Das längste Thema

  • Das wär doch absolut kostengünstig möglich. Nehmen wir mal ein Webhosting 8000 :D;). Damit sind schon 2000 Postfächer möglich. Pro Schüler eins, ok, gibt dann halt nur 250MB Speicherplatz pro Postfach, aber die sollen ja auch keine Youtube-Videos damit verschicken. Das wäre pro Schüler zum Corona Dauertiefpreis weniger als 1 Cent pro Schüler! Ok, beim Senden an Mircosoft hätten sie Probleme, aber wenn alle bei Netcup sind, sollte das ja alles kein Problem sein? :) Jede Schule wird mit einem Webhosting 8000 versorgt, das reicht dicke. Natürlich werden sie die meiste Zeit keine Verbindung zum Mailserver hinbekommen, weil bei so vielen Zugriffen von der Schul-IP der Server natürlich dicht macht und die IP sperrt. Aber dass es nicht immer stabil funktioniert, das sind sie ja schliesslich gewohnt! :D;(

    Das Kultusministerium tut das genau um sowas zu verhindern. Unsere Schule hat schon vorher E-Mail-Adressen an Lehrer ala kürzel@schule.de ausgegeben, die dann über n Webhosting (ner lokalen Firma) gelaufen sind. Manche haben 'se genutzt, die meisten aber nicht. Gibt man die IP im Browser ein, kommt man übrigens auf der Standardseite von Plesk v.-10 (oder wie alt das Ding ist, ich kenn es nicht) raus...


    Aus solchen Gründen, und weil es gesamtwirtschaftlich gesehen günstiger ist, möchte man das alles auf der landesweiten Infrastruktur haben. Da laufen nicht nur die Postfächer der Schulen drüber, wobei mich dann die Empfangsprobleme verwundern. Und natürlich die Sache mit den Daten usw. ...

  • 2FA ist doch heutzutage (meistens) super Anwenderfreundlich gelöst. Einloggen, auf dem Hand poppt ein Fenster auf, einmal auf "Genehmigen" drücken und fertig. Ich sehe da kein Problem. Ansonsten gibt man jedem einen FIDO2 Key. Technisch ist das Passwortproblem schon gelöst. Nur haben sich viele Nutzer auf dieses Katastrophe (aus Anwenderfreundlichkeitssicht) gewöhnt und wollen den schmarrn nicht mehr hergeben.

    Alle Passwörter sind im Passwortmanager gespeichert, und als zweiter Faktor Handy oder Hardwarekey. Viel einfacher zu Handhaben als sich zig Passwörter zu merken und dabei noch um Welten sicherer.

    Aber wenn mal ein Anbieter seine Nutzer dazu zwingt ist das Geschrei groß...

    Vielleicht wird das ab Januar besser, wenn auch bei Onlinekäufen 2FA vorgeschrieben ist. Dann wird das langsam "normal".. (nur dass die meisten Banken das mal wieder mit der Implementierung verhunzen).

  • 2FA ist doch heutzutage (meistens) super Anwenderfreundlich gelöst. Einloggen, auf dem Hand poppt ein Fenster auf, einmal auf "Genehmigen" drücken und fertig.

    ja so läuft das mit Banking Apps, bei allen anderen Sachen ist da meist ein TOTP Generator im Spiel,

    und da ists nicht so beqeuem;

    und ehrlich, will jemand wirklich f. jede 2FA eine eigene App haben;

    (Bank hat man meist nur eine - Girokonto)


    (nur dass die meisten Banken das mal wieder mit der Implementierung verhunzen).

    oder bereits weiter gedacht haben; Bezahlen mit Kreditkarte muss ich statt mit einer SMS (bisher) mit einem pushTAN

    authentifizieren;

  • meist ein TOTP Generator im Spiel,

    und da ists nicht so beqeuem;

    Reden wir über separate Hardware, die das Token generiert? Wenn ja, dann bin ich bei dir.


    Wenn wir aber über ein Token nach TOTP Standard reden, kann jeder gute Passwort-Manager (1Password z.B.) diese Tokens ebenfalls generieren. Auf einer vertrauenswürdigen Maschine verlängert sich der Loginvorgang damit nur um wenige Sekunden.

