Kommentare zu: Sicherheitslücke im Newsletter-System MailOut http://www.aaron.koensgen.com/2008/05/12/sicherheitsluecke-im-newsletter-system-mailout/ Linux und was sonst noch wichtig ist Mon, 08 Sep 2008 05:54:50 +0000 http://wordpress.org/?v=2.6 Von: T. Faltermüller http://www.aaron.koensgen.com/2008/05/12/sicherheitsluecke-im-newsletter-system-mailout/#comment-108 T. Faltermüller Wed, 30 Jul 2008 13:08:52 +0000 http://www.aaron.koensgen.com/?p=11#comment-108 Hallo! So nachdem ich als registrierter Kunde in den letzten zwei Wochen am MailOUT-Betatest teilgenommen habe, der die Onlinedateien schon verschlüsselte, habe ich heute von IN MEDIA KG die Nachricht bekommen, das die Version 10.1.0 offiziell draussen ist und diese Verschlüsselung bietet. Selbstverständlich hab ich mir das gleich angeschaut und das ganze wird mit einem im Programm vergebenen Passwort, mit denen dann nur der Zugriff möglich ist. Ich habe auch mal kurz nach Deinem Posting mit dem Hersteller telefoniert und die meinten das eine .htaccess oder FTP basierte Lösung leider einige Kunden überfordern würde, deswegen wurde die Sache mit dem Passwort genommen. Meiner Meinung nach auch keine ganz schlechte Lösung, da die meisten Leute ja eine dynamische IP haben und zudem ständig Ihre FTP-Passwörter ändern :-) Ich hatte in meiner Beta-Version keine Probleme und ein Zugriff auf die Dateien ist jetzt auch ohne extra Rechtevergabe komplett ausgeschlossen. Grüße vom Niederhein... Thomas Hallo!

So nachdem ich als registrierter Kunde in den letzten zwei Wochen am MailOUT-Betatest teilgenommen habe, der die Onlinedateien schon verschlüsselte, habe ich heute von IN MEDIA KG die Nachricht bekommen, das die Version 10.1.0 offiziell draussen ist und diese Verschlüsselung bietet.

Selbstverständlich hab ich mir das gleich angeschaut und das ganze wird mit einem im Programm vergebenen Passwort, mit denen dann nur der Zugriff möglich ist. Ich habe auch mal kurz nach Deinem Posting mit dem Hersteller telefoniert und die meinten das eine .htaccess oder FTP basierte Lösung leider einige Kunden überfordern würde, deswegen wurde die Sache mit dem Passwort genommen. Meiner Meinung nach auch keine ganz schlechte Lösung, da die meisten Leute ja eine dynamische IP haben und zudem ständig Ihre FTP-Passwörter ändern :-)

Ich hatte in meiner Beta-Version keine Probleme und ein Zugriff auf die Dateien ist jetzt auch ohne extra Rechtevergabe komplett ausgeschlossen.

Grüße vom Niederhein…

Thomas

]]> Von: Aaron http://www.aaron.koensgen.com/2008/05/12/sicherheitsluecke-im-newsletter-system-mailout/#comment-105 Aaron Mon, 14 Jul 2008 10:41:11 +0000 http://www.aaron.koensgen.com/?p=11#comment-105 Hallo Thomas, ich finde, dass aus meiner Problembeschreibung ersichtlich ist, dass es sich nur um die noch nicht abgeholten Adressen handelt. Um Missverständnisse zu vermeiden, werde ich aber nach einer besseren Formulierung suchen. Danke für den Hinweis! Danke auch für die Ergänzung bzgl. des Updates. Hast Du Informationen dazu, wie diese Lücke geschlossen werden soll? Sinnvoll wäre es wohl, das MailOut-Programm dahingehend zu ergänzen, dass die Zugangsdaten für eine HTTP-Verbindung mit angegeben werden können oder per FTP zugegriffen wird. Die entsprechende htaccess-Datei sollte dann auch mitgeliefert werden. Gruß Aaron Hallo Thomas,

ich finde, dass aus meiner Problembeschreibung ersichtlich ist, dass es sich nur um die noch nicht abgeholten Adressen handelt. Um Missverständnisse zu vermeiden, werde ich aber nach einer besseren Formulierung suchen. Danke für den Hinweis!

Danke auch für die Ergänzung bzgl. des Updates. Hast Du Informationen dazu, wie diese Lücke geschlossen werden soll? Sinnvoll wäre es wohl, das MailOut-Programm dahingehend zu ergänzen, dass die Zugangsdaten für eine HTTP-Verbindung mit angegeben werden können oder per FTP zugegriffen wird. Die entsprechende htaccess-Datei sollte dann auch mitgeliefert werden.

Gruß
Aaron

]]> Von: Thomas Faltermüller http://www.aaron.koensgen.com/2008/05/12/sicherheitsluecke-im-newsletter-system-mailout/#comment-103 Thomas Faltermüller Mon, 14 Jul 2008 08:48:16 +0000 http://www.aaron.koensgen.com/?p=11#comment-103 Hallo! Vielen Dank für Deinem Hinweis, ich benutze das Programm auch seit einiger Zeit (bin übrigends sehr zufrieden damit), allerdings fehlt in Deinem Beitrag ein GANZ EINTSCHEIDENDER Hinweis und zwar es sind nur die Daten online verfügbar die noch nicht mit dem Programm abgeholt wurden. Man sollte also tunlichst regelmässig seine Newsletterbestellungen abholen (naja das sollte man sowieso machen) dann ist die Gefahr realtiv gering. Ich habe aber als registrierter Kunde mich mit dem Hersteller in Verbindung gesetzt und mir wurde gesagt, dass diese Lücke mit dem nächsten Update geschlossen wird (nur der Vollständigkeit halber!). Grüße Hallo!

Vielen Dank für Deinem Hinweis, ich benutze das Programm auch seit einiger Zeit (bin übrigends sehr zufrieden damit), allerdings fehlt in Deinem Beitrag ein GANZ EINTSCHEIDENDER Hinweis und zwar es sind nur die Daten online verfügbar die noch nicht mit dem Programm abgeholt wurden. Man sollte also tunlichst regelmässig seine Newsletterbestellungen abholen (naja das sollte man sowieso machen) dann ist die Gefahr realtiv gering. Ich habe aber als registrierter Kunde mich mit dem Hersteller in Verbindung gesetzt und mir wurde gesagt, dass diese Lücke mit dem nächsten Update geschlossen wird (nur der Vollständigkeit halber!).

Grüße

]]>