wie vermutlich den meisten T-Online Nutzern aufgefallen ist, braucht man für den FTP-Zugriff auf die Homepage des alten Typs kein Passwort. Das gleiche gilt für die Erstmalige Anmeldung für Webmail.
Dies liegt daran, dass die Authentifizierung über die IP erfolgt, unter der man sich eingewählt hat (ist ja T-Online intern, daher schwer zu fälschen).
Setzt man nun den Rechner, der die Verbindung zu T-Online aufbaut als http-Proxy auf (oder NAT), so kann z.B. die Ersteinstellung des Webmail-Passworts von jedem Rechner im lokalen Netz ohne Passwort vorgenommen werden. Dies gilt z.B. auch für die für Schulen eingerichteten Zugänge.
Und siehe da, ich war in einer Schule und konnte das Wemail-Passwort für den „Hauptaccont“ setzen wie ich wollte - hätten sie NAT gehabt statt Jana haette ich wohl auch auf die Homepage setzen können, was ich will (ghet zumindestens bei Privaten T-Online Accounts - zuhause ausprobiert)
Daraufhin habe ich mich durch die Tiefen der T-Online Hotlines gewählt und bin schliesslich bei jemandem gelandet, der sagte für solches zuständig zu sein.
Dieser erklärte mir dann es handle sich um ein Feature und alles wäre bestens.
Mail und Webseite seien schliesslich für die Schüler da und eine Zugriffskontrille nicht vorgesehen !?!
D.h z.B. dass in NAT-angebundenen Netzwerken die Schüler mit dem Segen der Telekom ohne sonderliche Kontrollmoeglichkeit der Schule (so denn dort wie üblich keiner ist, der die entsprechenden IPs sperrt) jeden Müll auf eine Seite stellen können, für deren Inhalt die Schule rechtlich verantwortlich ist und alles per über Rückfrage verifizierter Mail bestellen können, was sie wollen.
Wieso IP, eigentlich ist es die Kennung (imho)
Hallo Martin,
kann sein das ich gleich total falsch liege und die ganz tolle Sicherheitscomunity auf mir rumhackt …
Meines Wissens nach, entscheidet bei T-online in jedem Fall die Anschlusskennung und die T-online Nummer, welche ja bei der Einwahl übermittelt werden.
So weit so gut.
Wenn man nun als T-online Nutzer auf die T-online Homepage surft, kann man die Kundendaten einsehen usw., aber für jede entgültige Änderung ist ein Passwort nötig. Dieses wurde mit dem Zugangsdaten zugestellt.
Webmail muss erst freigeschaltet werden um das man es nutzen kann. Auch hier wird imho nach dem Passwort gefragt. Ebenso ist es mit dem Emaialias oder gar Vertragsänderungen.
Gruß, olli
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
kann sein das ich gleich total falsch liege und die ganz tolle
Sicherheitscomunity auf mir rumhackt …
**\*ZOBK\***
Meines Wissens nach, entscheidet bei T-online in jedem Fall
die Anschlusskennung und die T-online Nummer, welche ja bei
der Einwahl übermittelt werden.
Ja. Aber weitere Dinde wie POP, FTP und SMTP erfordern kein weiteres Passwort, gerade bei POP udn FTP ist das idiotisch, daß bei „Schulen ans Netz“ jeder Depp das Postfach leeren kann (hier trudeln ja auch Dinge wie Änderungen der Vertragsbedingungen tec. ein, IIRC) oder unter der Schulhomepage die Nacktfotos seiner Lieblingslehrerin veröffentlichen kann.
Das ist extrem deppenhaft, mit etwas packet filter AKA Firewall-Gebastel kann man das unterbinden, aber das sollte nicht die Aufgabe einer Firewall sein…
D.h z.B. dass in NAT-angebundenen Netzwerken die Schüler mit
dem Segen der Telekom ohne sonderliche Kontrollmoeglichkeit
der Schule (so denn dort wie üblich keiner ist, der die
entsprechenden IPs sperrt) jeden Müll auf eine Seite stellen
können, für deren Inhalt die Schule rechtlich verantwortlich
ist und alles per über Rückfrage verifizierter Mail bestellen
können, was sie wollen.
Meines Wissens nach, entscheidet bei T-online in jedem Fall
die Anschlusskennung und die T-online Nummer, welche ja bei
der Einwahl übermittelt werden.
Diese werden mit deiner Leitung/IP/dem benutzen Modem bei der Telekom oder was auch immer assoziiert. Es reicht aber nicht um Pakte vom Rechner und Proxy/geNATtte pakete zu unterscheiden.
Wenn man nun als T-online Nutzer auf die T-online Homepage
surft, kann man die Kundendaten einsehen usw., aber für jede
entgültige Änderung ist ein Passwort nötig. Dieses wurde mit
dem Zugangsdaten zugestellt.
Webmail muss erst freigeschaltet werden um das man es nutzen
kann. Auch hier wird imho nach dem Passwort gefragt. Ebenso
ist es mit dem Emaialias oder gar Vertragsänderungen.
Bei der „Ersteinstellung“ des Webmail-Kennworts wurde man (zuminestens bis vorgestern) nicht nach einem Kenwort gefragt. „Beweis“: ich kenne das Zugangskennwort der betroffenen Schule definitiv nicht und konnte von einem
„Schueler-Rechner“ aus die „Ersteingabe“ des Webmail-Kenworts vornehmen.
Um es danach zu ändern braucht man jetzt Wahlweise das Zugangskennwort oder das von mir selbst ausgesuchte Webmail-Kennwort.
…und das liegt daran, dass die T-Online-Software das Passwort für die Internet-Einwahl überträgt, zumindest, soweit ich Dich verstanden habe, für die alten Accounts „http://kunde.bei.t-online.de/homepage/“.
Der FTP-Zugang verlangt (nach Einwahl über T-Online) dann nur noch einen „.“ (Punkt) im Passwort-Feld. So isses, unn net anders.
Für „neue“ Accounts mag das anders aussehen.
Haben aber z.B. Schulen ihre „alte“ T-Online-Homepage noch nie genutzt… [@mod – Schüler-Augen