  • Reden wir über separate Hardware, die das Token generiert? Wenn ja, dann bin ich bei dir.

    nicht zwingend separate Hardware, auch z.B. Google Authenticator - HeizflossenApp (ich hab FreeOTP in Verwendung);

    was Du mit 1Password meinst, ist ja quasi auch nur das;

    sprich man muss die App (den 1Password z.B.) anwerfen, der liefert eine Zahl (der 2te Faktor) die man eintippen muss;

    und das finde ich weniger bequem als die Geschichte mit pushTAN der Banken;


    bei mir steuert meine Banking App

    - die App selbst über einen sicheren Kanal

    - die Desktop Variante im Browser (diese Variante fkt. auch auf Tablets und Phones, welche mit der App nicht kompatibel sind)

    - die Anmeldung des Kreditkarten-Portals

    - und Bezahlvorgänge mit Kreditkarte im Internet (momentan (noch) nicht Amazon und via paypal,

    welche aber jeweils selbst - zwar schwach aber immerhin - mit 2FA abgesichert sind)

    darum würd es mich interessieren, was da Steini mit 'verhunzen' wirklich meint ...

    ich finde das bequemer - und es ist sicherer als die SMS-Geschichten, nebenbei auch zuverlässiger - als es vorher mit SMS war;

  • Wenn der Geschäftsführer ganz spontan entscheidet, dass sich die Firma umbenennt...


    ... Handelsregister Eintrag ist schon entsprechend geändert, also gibts kein wirkliches zurück

    ... im Meeting (!!!) erstmal schnell geschaut ob die Domain noch vorhanden ist und registriert

    ... dem Geschäftsführer ist die Kinnlade runtergefallen als er von den Kosten alleine in der IT gehört hat

    ... nicht mal die PR Abteilung wusste davon

    ... Theoretisch seit Montag dürften wir nur noch mit dem neuen Namen auftreten, aber das ist komplett unmöglich


    Man kann doch nur noch mit dem Kopf schütteln, oder? Jede einzelne Email muss angepasst werden und ein Alias dazu. Jeder AD Eintrag muss angepasst werden. Man muss hoffen dass andere Applikationen vernünftig synchronisiert werden. Das Warenwirtschaftssystem spuckt natürlich alles noch mit dem alten Zeug aus. Es müssen neue Zertifikate besorgt werden und und und und und und und...


    Auch nicht-IT Sachen wie Druckblätter mit dem Firmenlogo und so weiter sind jetzt alle komplett nutzlos, theoretisch. Wir dürften, auch theoretisch, keine einzige Bestellung mehr durchführen solange nicht überall alles geändert ist. In der Praxis schüttelt einfach jeder mit dem Kopf und macht erstmal weiter wie bisher.


    Wenn die Führungsetage sich einfach NULL Gedanken macht, aber hauptsache den Namen ändern, weil die alte Bezeichnung... zu klein wirkt. Ich wünschte ich würde mir das ausdenken ^^

  • sprich man muss die App (den 1Password z.B.) anwerfen, der liefert eine Zahl (der 2te Faktor) die man eintippen muss;

    Wir reden aneinander vorbei.


    Workflow Computer: Ich gehe auf die Seite meiner Wahl, 1Password füllt automatisch Benutzername und Passwort aus. Danach erscheint der 2FA-Dialog. Auch diesen füllt 1Password automatisch aus, ich drücke einfach zwei Mal hintereinander die Enter-Taste. Verlangsamung durch 2FA: ca 2 Sekunden.


    Workflow Mobilgerät mit Gerätebindung: Ich öffne die App meiner Wahl, tippe ins Loginfeld, 1Password bietet mir die Logindaten an und füllt automatisch aus. Dank Gerätebindung musste ich nur beim ersten Login ein 2FA-Token hinterlegen. Verlangsamung durch 2FA: keine


    Workflow Mobilgerät ohne Gerätebindung: Ich öffne die App meiner Wahl, tippe ins Loginfeld, 1Password bietet mir die Logindaten an und füllt automatisch aus. Nach dem Autofill kopiert 1Password das 2FA-Token automatisch in die Zwischenablage. Ich füge das kopierte Token ins Eingabefeld der App ein. Verlangsamung durch 2FA: ca 5 Sekunden.



    Fazit: Es gibt so schöne Tools, die dir das Arbeiten vereinfachen. Man muss sie nur kennen und nutzen.

  • OMG! Ich hab schon wieder etwas zu erzählen!


