wird aber eben kein Passwort verwenden sondern das modernere OAuth2 Protokoll.
Microsoft hat Passwort Auth für Exchange auch schon deaktiviert. Wie bei Google muss man falls man das braucht ein App Passwort anlegen (zb wenn ein Script Mails abrufen / versenden muss)
 
flaphoschi schrieb:
Den Verantwortlichen war entweder egal (Ignoranz) oder nicht bewusst wie leicht man erwischt wird (fehlende Kompetenz). Ich tippe auf Ignoranz und “Mal schauen wie schlimm der Skandal wird. Zurückrudern. Nochmal probieren.” (Frosch, Kochtopf…funktioniert ja: Cloudpflicht für lokale Nutzeraccounts).
Zum Vergrößern anklicken....
So wie ich's verstehe ist die Übertragung der Zugangsdaten ne Recht offensichtlicher technische Konsequenz aus der Tatsache, dass die neue Outlook App (nicht vom klassischen Outlook) eben nur ein grafischen Frontend für die auf dem Server laufende Mailanwendung ist. Zu versuchen die Übertragung zu verschleiern hätte überhaupt keinen Zweck, weil es offensichtlich ist, dass sie zur "eigentlichen" Anwendung in der Cloud übertragen werden müssen.
 
Viel Aufregung um ... nichts?

Dr. Windows - Neues Outlook für Windows: Vermeintliche Enthüllungen und ein aufgewachter Bundesdatenschützer

Die mobilen Outlook Apps für Android und iOS machen das im Übrigen seit vielen Jahren genauso.
:
Im Umkehrschluss heißt das allerdings: Eine seit Jahren in den mobilen Apps gelebte Praxis war unseren obersten Datenschützern offenbar bislang unbekannt. Für eine neue Version des weltweit populärsten E-Mail-Programms hat man sich nicht proaktiv interessiert. Nach einem Medienbericht verhält man sich nun wie ein aufgescheuchtes Huhn. Sehr viel peinlicher geht es wohl kaum.
:
Die explizite Erwähnung, dass man mit den eingegebenen Login-Daten arbeitet, um Postfächer anderer Anbieter ins neue Outlook zu synchronisieren, fehlt in der Tat – wenngleich es offensichtlich sein sollte, dass es gar nicht anders funktionieren kann.
:
Es erreichten mich in diesem Zusammenhang heute schon einige E-Mails, in denen sich die Leute seltsamerweise weniger an den Login-Daten störten, sondern aufgeschreckt die Frage stellten, ob Microsoft etwa alle ihre E-Mails lesen könne. Selbstverständlich können sie das. Und euer Internetprovider kann das auch. Eine E-Mail ist eine Postkarte. Jeder, der sie auf dem Weg vom Sender zum Empfänger in die Finger bekommt, kann sie lesen, wenn er möchte. Auch das ist eine altbekannte Information, man kann offenbar nicht genug aufklären und auch nicht laut genug dabei schreien.
Zum Vergrößern anklicken....
Und Google G-Mail, und T-Online, und Gmx und 1und1 und Freenet und...

Man kann gar nicht genug facepalmen dafür.
 
  • Gefällt mir
Reaktionen: Miuwa
Abrexxes schrieb:
Sorry aber nein. Ich muss selbst immer wieder auf PDFs bestehen da keines der freien Office Programme korrekt mit dem verwurschtelten docx klarkommt.
Zum Vergrößern anklicken....
Die Antwort darauf heißt WordPad. Ach, verdammt, wird ja von MS eingestellt. Ja, dann muss die Antwort in Zukunft wohl heißen "kein Proprietäres Format mehr."
 
Galatian schrieb:
@zett0 Sicher, dass nicht einfach die zweite Mail im Verlauf der Konversation zu finden war? Im Apple eigenen Programm werden alle Mails zu einer Konversation gebündelt.
Zum Vergrößern anklicken....
Stimmt, wenn ich die erste E-Mail öffne, wird mir auch die zweite angezeigt. Macht aber irgendwie wenig Sinn, da es in dem Fall um zwei unabhängige E-Mails und keine Konversation geht. In den Suchergebnissen gibt es auch keinen Hinweis auf eine zweite E-Mail. Ich hätte also die E-Mail, die mich nicht interessiert öffnen müssen, um zur zweiten zu kommen. Das ist schon extrem dämlich.:freak:
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

S
Neues Outlook bleibt bei "konto hinzufügen" hängen?!
Antworten
4
Aufrufe
860
Mopedfahrer
Mopedfahrer
LaserDiscDude
Wie ein neues outlook Postfach für ein vorhandenes MS Konto erstellen?
Antworten
4
Aufrufe
1.041
LaserDiscDude
LaserDiscDude
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz