Sicherheitsloch bei t-online?

[greim]

Hallo,

eure Meinung zu folgendem Effekt:

User A meldet sich als t-online Kunde (DSL) zum
Web-Mail Dienst an. Er braucht dazu seinen t-online Zugangscode.
Dann kann er ein Password wählen, und bekommt eine e-mail Adresse.
Funktioniert so weit so gut.

User B besucht User A und meldet sich mit seinem Password am PC von User
A
an um seine Mails (die von B) zu lesen. Dazu verwendet er sein Password
(PW von B)
was er aber am Bildschirm bekommt sind die Mails von A !!!!!!
Seine eigenen Mails (die von B) kann er am PC von A nicht abrufen und
nicht lesen !

Interpretationsversuch. Die Software von t-online richtet sich nur
nach dem Zugangscode den es sich vom DSL Modem holt, nimmt dann aber ein
beliebiges gültiges Password...oder so..

Kann das jemand mal nachvollziehen? .. bei mir hier geht das so.
Wenn das allgemein so wöre wärs ein dicker Klopfer.


ich weiß ich bin etwas OT aber, das ist die einzige Newsgroup in die ich
einigermaßen
regelm. reinschaue.

Grüße
Markus Greim

 

[Jens Heinemann]

greim schrieb:

Interpretationsversuch. Die Software von t-online richtet sich nur
nach dem Zugangscode den es sich vom DSL Modem holt, nimmt dann aber ein
beliebiges gültiges Password...oder so..

Ich verstehe zwar nicht genau was Du willst, ich kann nur sagen, dass
man über POP3/SMTP immer die Mails von dem User bekommt/verschickt, über
dessen T-Online-Account man im Netz hängt, Benutzername und Passwort
werden dabei nicht geprüft.

ich weiß ich bin etwas OT aber, das ist die einzige Newsgroup in die ich
einigermaßen
regelm. reinschaue.

Na das is aber ein Grund...

 

[Thomas Rehm]

greim wrote:

ich weiß ich bin etwas OT aber, das ist die einzige Newsgroup in die
ich einigermaßen regelm. reinschaue.

Poste die Frage doch einfach mal in Deinen Kühlschrank, dort schaust
Du doch auch regelmäßig rein.

Oder?!

verwunderte Grüße,
Thomas.

 

[Lars Mueller]

Thomas Rehm wrote:

greim wrote:
ich weiß ich bin etwas OT aber, das ist die einzige Newsgroup in die
ich einigermaßen regelm. reinschaue.

Poste die Frage doch einfach mal in Deinen Kühlschrank, dort schaust
Du doch auch regelmäßig rein.

Oder?!

Ich unterstütze den Vorschlag!

 

[Andreas Tönne]

greim wrote:

Interpretationsversuch. Die Software von t-online richtet sich nur
nach dem Zugangscode den es sich vom DSL Modem holt, nimmt dann aber
ein beliebiges gültiges Password...oder so..

Kann das jemand mal nachvollziehen? .. bei mir hier geht das so.
Wenn das allgemein so wöre wärs ein dicker Klopfer.

Kein Klopfer. Das ist so irgendwo dokumentiert. Beim DSL-Setup muss man als
Mail-Passwort nur einen Punkt angeben. Die Identifikation erfolgt über die
T-Online Kennung sowie die Mitbenutzer-Nummer.

Kurz: man kann von einem DSL-Account nur die Mails für den Account abholen.
Wenn das nicht passt, besorgt man sich einen separaten Mail-Account bei den
üblichen Verdächtigen.

Andreas
--
Andreas Tönne @ home
mailto:atoenne@t-online.de * http://www.atoenne.de
phone x49 231 52 97 00 * mobile 0179 5457 222
==
Dipl.Inform. Andreas Tönne * Prokuristv * Georg Heeg eK * Informatikleitung
mailto:atoenne@heeg.de * http://www.heeg.de
phone x49 231 9 75 99 0/36 * fax x49 231 9 75 99 20

 

[Bernd Laengerich]

Andreas Tönne wrote:

Kein Klopfer. Das ist so irgendwo dokumentiert. Beim DSL-Setup muss man
als Mail-Passwort nur einen Punkt angeben. Die Identifikation erfolgt über
die T-Online Kennung sowie die Mitbenutzer-Nummer.