    Wir haben seit 4 Wochen einen überaus nutzlosen Kollegen. Ich hab absolut keine Ahnung wie er es durch das Bewerbungsgespräch geschafft hat und so weiter, aber sagen wir mal so... er weiß nicht mal wie man das Windows Passwort ändert und hat gefühlt auch noch nie was von Google gehört. Auf seine Kenntnisse will ich jetzt auch nicht weiter rumreiten, das klärt sich eh bald.


    Aber. Er verbringt den ganzen Tag auf irgendwelchen privaten Seiten, was mein Vorgesetzter bemerkt hat, da er auch nie seinen Rechner sperrt. Daraufhin wurde er Firewall technisch auch so ein bisschen überwacht, was er für Domains aufruft und der Traffic dorthin. Bisschen Magazine lesen und so weiter ist ja in Ordnung (ich schreibe ja auch gerade hier...), aber wenn man wirklich gar nichts macht, dann ist das echt nicht cool.


    Heute habe ich auch mal aus Neugierde geschaut, was er so für Domains aufruft... nichts. Nur wenige Kilobyte an automatischen Abfragen Gedöns. Trotzdem sitzt er seit fast 4h nur herum. Also habe ich weiter geschaut und gesehen, dass sein gesamter Traffic über Port 9001 geht... schnell gegooglet: Tor. Ahja! So ist das also, bekommt überhaupt nichts hin, aber schickt seinen Traffic über einen Tor Tunnel. Hab mich etwas gewundert wieso der Port überhaupt erreichbar ist, aber ich hatte versehentlich vor einer Weile eine any rule in der Firewall vergessen (Schande über mich!).


    Dann auch einfach mal geschaut zu welcher IP alles geht: 46.232.250.x

    Hallo Netcup! Vielleicht fühlt sich ein Mitleser gerade angesprochen ^^ Mein Kollege hat jedenfalls deinen Tor Endpunkt (Relay?) sehr genossen.


    Kaum habe ich die Regel entfernt: hektisches klicken auf der anderen Seite der Tischgruppe. Sogar die Sitzhaltung ändert sich. Die Firewall schmeißt plötzlich jede Menge Blocks von seiner IP. Schon irgendwie lustig...


    EDIT: Übrigens scheint die IP gar nicht im gewohnten Rechenzentrum zu sein, habe von meiner Netcup Maschine aus dorthin einen 25ms Ping. Die Seite ipinfo.io spuckt auch folgendes aus:

    Code
    1. city: "Hohenbrunn"
    2. region: "Bavaria"
  • Valkyrie Wie groß ist deine Firma? Habt ihr den Nutzer vor Beginn seiner Tätigkeit darauf hingewiesen, dass die private Internetnutzung verboten ist? Sollte dieser Hinweis nicht erfolgt sein, ist meines Wissens nach die Überwachung seines Traffics gesetzlich nicht erlaubt.


    Abgesehen davon: Ich denke solche Kollegen gibt es in jeder größeren Firma. Die meisten verstecken sich nur besser. Damals hatten wir auch einen, bei dem war es in der gesamten Abteilung ein offenes Geheimnis, dass man ihm besser keine Aufgaben gibt, die zeitnah erledigt werden müssen. Und wenn du einen Auftraggeber nicht mochtest, hast du ihn an ebendiesen Kollegen verwiesen :D


    Edit:

    Tor. Ahja! So ist das also, bekommt überhaupt nichts hin, aber schickt seinen Traffic über einen Tor Tunnel. Hab mich etwas gewundert wieso der Port überhaupt erreichbar ist, aber ich hatte versehentlich vor einer Weile eine any rule in der Firewall vergessen (Schande über mich!).

    Ich als technisch versierte Person würde mir einen eigenen Entry Node aufsetzen, der als Port etwas unverfänglicheres nutzt - Port 80 / 443 / 8080.

  • Dann auch einfach mal geschaut zu welcher IP alles geht: 46.232.250.x

    Hallo Netcup! Vielleicht fühlt sich ein Mitleser gerade angesprochen

    Die IP brauchst du nicht zu zensieren, wer mehr Details will bekommst diese immer ^^

    Wer interessiert ist, bekommt hier noch viel mehr Nodes bei netcup gelistet.

