EF Transaktionen!

Interessiert es eigentlich niemanden, dass die EF-Kennwörter im Klartext durch das Internet fliegen? Für potentielle Losediebe ist es ein Leichtes dies mitzulesen und dann die Konten abzufischen.

Anstatt die Speicherzeit für die Transaktionen hochzunehmen, sollte man sich eher um die Absicherung der Schnittstelle bemühen...

Gruß
 
TerraTux schrieb:
Für potentielle Losediebe ist es ein Leichtes dies mitzulesen und dann die Konten abzufischen.
Zum Vergrößern anklicken....
Wie willst Du denn den Datenverkehr zwischen einem Lose-Server und den klamm-Servern als Client so ohne Weiteres "mitlesen"? :roll:

Edit: Und egal was Du durchs Netz schickst - sei es von mir aus ein Hash statt dem PW -, dann kannst Du diesen auch benutzen um "alles" mit dem EF zu machen.
 
klamm schrieb:
Wie willst Du denn den Datenverkehr zwischen einem Lose-Server und den klamm-Servern als Client so ohne Weiteres "mitlesen"? :roll:
Zum Vergrößern anklicken....
Hast du noch nie die Lose-Kiddies dabei beobachtet, wie sie die DSL-Verteiler in Frankfurt und anderen Städten mit großen Rechenzentren anzapfen, mit großen schwarzen Vans, kilometerlangen Kabeln und Notebooks bewaffnet, nur darauf warten, bis ein Paket an eine Lose-Seite vorbeikommt und dann das EF-Passwort stehlen? :roll: :LOL: :LOL:
 
DelphiKing schrieb:
Naja, nachdem du die Erläuterung oder Begründung, wie man kinderleicht die EF-Daten abfangen kann, auch in diesem Post vergessen hast, kann man solche Fälle wohl wirklich per se ausschließen ...
Zum Vergrößern anklicken....

Nö! Ich revidier meine Aussage...

-> ARP-Spoofing - is im Internet nicht
-> DNS-Spoofing - nicht auszuschließen aber zu vernachlässigen
-> Sniffer auf Backbones - schon vorgekommen, aber damit von dort Gefahr ausgeht muss man es schon gezielt auf Klamm abgesehen haben. Ich bin auch nicht von Script-Kiddies ausgegangen...

Wahrscheinlicher sind dann wohl eher Fehler in der jeweiligen Seitensoftware und geknackte Webserver wodurch ohnehin jegliche Verschlüsselung oder Absicherung der Schnittstelle hinfällig wird.

Is ja jut, ich seh's ja ein. Nur mal ehrlich, wieso sollte dann auf die Verwendung reiner FTP-Zugänge (w/o TLS) verzichtet werden, wenn es man ja doch nicht in die Verbindung reinhören kann?

Trotzdem kein Grund, jemanden der seinen Beitrag bringen möchte gleich als "Wichtigtuer" hinzustellen...

Gruß
 
Zuletzt bearbeitet:
Nur mal ehrlich, wieso sollte dann auf die Verwendung reiner FTP-Zugänge (w/o TLS) verzichtet werden, wenn es man ja doch nicht in die Verbindung reinhören kann?
Zum Vergrößern anklicken....
Weil du in den meisten Fällen die Verbindung von einem Privat- oder Firmenanschluss aus herstellst und nicht direkt von Server zu Server.

Da gibts dann natürlich noch jede Menge weiterer Möglichkeiten, die Verbindungsdaten mitzusniffen.
 
MuellerLukas schrieb:
Weil du in den meisten Fällen die Verbindung von einem Privat- oder Firmenanschluss aus herstellst und nicht direkt von Server zu Server.

Da gibts dann natürlich noch jede Menge weiterer Möglichkeiten, die Verbindungsdaten mitzusniffen.
Zum Vergrößern anklicken....

Stimmt ja auch wieder...

...ich sollt mich einfach von Foren fernhalten wenn ich zu viel um die Ohren habe...entschuldigt also meinen Fehltritt, wird nicht wieder vorkommen :p

und nun, Back to Topic, wenn es nicht schon gegessen ist.

Gruß
 
NP.
Und gegen das "nutz doch https://"-Argument kommst Du eh nicht an. ;)
Da is ja dann so oder so nix mit sniffen.
 
Kleine Frage am Rande: Gibt es irgendwo einen Überblick, was für Funktionen ExportForce alles unterstützt? Die Aussage auf ef.klamm.de ("Lose-Transaktionen lassen sich automatisiert per Script durchführen, Kontostände und Statistiken ebenso bequem abrufen.") ist doch ein wenig knapp...
 
Leg dir einfach einen Account an (kostenlos). Einloggen, dort siehst du die komplette API.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben