https://www.die-welt.net/enContents © 2026 <a href="mailto:evgeni@golov.de">evgeni</a> Mon, 06 Apr 2026 05:19:05 GMTNikola (getnikola.com)http://blogs.law.harvard.edu/tech/rsshttps://www.die-welt.net/2006/12/sicherheit_bei_xantron_online_part_2/evgeni<p>Vor einiger Zeit berichtete ich über die <a href="https://www.die-welt.net/2006/11/sicherheit_bei_xantron_online">Sicherheit bei Xantron Online</a>. Genauer gesagt über die Tatsache, dass dort das Default Passwort die Postleitzahl ist. Jetzt bin ich dazu gekommen, mal zu schauen, was passiert wenn man bereits ein sicheres Passwort hat und dieses per Web anfordert, weil es vergessen worden ist.<br> <br> Nunja, man muss halt die Postleitzahl eingeben, und die Kundennummer natürlich, danach wird das Passwort in Plaintext (unverschlüsselt) an die eingetragene E-Mail Adresse versandt.<br> <br> Jetzt sagen sicherlich einige: Prima, ist ja sicher, da ja nur ich an das Mailkonto komme.<br> Allerdings könnte die Mail ja auf ihrem Weg von Xantron zu mir 100 mal abgehört worden sein, und da steht immerhin mein Passwort in lesbar drin. Und auch wenn sie nicht abgehört worden ist, gefällt mir die "Sicherheit" immer noch nicht so ganz, denn wenn Xantron mir das Passwort zuschicken kann, muss es unverschlüsselt in der Datenbank stehen, und somit könnte ein böser Mitarbeiter dieses dort rauslesen und versuchen sich irgendwo anders mit meinem Passwort einzuloggen. Google verrät dem ja, wo ich alles angemeldet bin.<br> <br> Nunja, mal schauen was das so wird. Zumindest rennt der Server stabil und die Anbindung stimmt auch.</p>germansecurityxantronhttps://www.die-welt.net/2006/12/sicherheit_bei_xantron_online_part_2/Thu, 07 Dec 2006 18:45:36 GMThttps://www.die-welt.net/2006/11/sicherheit_bei_xantron_online/evgeni<p>Seit dem 19.11.2006 bin ich ja Kunde bei Xantron Online (hab da das Housing Basic Paket mit 3 zusätzlichen IP-Adressen).<br> Grund für den Umzug war die Tatsache, dass die Kiste in Frankfurt langsam aber sicher zu klein und schwach wurde, und ich dort nicht zu sinnvollen Preisen aufrüsten konnte. (An dieser Stelle aber einen dicken Dank an NetDirekt, denn die Zeit war wirklich reibungslos).<br> <br> Naja, aber das wollte ich hier nicht erzählen. Es geht ja um Xantron.<br> Die haben ja so ein nettes Webinterface, wo man paar Sachen machen kann (Reboot etc) und dazu braucht man eine Kundennummer und ein Passwort. Kundenummer kriegt man auf der ersten Rechnung (diese kam gestern an) und kann sein Passwort dann 'anfordern'. Um das Passwort anzufordern, muss man seine Kundennummer und seine PLZ angeben (wenn man diese mal vergessen hat: sie steht auch auf der Rechnung ;)). Hab ich gemacht und ne Minute später war dann auch ne Mail da, mit meinem Passwort (aus Sicherheitsgründen ohne Kundennummer). Tja, das wäre ja auch fast sicher, wäre das Passwort nicht meine PLZ.<br> Also entweder reseten die das, oder es war von vornerein meine PLZ und die Datenbank ist unverschlüsselt... Beides nicht so doll.<br> <br> Nuja, ich werd weiter berichten, wenn ich was rausfinde.</p>germansecurityxantronhttps://www.die-welt.net/2006/11/sicherheit_bei_xantron_online/Wed, 22 Nov 2006 17:20:31 GMT