    Übrigens scheint die IP gar nicht im gewohnten Rechenzentrum zu sein, habe von meiner Netcup Maschine aus dorthin einen 25ms Ping. Die Seite ipinfo.io

    Ich würde externen Seiten/GeoIP Datenbanken nicht direkt vertrauen, sie geben einen kleinen Hinweis. Aus meiner Sicht ist die Maschine im selben "Park" wie alle anderen. Zumindest kann ich keinen Unterschied in der Latenz bei mir feststellen

  • Valkyrie Wie groß ist deine Firma? Habt ihr den Nutzer vor Beginn seiner Tätigkeit darauf hingewiesen, dass die private Internetnutzung verboten ist? Sollte dieser Hinweis nicht erfolgt sein, ist meines Wissens nach die Überwachung seines Traffics gesetzlich nicht erlaubt.

    Schon etwas größer mit einigen Niederlassungen, aber nichts riesiges. Die private Nutzung ist strikt im Arbeitsvertrag untersagt und wir sind auch ganz froh darüber, da es oft die Arbeit erleichtert :) Natürlich sitzen wir aber auch nicht ganze Zeit vor der Firewall und glotzen was die Leute so machen, wir finden das ja ganz normal, dass man auch mal Leuten schreibt oder sich über etwas informiert. Sonst würde die Arbeitsmoral ja völlig in den Keller gehen ^^


    Ich als technisch versierte Person

    Damit bist du sehr vielen Leuten schon voraus :)

  • Die IP brauchst du nicht zu zensieren, wer mehr Details will bekommst diese immer ^^

    Will nur sicher gehen, dass das niemand als Hexenjagd ansieht ^^ Heutzutage weiß man ja nie...



    Aus meiner Sicht ist die Maschine im selben "Park" wie alle anderen. Zumindest kann ich keinen Unterschied in der Latenz bei mir feststellen

    Ahh ok. Es sah einfach recht passend aus, aber hab es gerade nochmal getestet und ich habe zu der Maschine einen Ping zwischen 10-60ms, also wohl eher die Auslastung dort...? Bisschen schade, dachte schon da bahnt sich ein anderer Standort an :P

  • Sagt mal nutzt hier wer zufällig Confluence (Atlassian)?


    Ich bekomme echt zuviel, ich weiß nicht ob es am letzten Update liegt, aber wenn ich dort mit Localtab Group und darin mit Localtabs arbeite, ... dann springt der jedes Mal beim draufklicken zurück zum Seitenanfang. Es wird nicht mal die Seite reloaded, ... es wird einfach nach oben gescrollt. Dann kann man runter scrollen und der entsprechende Tab ist geöffnet, .. aber wie gesagt er scrollt immer nach oben.


    Wer eine Idee woran das liegen könnte? Sehr nervig und def. Kategorie pain in the ass^^

  • Fazit: Es gibt so schöne Tools, die dir das Arbeiten vereinfachen. Man muss sie nur kennen und nutzen.

    und dabei verstehen, dass sie eigentlich am Sinn des 2ten Faktors vorbei sind;;)

    sprich damit eigentlich nutzlos/wertlos sind;:P

    weil der Generator bei deinen geschilderten Workflows ja die selbe¹ Identität ist wie dort wo man den Code braucht ...

    ¹ ein 2ter Faktor ist eine von der Verwendung verschiedene Entität;

  • und dabei verstehen, dass sie eigentlich am Sinn des 2ten Faktors vorbei sind;

    Damit habe ich mich vor dem Einsatz von 1Password beschäftigt, bin allerdings zu einem anderen Schluss gekommen.


    Klar, ich weiche das Konzept des zweiten Faktors etwas auf, wenn man es streng betrachtet. Allerdings ist das grundlegende Konzept "Wissen plus Besitz" weiterhin gegeben. Nur dass sich mein Wissen eben auf dem gleichen Gerät befindet, welches auch mein Besitz ist. Wenn mein Passwort kompromittiert wird, ist mein Account weiterhin durch den zweiten Faktor geschützt, weil mein Tresor mit dem Faktor ja nur auf meinem Gerät vorhanden ist. Ein Hacker kann sich weiterhin nicht im meinem Konto anmelden, ohne Zugriff auf mein Endgerät zu haben.


    1Password geht bei diesem Thema auch offiziell sehr pragmatisch vor, indem sie sagen: Wenn du Angst vor der Kompromittierung deines Gerätes (also des gesamten Tresors inklusive aller Passwörter und Tokens) hast, dann gibt es dafür keine gute Lösung. Ich muss auf die Integrität des Gerätes, auf welchem ich meinen Tresor lagere, vertrauen. Daher öffne deinen Tresor auch nie auf geteilten oder fremden Endgeräten.