Perfect Privacy Reloaded

[Perfect Privacy]

Neue Zahlungsmethoden


Werte Nutzer,

wir haben seit letzter Woche den Zahlungsdienstleister LavaPay integriert, durch den wir viele neue Zahlungsmethoden wie LiteCoin, Sofortüberweisung und OKPay anbieten können.
LavaPay übernimmt auch PerfectMoney und Webmoney für uns. Die Schwierigkeiten bei der Zahlung mit Webmoney aus der Vergangenheit (Limits auf unserer Seite) sollten nun also gelöst sein. Ausserdem werden diese Zahlungsmethoden nun ebenfalls automatisiert verarbeitet.

LavaPay bietet in einigen Ländern auch die direkte Kreditkartenzahlung an. Leider nicht für den deutschsprachigen Raum. Wir werden uns in nächster Zeit nach hierfür geeigneten Dienstleistern umschauen, und versuchen im deutschsprachigen Raum auch direkte Kreditkartenzahlung zu ermöglichen (also ohne PayPal).

Mit freundlichen Grüssen,

Euer Perfect Privacy Team

 

[Perfect Privacy]

https://www.perfect-privacy.com/ger...ieweit-sind-perfect-privacy-nutzer-betroffen/

 

[usefulvid]

Hallo liebes Perfect Privacy Team.
Ich habe zwei Sachen entdeckt an eurem Service die mir ganz und gar nicht gefallen.

1. Das Passwort wird im Klartext gespeichert.
Ich habe dafür von euch zwar schon eine Begründung gelesen allerdings rechtfertigt das imho nicht, dass Passwörter im Klartext gespeichert werden und diese auch nur von euch generiert werden, der Nutzer also kein eigenes auswählen kann. Was würde denn gegen ein abspeichern als hash sprechen?

2. Der Windows Firewall wird nicht aktiv trotz gesetzem Haken im VPN Manager.
Sowas geht wirklich nicht. Wenn ich in eurem Tool den Haken setze, dass Verbindungen die nicht durch den VPN laufen geblockt werden muss euer Tool auch sicherstellen das dem so ist. Wenn der Firewall abgeschaltet ist in Windows schaltet der VPN Manager den Firewall nicht ein und informiert den Nutzer auch nicht darüber dass ab jetzt seine IP geleakt (webrtc) wird. Ich will jetzt keine Diskussion anfangen aus welchem Grund eine Firewall auch mal abgeschaltet sein kann, das solltet ihr wirklich euren Nutzern überlassen. Eure Mitbewerber haben das eleganter gelöst. Hier wird der Firewall eingeschalten. Vor allem wenn man das hier liest:

Wenn Sie die Perfect-Privacy-Software verwenden, sorgt der integrierte Firewall-Schutz ohnehin dafür, dass Netzwerkverkehr nur über den verschlüsselten VPN-Tunnel gesendet wird.

Das stimmt so einfach nicht. Dafür sind Voraussetzungen nötig die dokumentiert sein sollten bzw. der Nutzer sollte zumindest einen Hinweis erhalten.


Beide Punkte habe ich bereits an euch adressiert gehabt. Leider wird wohl an beiden Punkten nichts geändert werden. Eventuell äußern sich ja noch andere Nutzer dazu.

 

[poesie noire]

@usefulvid:

Ohne viel Ahnung von der Materie zu haben und die möglicherweise gerechtfertigte Kritik in Frage stellen zu wollen, hinterlässt der Hinweis auf zwei Mitbewerber, die in deiner Liste mit Reflinks versehen sind, einen wirklich fahlen Beigeschmack.

 

[usefulvid]

Ich kann den hinweis auch weglassen (PP hat auch einen ref link in der Liste daran soll es nicht liegen) ich wollte damit nur sagen, das es auch anders geht und ich überrascht bin, wieso es gerade ein "Premium Anbieter" wie PP nicht auch so lösen kann.

edit:
und securevpn hat gar keinen
hab den hinweis auf die beiden rausgenommen damit da kein verdacht entsteht.

 

[poesie noire]

@usefulvid:


Ja, ein Weglassen des Vergleichs würde deine Kritik tatsächlich in einem besser Licht und glaubwürdiger erscheinen lassen.

 

[Perfect Privacy]

1. Das Passwort wird im Klartext gespeichert.
Ich habe dafür von euch zwar schon eine Begründung gelesen allerdings rechtfertigt das imho nicht, dass Passwörter im Klartext gespeichert werden und diese auch nur von euch generiert werden, der Nutzer also kein eigenes auswählen kann. Was würde denn gegen ein abspeichern als hash sprechen?

Im Endeffekt geht es um das initiale PW. Die kannst nach Erstellung deines Accounts, im Mitgliedsbereich einen PGP-Key angeben und danach ein neues PW anfordern. Du erhälst dann eine automatisch generiertes PW vom System und dieses PGP verschlüsselt.
Wir wollen nicht das Nutzer sich PW selber aussuchen, da sich ein grossteil der Nutzer den grössten Blödsinn als PW nehmen. Wir wollen einfach keine PW wie Willi123 im System haben. Das PW ist zwar jetzt nicht so extrem kritisch, da es nichts mit der verschlüsselung zu tun hat, sondern nur den Zugang zum Server/MItgliesbereich erlaubt, aber da geht es eben ums Prinzip
Im System werden die PW übrigens als Hash gespeichert. Es hat natürlich auch praktische Gründe das du erst den Account haben musst und dann erst PGP aktivieren kannst.


2. Es ist nicht Aufgabe des Managers die Firewall ein oder auszuschalten. Üblicherweise ist die Windowsfirewall immer an. Wenn ein Nutzer diese aus irgendwelchen Gründen auch immer abschaltet, dann muss er diese eben auch wieder einschalten.
Die Firewall-Option ist dazu da die passenden regeln zu setzen und nicht um deinen PC aufzuräumen. Im Übrigen sollte der Nutzer eh die Funktionsfähigkeit der gesetzten Optionen selber prüfen, völlig egal welches Produkt von welchem Anbieter auch immer nutzt.

Und noch was zu den Vergleichen: Wir schauen nicht auf andere, sondern auf uns selbst, von daher kann man sich diese sparen. Danke.


NACHTRAG: Unsere BETA Version warnt dich beim Start des Managers wenn die Windows Firewall aus ist, aber anschalten musst die schon selber

https://board.perfect-privacy.com/threads/neuer-openvpn-client-beta-test.146/

NACHTRAG 2: Ui da hab ich was übersehen. In der BETA wird dir das schon fast abgenommen. Da kommt eine Warnung und man klickt auf Reparieren und es geht die Win Firewall an. Ist aber nicht automatisiert und das ist auch gut so

 

[usefulvid]

Und noch was zu den Vergleichen: Wir schauen nicht auf andere, sondern auf uns selbst, von daher kann man sich diese sparen. Danke.

Ich wollte nur sagen das es technisch wohl möglich ist

2. Es ist nicht Aufgabe des Managers die Firewall ein oder auszuschalten.

In der BETA wird dir das schon fast abgenommen. Da kommt eine Warnung und man klickt auf Reparieren und es geht die Win Firewall an.

Muss ich nichts zu sagen glaub ich. Auf jeden Fall die richtige Richtung. Nur den einen Klick hätte man sich in dem Zug auch noch ersparen können.

Was ich gerade noch entdeckt habe:




Dafür, dass ihr euch so ziert den Windows Firewall einzuschalten greift ihr aber ungefragt ins System ein. Die Windows Autostart Option ist aus und trotzdem startet ein Service mit der gleichzeitig (ungefragt) openvpn startet. Verbunden wird man noch nicht aber die Prozesse laufen schon. Ich bitte euch dringend das abzustellen ich wüsste nicht für was das gut sein soll.

Wir wollen einfach keine PW wie Willi123 im System haben.