Das stimmt so nicht sondern nur für den Zugriff auf das Postfach per POP3.
Bei Webmail muß durchaus das (richtige) Passwort angegeben werden.

Bernd

 

[Bernd Laengerich]

greim wrote:

User A meldet sich als t-online Kunde (DSL) zum

DSL ist unerheblich.

Web-Mail Dienst an. Er braucht dazu seinen t-online Zugangscode.

Ja.

Dann kann er ein Password wählen, und bekommt eine e-mail Adresse.

Nein, er bekommt einen Web-Zugang auf sein e-Mail-Postfach. Das Postfach
existiert immer.

Funktioniert so weit so gut.

Ja.

User B besucht User A und meldet sich mit seinem Password am PC von User
A

Die Anmeldung am PC hat nichts mit dem T-Online-Zugang oder dem Webzugang
auf das Postfach zu tun, oder meinst Du das nicht?

an um seine Mails (die von B) zu lesen. Dazu verwendet er sein Password
(PW von B)
was er aber am Bildschirm bekommt sind die Mails von A !!!!!!

Nein. Oben steht erst einmal "Webmail", das hat nichts mit dem
T-Online-Zugang zu tun sondern kann auch über "wildfremde" Provider
abgefragt werden. Der Zugang ist mit einem eigenen Passwort, unabhängig von
den T-Online-Zugangsdaten.
Das _sollte_ also vollkommen unabhängig vom Zugang abgefragt werden können.

Seine eigenen Mails (die von B) kann er am PC von A nicht abrufen und
nicht lesen !

Doch. Er öffnet den Browser, gibt als URL ein http://webmail.t-online.de/,
gibt dann seine E-Mail-Adresse und sein Webmail-Passwort ein und liest
seine Mails.

Von fremden Providern geht das problemlos, vom eigenen Account auch, aber
mangels eines anderen Webmail-Faches bei T-Online kann ich die Frage nicht
zweifelsfrei beantworten. Es könnte latürnich sein, daß bei Nutzung eines
T-Online-Zuganges auch nur Webmail des eigenen Postfaches geht (wäre
ziemlich dämlich und vor allem unnötig kompliziert)

Interpretationsversuch. Die Software von t-online richtet sich nur

Die Software von T-Online hat mit Webmail rein gar nichts zu tun. Die
T-Online-Software nutzt den POP3, und da kann bekanntermaßen nur das eigene
Postfach gelesen werden.

ich weiß ich bin etwas OT aber, das ist die einzige Newsgroup in die ich
einigermaßen
regelm. reinschaue.

Sehr sinnvoll. Ich wollte die Antwort zunächst nach dag senden, weil ich
dort regelmäßig schreibe ...

Bernd

 

[Holger Bruns]

On Thu, 13 Nov 2003 21:13:42 +0100, greim <greim@schleibinger.com>
wrote:

Interpretationsversuch. Die Software von t-online richtet sich nur
nach dem Zugangscode den es sich vom DSL Modem holt, nimmt dann aber ein
beliebiges g=FCltiges Password...oder so..

Nein. Er meldet sich mit seinen Zugangsdaten bei T-Online an und ist von
daher dem System bekannt. Weitere Fragen beantwortet Ihnen gerne die
Hotline unter 01805 345 345, und mal abgesehen davon: Ich habe mit
T-Online keine Probleme.

ich wei=DF ich bin etwas OT aber, das ist die einzige Newsgroup in die ic=
h
einigerma=DFen
regelm. reinschaue.

Das ist kein Grund, dermaßen off-topic zu posten. Ich habe zur Zeit auch
nur de.rec.tiere.katzen und de.sci.electronics unter den "subscribed
newsgroups" im Abo. Vielleicht lege ich beide Gruppen zusammen und mache
daraus de.all?

Holger

 

[greim]

Danke !
Markus Greim
------------------------------------------


Thomas Rehm wrote:

greim wrote:
ich weiß ich bin etwas OT aber, das ist die einzige Newsgroup in die
ich einigermaßen regelm. reinschaue.

