Die Karte muss das Passwort nichtmal kennen dass IHR die Parkuhr schickt, aber die Karte soll brav ja sagen?
Ja samma wie bescheuert gehts denn noch?
Also essentieller Fehler gemacht beim Hersteller:
ALLES.
Keine Signatur.
Kommunikation falsch herum (Die Uhr sollte prüfen ob die Karte legitim ist und nicht die Karte ob die Uhr ein Passwort verschickt von dem sie ja eh nichts weiss).
Und das Ding nichtmal ansatzweise abgeschirmt, so dass einer mit nem Batteriebetriebenen Oszi mal eben auf der Straße die Funktionsweise des ganzen Apparillos auslesen kann?
Ich würde sagen hier hat entweder mal wieder die öffentliche Hand nen kollosalen Bock geschossen (wäre ja nicht das erste Mal), oder es kommen mal 25.000 Schadensersatzforderungen auf den Hersteller zu.
Fast richtig.
Eigentlich sollte sich beide Geräte gegenüber des Anderen authentifizieren müssen und die Kommunikation ausschliesslich verschlüsselt stattfinden. Ausserdem sollten Prüfungen stattfinden ob z.B. auf einer Guthabenkarte mehr Guthaben verfügbar ist, als maximal sein kann.
BlarM schrieb:
-------------------------------------------------------
> Fast richtig.
>
> Eigentlich sollte sich beide Geräte gegenüber des
> Anderen authentifizieren müssen und die
> Kommunikation ausschliesslich verschlüsselt
> stattfinden. Ausserdem sollten Prüfungen
> stattfinden ob z.B. auf einer Guthabenkarte mehr
> Guthaben verfügbar ist, als maximal sein kann.
Korrekt. Aber ich denke mal, dass es hier einfach um die Kostenfrage ging. Den Aufbau einer PKI für was weiß ich wieviel Parkuhren samt der zum Anschluss nötigen Verkabelung und der zusätzlichen bzw. teureren Hardware in den Parkuhren und den Karten selbst hätte das Projekt wohl teurer gemacht als vorgesehen (was es wahrscheinlich sowieso war). Und da denken sich halt Politiker "lieber billig und gepfuscht als teuer und richtig gemacht" (im Zweifelsfall kann ja eh nochmal aus dem Steuertopf nachgeschöpft werden).
Nur Schade, dass solche Projekte nicht vorher anhand von Prototypen und Feldversuchen von richtigen Experten (also keine Gutachter die vom Hersteller gestellt werden oder irgendwelche EDV-Fuzzies von der Stadt) auf genau solche Schwachstellen getestet werden (dürfen?). Man weiß doch genau wie die Sache da jetzt ausgeht. Entweder die Dinger bleiben so stehen wie sie sind weil eine Nach-/Umrüstung zu teuer kommt (und die Stadt den Schaden durch einfaches und potenziell massenhaftes Benutzen gefälschter Karten hat), oder sie werden für nochmal Unsummen tatsächlich nachgerüstet.
Mit etwas Nachdenken wäre sowohl dem Hersteller als auch der Stadt diese Blamage erspart geblieben.
Ra-Tiel schrieb:
> Korrekt. Aber ich denke mal, dass es hier einfach
> um die Kostenfrage ging.
Ja, *jetzt* ist es in der Tat eine Frage wie sie die Kosten noch tragen können. Gewissermassen auch eine Art von Kostenfrage.
HAHAHAHAHAA
OWND!!!+++elfelfe
Kommentare: 170 | letzter Beitrag 15:54 Uhr
Kommentare: 94 | letzter Beitrag 26.05. 19:45
Kommentare: 70 | letzter Beitrag 18:13 Uhr
Kommentare: 69 | letzter Beitrag 17:31 Uhr
Kommentare: 57 | letzter Beitrag 17:52 Uhr
E-Mail an news@golem.de
Nach der Urteilsverkündung im Rechtsstreit zwischen Youtube und Gema fühlten sich beide Seiten als Gewinner. In Wahrheit gibt es aber nur einen Verlierer, bloggt Medienrechtsexperte Thomas Hoeren: die Gema.
Ein soziales Netzwerk für Pornografie muss seine Marke nicht an Facebook übergeben. Faceporn, ein norwegisches Unternehmen, freut sich über den Sieg vor einem kalifornischen Gericht.
Diablo 3 ist toll, sagen viele Spieler - Diablo 3 ist eine Stimulus-Response-Maschine, sagt Rainer Sigl. Der Blogger und leidenschaftliche Gamer erklärt, warum er sich Blizzards jüngstem Werk verweigert.
Renesas ist nach Elpida der zweite schwer angeschlagene japanische Chiphersteller. Renesas, das Hitachi, Mitsubishi Electric und NEC gehört, macht Verlust und will seine größte Fabrik verkaufen.
RIM soll in den kommenden Tagen erneut einen massiven Stellenabbau ankündigen. "Ich habe herausgefunden, welche Teile ich in meinem Puzzle nicht mehr benötige", sagte Firmenchef Thorsten Heins.
Ein britisches Blog will erfahren haben, dass Facebook den norwegischen Browserhersteller Opera Software kaufen will. Beide Unternehmen wollen sich dazu nicht äußern.