Wenn man unter "Kontake" mal in den "Öffentlichen Ordnern" das "Globale Adressbuch" öffnet, sieht man alle Adressen, die im Kundenaccount angelegt sind. Nicht grade toll bei Resellern.
1 mal bearbeitet, zuletzt am 04.11.09 15:34 durch Tino.
Genau das scheint in dem Artikel auch gemeint zu sein. Denn man kann nicht ALLE Emails aller 1&1 Kunden sehen, sondern lediglich die in einem Vertrag enthaltenen.
Klar ist das für Reseller ungeschickt - aber es ist kein Bug, sondern eigentlich ein Feature. Dafür sollte es aber - da gebe ich euch recht - ein Häkchen geben, mit dem der Vertragsinhaber das gemeinsame Adressbuch abschalten kann. Hoffentlich wird 1&1 den Fix dafür bald nachschieben ...
Dies klar zu stellen scheint dem Autor des Golem-Artikels nicht ganz gelungen zu sein, denn es wird deutlich und klar im Blogeintrag von Herrn Schambier beschrieben:
http://blog.katalog.com/2009/10/29/sicherheitslucke-im-11-webmailer-2-0-datenleck/
Wirklich ein sehr schwacher Beitrag auf dem Niveau von Bild 1414 Leserreporter, der sollte wohl als Lückenfüller dienen. Zum einen durchforstet das System die eigenen E-Mails nach Adressen und speichert sie als Kontakt. Abhängig von der Nutzungshäufigkeit tauchen sie dann im autocomplete weiter oben auf.
Weiterhin sieht man nur die Nutzer im gleichen Vertrag, das ist auch völlig in Ordnung. Ich vermute eher dass es bei 1&1 schlicht vergessen wurde was bei Resellern passiert. Ein Sicherheitsleck ist es aber nicht wirklich. Mit der eingesetzten Software hat das rein garnichts zu tun. Wenn überhaupt ist es eine Unzulänglichkeit in der Vertragsstruktur.
...das mit dem globalen Adressbuch kann ich bestätigen. Ich habe testhalber ein neues POP3 Konto angelegt und tatsächlich erscheinen rund 25 Email-Adressen, die ich über meinen Exklusivserver verwalte. Interessanterweise sind nicht alle zu sehen, sondern lediglich rund ein viertel aller angelegten Konten.
Durch das Tippen von 2stelligen x-beliebigen Buchstabenkombinationen bekommt man in der von mir beschriebenen "Autovervollständigungs-Liste" alle verwalteten Adressen angezeigt.
berufsnerd schrieb:
--------------------------------------------------------------------------------
> in Ordnung. Ich vermute eher dass es bei 1&1 schlicht vergessen wurde was
> bei Resellern passiert. Ein Sicherheitsleck ist es aber nicht wirklich. Mit
> der eingesetzten Software hat das rein garnichts zu tun. Wenn überhaupt ist
> es eine Unzulänglichkeit in der Vertragsstruktur.
Oder in anderen Worten: Da verwendet man den Mailer einer Software zur Teamarbeit, will aber die einzelnen Nutzer voneinander isolieren. Klingt, als ob Software und Verwendungszweck nicht zusammenpassen.
Als Sicherheitsleck würde ich das nicht bezeichnen, ganz einfach, weilder Webmailer (bzw. die dahinterstehende Groupware) genau zu dem Zweck des Informationsaustauschs in Gruppen designt wurde.
highrider
Kommentare: 170 | letzter Beitrag 15:54 Uhr
Kommentare: 94 | letzter Beitrag 26.05. 19:45
Kommentare: 73 | letzter Beitrag 18:32 Uhr
Kommentare: 69 | letzter Beitrag 17:31 Uhr
Kommentare: 57 | letzter Beitrag 17:52 Uhr
E-Mail an news@golem.de
Lockheed Martin hat eine neue Version des Exoskeletts Hulc vorgestellt, das es einem Menschen ermöglicht, schwere Lasten zu heben und zu tragen. Der Hersteller will das System im Spätsommer testen und, wenn alles gutgeht, danach an US-Soldaten in Afghanistan ausliefern.
Immer wieder zeigt Google seine Project Glass genannten Datenbrillen, ohne aber bislang konkrete Ankündigungen zu machen. Neben zahlreichen Fotos, die mit der Brille gemacht wurden, stellte Google nun auch ein erstes Video, das mit der Brille aufgenommen wurde, ins Netz.
Symantec hat sich zu den Aussagen der Bundesregierung geäußert, nach denen Geheimdienste in der Lage seien, SSH oder PGP zu knacken oder zu umgehen. Mathematisch gesehen sei kein wirksamer Angriff bekannt.
Renesas ist nach Elpida der zweite schwer angeschlagene japanische Chiphersteller. Renesas, das Hitachi, Mitsubishi Electric und NEC gehört, macht Verlust und will seine größte Fabrik verkaufen.
RIM soll in den kommenden Tagen erneut einen massiven Stellenabbau ankündigen. "Ich habe herausgefunden, welche Teile ich in meinem Puzzle nicht mehr benötige", sagte Firmenchef Thorsten Heins.
Ein britisches Blog will erfahren haben, dass Facebook den norwegischen Browserhersteller Opera Software kaufen will. Beide Unternehmen wollen sich dazu nicht äußern.