Kann ich nachvollziehen es ergibt nur kein klares Bild wenn ihr auf der einen Seite sagt der User ist zu unmündig ist ein eigenes Passwort zu wählen aber auf der anderen Seite muss er sich um die Firewall selbst kümmern

Kann man mit dem Passwort den Account verlängern also irgendwelche Zahlungen anstoßen? Wenn nein dann wäre das tatsächlich kein Untergang.

 

[tokotoko]

Muss ich nichts zu sagen glaub ich. Auf jeden Fall die richtige Richtung. Nur den einen Klick hätte man sich in dem Zug auch noch ersparen können.

Muss man nicht, kann man aber. Kommt wieder auf den User an. Gibt einige die nicht die Windows Firewall nutzen wollen, die ihr System selbst anders absichern. Evtl mit einer Drittanbieter Firewall die sich logischerweise mit anderen beisst.. Warum sollte die Windows eigene ungefragt eingeschaltet werden wenn ich irgendwo einen Haken (zum testen) setze? Die Abfrage ob es getan werden soll, bzw. ein Hinweis das die Option nur automatisch mit der Win Firewall funktioniert fände ich am sinnvollsten. Dann kann jeder selbst entscheiden was er machen will, falls er geistig dazu in der Lage ist. So ein Extra Klick sollte man als Windows User doch auch gewohnt sein.

...greift ihr aber ungefragt ins System ein.

Ich bin kein Windows Programmierer, aber da steht "Dienststatus: Beendet", Starttyp ist "automatisch". Läuft doch also erstmal nix, wurde was installiert sagt mir mein Verstand. OpenVPN z.B. installiert auch einen Service der erstmal nicht gestartet wird. Ungefragt hat glaub ich noch keiner den Manager installiert, eher unwissend was der Manager alles tut. Deswegen finde ich "ungefragt ins System eingreifen" etwas krass formuliert, OpenVPN hat mich beim installieren auch nicht gefragt ob das installieren seines Services gewollt ist. Ich würds höchstens "ungefragt einen Dienst installieren" nennen, weil ich nicht weiss was dahinterhängt wenn ich auf "installieren" klicke.
Startet dieser Dienst vielleicht automatisch wenn der VPN-Manager gestartet wird? Wird dieser Dienst benötigt um auf andere Dienste wie OpenVPN oder die Win-Firewall zuzugreifen?
Kann uns PP aber sicher besser beantworten wie es in diesem Fall ist.

...der User ist zu unmündig ist ein eigenes Passwort zu wählen...

Zu unmündig ist er nicht, er wählt manchmal aus welchen Gründen auch immer einfach zu schwache Passwörter trotz besseren Wissens. Das wird auf diese Art und Weise ausgeschlossen. Gäbe bestimmt noch andere Möglichkeiten, PP hat aber genau diese für seinen Service gewählt.
Entweder man kommt damit klar oder nicht. Ist auf jeden Fall besser als unsichere Passwörter zuzulassen.

...muss er sich um die Firewall selbst kümmern...

Will man manchmal sogar, s.o..
User die sich um nichts kümmern wollen ausser eine Software zu starten und Klicki-klicki zu machen sind meist bei anderen Anbietern die komplette anonymität durchs benutzen ihrer Software versprechen (was so niemals stimmen kann). Tut PP nicht.
Diese User sind meist auch nicht bereit den Preis zu zahlen den PP (berechtigterweise) verlangt weil sie den Unterschied zu One-Click-Software Anbietern nicht kennen bzw. bemerken.

Der VPN Anbieter muss einfach zu einem passen, da kommts manchmal einfach nicht auf die techn. Details (die oft sehr ähnlich sind) oder Preise an.

 

[virtus]

dass Passwörter im Klartext gespeichert werden und diese auch nur von euch generiert werden, der Nutzer also kein eigenes auswählen kann.

Ich finde es auch nicht sonderlich gut, dass Passwörter im Klartext gespeichert werden.
Allerdings finde ich es durchaus sinnvoll, dass man Nutzer nicht selbstständig Passwörter setzen lässt. In 99,9% der Fälle kann man sich nicht darauf verlassen, dass Nutzer "gute" Passwörter wählen. Deshalb halte ich auch selbst als Entwickler nicht viel davon, Nutzer Passwörter setzen zu lassen.