Poste die Frage doch einfach mal in Deinen Kühlschrank, dort schaust
Du doch auch regelmäßig rein.

Oder?!

verwunderte Grüße,
Thomas.

 

[greim]

Wieder was dazugelernt, werde meinem Kühlschrank davon erzählen ;-)

Grüße

Markus Greim

 

[Marc Fehrenbacher]

Holger Bruns schrieb:

Das ist kein Grund, dermaßen off-topic zu posten. Ich habe zur Zeit auch
nur de.rec.tiere.katzen und de.sci.electronics unter den "subscribed
newsgroups" im Abo. Vielleicht lege ich beide Gruppen zusammen und mache
daraus de.all?

Nein. Mach doch einfach de.bruns.holger daraus. Ich wette, dass der
Traffic gigantisch wird.

Marc
--
Serien, bei denen ich mich aufrege, gibts genug, z.B.
Verbotene Liebe oder Marienhof.
Tagesschau ist irgendwie anders, das ist
Aufregen auf hohem Niveau. (Manfred Dösl)

 

[Gerd Kluger]

greim <greim@schleibinger.com> schrieb:

ich weiß ich bin etwas OT aber, das ist die einzige Newsgroup in die ich
einigermaßen
regelm. reinschaue.

Darf ich das als Zitat in meine Sig nehmen?

Gruß
Gerd

 

[greim]

Gerd Kluger wrote:

greim <greim@schleibinger.com> schrieb:

ich weiß ich bin etwas OT aber, das ist die einzige Newsgroup in die ich
einigermaßen
regelm. reinschaue.

Darf ich das als Zitat in meine Sig nehmen?

Gruß
Gerd
Selbstverständlich !

...oh ich werde von nun an eine Spur im Cyberspace hinterlassen..
..die wird bleiben auch wenn ich einmal nicht mehr posten kann...
das muss ich meinem Kühlschrank (Siemens!) erzählen..

 

[Gunther Mannigel]

greim <greim@schleibinger.com> wrote in
news:3FB3E5F6.DB159EF9@schleibinger.com:

Interpretationsversuch. Die Software von t-online richtet sich nur
nach dem Zugangscode den es sich vom DSL Modem holt, nimmt dann aber ein
beliebiges gültiges Password...oder so..

Exakt. Du scheinst die Nachrichten mittels POP3-Protokoll abgerufen zu
haben. Die Nutzernummer ist egal und das Passwort ist immer ein Punkt '.',
wenn ich mich richtig erinnere. Steht aber auch alles im Supportbereich von
T-Online.

Gruß
Gunther

 

[Hartmut Feller]

"Gunther Mannigel" <newsgroups@mannigel.net> schrieb im Newsbeitrag
news:Xns9433C0A089B88GuntherMannigel@130.133.1.4...

Interpretationsversuch. Die Software von t-online richtet sich nur
nach dem Zugangscode den es sich vom DSL Modem holt, nimmt dann aber ein
beliebiges gültiges Password...oder so..

Exakt. Du scheinst die Nachrichten mittels POP3-Protokoll abgerufen zu
haben. Die Nutzernummer ist egal und das Passwort ist immer ein Punkt '.',
wenn ich mich richtig erinnere. Steht aber auch alles im Supportbereich
von
T-Online.

Hallo!
t-online POP3 ist ein anmelde- und gebührenpflichtiger Dienst welcher zur
Anmeldung die EMail-Adresse und das individuelle Paßwort erfordert. Nix "."
)
Gruß von Hartmut

 

[Jens Heinemann]

t-online POP3 ist ein anmelde- und gebührenpflichtiger Dienst welcher zur
Anmeldung die EMail-Adresse und das individuelle Paßwort erfordert. Nix "."
)
Gruß von Hartmut

Jein. POP3 über den zugehörigen T-Online-Account ist natürlich
kostenlos, mit dem kostenpflichtigen POP-Postfach könnte B allerdings
auch am Rechner von A oder sonstwo seine Mails mit seinem Passwort via
POP3 abrufen. Normale Nutzer können dies halt nur über webmail.

Gruß
Jens

 

[Ulrich Prinz]

Bernd Laengerich wrote:

greim wrote:


User A meldet sich als t-online Kunde (DSL) zum

Nur mal grundsätzlich:

Wenn der User B sein DSL-Modem mitgebracht hätte, wäre er trotzdem nur
an die Mails von Nutzer A gekommen. Das Modem sendet keine für das Login
relevanten Codes an den RAS-Server. Das Login setzt sich ausschließlich
aus den Benutzerinformationen, also T-Online-Kennung, Mitbenutzer und
Passwort zusammen.

DSL ist unerheblich.
Richtig, weil es auch über Modem oder ISDN so ist, dass der T-Online

DialIn Server diese Information mit Prio 1 verwertet. Alle verfügbaren
und ggf. extra bezahlten Dienste der T-Online werden von dieser
Zugangskennung abhängig gemacht.

Web-Mail Dienst an. Er braucht dazu seinen t-online Zugangscode.
Ja.
Dann kann er ein Password wählen, und bekommt eine e-mail Adresse.
Nein, er bekommt einen Web-Zugang auf sein e-Mail-Postfach. Das Postfach
existiert immer.

Richtig, es ist das gleiche Postfach, dass auch über POP3 erreichbar
ist. Dieses WEB-Mail verlangt aber ein eigenes Passwort, was nicht mit
dem des Analog/ISDN/DSL-Zugangs übereinstimmen muss und nach meinem
Dafürhalten auch nicht sollte.

Funktioniert so weit so gut.
Ja.
User B besucht User A und meldet sich mit seinem Password am PC von User
A
Die Anmeldung am PC hat nichts mit dem T-Online-Zugang oder dem Webzugang
auf das Postfach zu tun, oder meinst Du das nicht?


an um seine Mails (die von B) zu lesen. Dazu verwendet er sein Password
(PW von B)
was er aber am Bildschirm bekommt sind die Mails von A !!!!!!

Das ist zunächsteinmal richtig. In der normalen kostenfreien Version
kann man nur sein WEB-Mail von seinem T-Online Account abfragen. Alles
andere kostet extra.

Nein. Oben steht erst einmal "Webmail", das hat nichts mit dem
T-Online-Zugang zu tun sondern kann auch über "wildfremde" Provider
abgefragt werden. Der Zugang ist mit einem eigenen Passwort, unabhängig von
den T-Online-Zugangsdaten.
Das _sollte_ also vollkommen unabhängig vom Zugang abgefragt werden können.

Das Passwort für WEBmail ist separat zum Login-PW des Zugangs. Es ist
aber in der kostenlosen Version des WEB-Mail ebenso mit der
Zugangsnummer und zugehörigem Account veknüpft wie alle anderen von der
T-Online zusammengeschrumpften Mail und News Features. Nicht um sonst
zahle ich jeden Monat noch einmal 2.50¤ für den Mail-Relayzugang, damit
ich auch von zu Hause aus über meinen eigenen eMail-Server unter meiner
Firmen-email Addi posten kann. Das baut der T-Online-server nämlich
sonst immer in meine T-Online Addi um.
Und weil der mich monatelang gezwungen hat diese Addi zu verwenden habe
ich diese Adresse eben ausschließlich zum Spam-Sammeln.

Seine eigenen Mails (die von B) kann er am PC von A nicht abrufen und
nicht lesen !

Doch. Er öffnet den Browser, gibt als URL ein http://webmail.t-online.de/,
gibt dann seine E-Mail-Adresse und sein Webmail-Passwort ein und liest
seine Mails.

Das weiß ich jetzt nicht genau. Es _kann_ sein, dass das mit dem
kostenlosen WEB-Mail geht, muss aber nicht. Spätestens, wenn der User B
aber mal über einen anderen Provider reinkommt, wird ihn die T-Online
freundlich darauf hinweisen, dass er bitte das ProMail Paket oder wie
auch immer es heißt, buchen möchte, damit er das kann.

Von fremden Providern geht das problemlos, vom eigenen Account auch, aber
mangels eines anderen Webmail-Faches bei T-Online kann ich die Frage nicht
zweifelsfrei beantworten. Es könnte latürnich sein, daß bei Nutzung eines
T-Online-Zuganges auch nur Webmail des eigenen Postfaches geht (wäre
ziemlich dämlich und vor allem unnötig kompliziert)


Interpretationsversuch. Die Software von t-online richtet sich nur


Die Software von T-Online hat mit Webmail rein gar nichts zu tun. Die
T-Online-Software nutzt den POP3, und da kann bekanntermaßen nur das eigene
Postfach gelesen werden.