2. Der Windows Firewall wird nicht aktiv trotz gesetzem Haken im VPN Manager.

Die Firewall. Es wäre auch blöd, würde irgendeine Firewall aktiviert. Wie hier bereits von jemandem angemerkt wurde, kann es sein, dass andere Firewalls auf dem System installiert sind und dann wäre es blöd, einfach so die Windows eigene zu aktivieren um dann ggf. Störungen zwischen beiden zu provozieren.
Wer seine Firewall deaktiviert, sollte wissen, was er tut und ihm sollte klar sein, dass er damit die Sicherheit seines Computers beeinträchtigt.

deiner Liste mit Reflinks versehen sind, einen wirklich fahlen Beigeschmack.

Er macht sowieso nur Werbung für seine Seite um ein paar Refs abzugreifen. In seinem Thread wollte er ja auch kostenlose Mitarbeiter anheuern.
Ich finde es auch nicht schön, wie er sich hier jetzt aufspielt.

Ich wollte nur sagen das es technisch wohl möglich ist

Technisch möglich ist vieles. Die reine Möglichkeit macht allerdings nicht alles sinnvoll.

Was ich gerade noch entdeckt habe:
Anhang anzeigen 36138

Dafür, dass ihr euch so ziert den Windows Firewall einzuschalten greift ihr aber ungefragt ins System ein. Die Windows Autostart Option ist aus und trotzdem startet ein Service mit der gleichzeitig (ungefragt) openvpn startet. Verbunden wird man noch nicht aber die Prozesse laufen schon. Ich bitte euch dringend das abzustellen ich wüsste nicht für was das gut sein soll.

Sehe ich das falsch oder ist openvpn notwendig zum Betrieb des PP-Clients? Eine betriebsnotwendige Komponente mitzuliefern und zu steuern sollte absolut unbedenklich sein. Drittservices zu steuern/ manipulieren, die nicht für den Betrieb des Services notwendig sind (z.B. Firewall), sollte möglichst vermieden werden.

Kann ich nachvollziehen es ergibt nur kein klares Bild wenn ihr auf der einen Seite sagt der User ist zu unmündig ist ein eigenes Passwort zu wählen aber auf der anderen Seite muss er sich um die Firewall selbst kümmern

Ich würde mal sagen einfach: Wer an seiner Firewall spielt, der weiß, was er tut. Wer nicht in der Lage ist ein Passwort zu setzen, der spielt normal auch nicht an der Firewall.

 

[Rakorium-M]

Muss ich nichts zu sagen glaub ich. Auf jeden Fall die richtige Richtung. Nur den einen Klick hätte man sich in dem Zug auch noch ersparen können.

Bitte nicht. Ich wäre äußerst unglücklich, wenn mir irgendeine Software ungefragt die Windows-Firewall aktivieren würde. Ich nutze eine Drittanbieter-Firewall, die sich nicht mit der Integrierten verträgt.
Die beta-Lösung ist dabei eigentlich ideal: Nutzer, die die Windows-Firewall deaktiviert haben, bekommen eine entsprechende Nachricht, und können selbst entscheiden, ob sie das wollen. Die angebotene 1-Klick-Aktivierung würde ich schon als Luxus bezeichnen.

Dafür, dass ihr euch so ziert den Windows Firewall einzuschalten greift ihr aber ungefragt ins System ein. Die Windows Autostart Option ist aus und trotzdem startet ein Service mit der gleichzeitig (ungefragt) openvpn startet. Verbunden wird man noch nicht aber die Prozesse laufen schon. Ich bitte euch dringend das abzustellen ich wüsste nicht für was das gut sein soll.