Das stimmt. Die T-Online-Software kann man dür soetwas überhaupt nicht

einsetzen. Sie hat eh keine Daseinsberechtigung außer das Zerstören
gerade so funktionsfähiger gängiger und anfälliger Betriebssysteme.
(Sorry ist mir so rausgerutscht)

ich weiß ich bin etwas OT aber, das ist die einzige Newsgroup in die ich
einigermaßen
regelm. reinschaue.

Nett, dass Du das einsiehst und das sollte Dich dazu veranlassen mal die
ein oder andere Newsgroup zu buchen. Es gibt noch mehr da draußen und
auch was passendes für diese Feststellung....
t-online....

Und wenn Du dann noch Deinen Realnamen in deinen Newsreader einstellst,
dann wäre auch der zweite kleine Patzer behoben.

Gruß,

Ulrich

 

[Bernd Laengerich]

Ulrich Prinz wrote:

Nur mal grundsätzlich:
Wenn der User B sein DSL-Modem mitgebracht hätte, wäre er trotzdem nur
an die Mails von Nutzer A gekommen. Das Modem sendet keine für das Login
relevanten Codes an den RAS-Server. Das Login setzt sich ausschließlich
aus den Benutzerinformationen, also T-Online-Kennung, Mitbenutzer und
Passwort zusammen.

Habe ich nie behauptet.

Das ist zunächsteinmal richtig. In der normalen kostenfreien Version
kann man nur sein WEB-Mail von seinem T-Online Account abfragen. Alles
andere kostet extra.

Öhm, nein. Jeder Nutzer kann mit _seinem_ Webmailzugang _sein_ Postfach
abfragen.

Das Passwort für WEBmail ist separat zum Login-PW des Zugangs. Es ist
aber in der kostenlosen Version des WEB-Mail ebenso mit der
Zugangsnummer und zugehörigem Account veknüpft wie alle anderen von der

Das eine hat mit dem anderen nur indirekt zu tun. Zugangsnr. ist nur für
den Zugang über t-online da, die ist an den Vertrag mit T-Online
gekoppelt, der u.a. die Bereitstellung des Postfaches regelt.
Webmail-Zugang regelt nur den Zugang zu diesem Postfach.

zahle ich jeden Monat noch einmal 2.50¤ für den Mail-Relayzugang, damit

smtp-relay ist etwas völlig anderes, diese Leistung regelt das Versenden
von E-Mails anderer Domains über T-Online. Das hat rein gar nichts mit
dem Postfach zu tun, es gilt nur für ausgehende E-Mails.

ich auch von zu Hause aus über meinen eigenen eMail-Server unter meiner
Firmen-email Addi posten kann. Das baut der T-Online-server nämlich
sonst immer in meine T-Online Addi um.

Die Diskussion darüber ist so alt wie T-Online, den smtp-relay hat
T-Online versuchsweise eingesetzt als es regelmäßig Protest über dieses
Vorgehen hagelte 8es ist auch nicht durch die RFCs abgedeckt).

Das weiß ich jetzt nicht genau. Es _kann_ sein, dass das mit dem

Es geht. Ich mache es so.

kostenlosen WEB-Mail geht, muss aber nicht. Spätestens, wenn der User B
aber mal über einen anderen Provider reinkommt, wird ihn die T-Online
freundlich darauf hinweisen, dass er bitte das ProMail Paket oder wie
auch immer es heißt, buchen möchte, damit er das kann.

Nein.

(Sorry ist mir so rausgerutscht)

100% ACK

Nett, dass Du das einsiehst und das sollte Dich dazu veranlassen mal die
ein oder andere Newsgroup zu buchen. Es gibt noch mehr da draußen und
auch was passendes für diese Feststellung....
t-online....

Und wenn Du dann noch Deinen Realnamen in deinen Newsreader einstellst,
dann wäre auch der zweite kleine Patzer behoben.

Das gilt ebenfalls nicht für mich.

Bernd