Das sehe ich. Ich kenne die PP-Software nicht, allerdings machen vorinstallierte Services durchaus Sinn. Google (Chrome) und Skype machen das bspw. auch (einen Autostart-Service für Updates, der sich nach dem Start schlafen legt). Mozilla (Firefox) bringt auch einen mit, der allerdings nur manuell gestartet wird.
Hintergrund ist, dass es nicht unbedingt trivial ist, unprivilegierte User Dienste starten/stoppen zu lassen. Zumindest in Multi-User-Systemen kann das interessant werden, wenn User2 per Remotedesktop/Telnet/whatever die Services deaktivieren kann, mit denen User1 gerade arbeiten will.
@Perfect Privacy: Nur aus Neugierde: Was genau macht euer Service eigentlich?

1. Das Passwort wird im Klartext gespeichert.

Gibt's dazu auch eine Quelle? Zumal das in diesem Fall sogar Sinn machen könnte...

 

[usefulvid]

Warum sollte die Windows eigene ungefragt eingeschaltet werden

Liebe leute im Ernst im Client von PP setze ich einen extra Haken für die Windows Firewall... Wenn ich den setze will ich auch die Funktion nutzen. Ich muss damit rechnen das die Firewall aktiv ist. Das ist genau das Gegenteil von ungefragt.

Ich bin kein Windows Programmierer, aber da steht "Dienststatus: Beendet", Starttyp ist "automatisch". Läuft doch also erstmal nix, wurde was installiert sagt mir mein Verstand.

Der Dienst ist Beendet weil ich ihn manuell beendet habe. Bitte geht mal davon aus, dass ich weiß was ich schreibe. Ich habe extra geschrieben welche Prozesse laufen. Selbst wenn er jetzt beendet wäre ohne mein zutun führt "automatisch" erst mal dazu das etwas startet.

Gibt's dazu auch eine Quelle? Zumal das in diesem Fall sogar Sinn machen könnte...

Wenn man sich anmeldet bekommt man das Passwort im Klartext und per Mail gesendet. In irgendeinem Speicher muss es dazu liegen. Es ist zwar toll das man es auch per PGP schicken lassen kann aber das ist dann von hinten durch die brust ins auge. Wenn man es im Klartext hat ist es eventuell beim PP smtp Ausgangsserver hinterlegt auf jeden Fall aber bei meinem Email Anbieter.

allerdings machen vorinstallierte Services durchaus Sinn.

Der Service stört mich nicht nur das er ungefragt mit dem System mitstartet und OpenVPN einfach mal läuft...

Ich wäre äußerst unglücklich, wenn mir irgendeine Software ungefragt die Windows-Firewall aktivieren würde.

Wird er nicht. Ich muss den Haken bewusst setzen und damit da keine weiteren Mutmaßungen kommen: Man setzt einen Haken bei dem Punkt Firewall aktivieren da steht nicht das der nur einfach seine Regeln in eine laufende Firewall integriert sondern aktivieren und das heißt halt auch eine deaktivierte Firewall zu aktivieren.

 

[Rakorium-M]

Der Dienst ist Beendet weil ich ihn manuell beendet habe. Bitte geht mal davon aus, dass ich weiß was ich schreibe. Ich habe extra geschrieben welche Prozesse laufen. Selbst wenn er jetzt beendet wäre ohne mein zutun führt "automatisch" erst mal dazu das etwas startet. [...]Der Service stört mich nicht nur das er ungefragt mit dem System mitstartet und OpenVPN einfach mal läuft...

Was, wie ich oben bereits ausgeführt habe, durchaus Sinn machen kann. Wenn ein unprivilegierter User den OpenVPN/PP-Dienst starten kann, kann er ihn auch beenden. Wenn mehrere User-Accounts an einem PC laufen, ist das schlecht. Was genau der PP-Dienst macht, kann von uns niemand sagen, daher können wir schlecht beurteilen, ob/warum der laufen muss.

Liebe leute im Ernst im Client von PP setze ich einen extra Haken für die Windows Firewall... Wenn ich den setze will ich auch die Funktion nutzen. Ich muss damit rechnen das die Firewall aktiv ist. Das ist genau das Gegenteil von ungefragt. [...]
Wird er nicht. Ich muss den Haken bewusst setzen und damit da keine weiteren Mutmaßungen kommen: Man setzt einen Haken bei dem Punkt Firewall aktivieren da steht nicht das der nur einfach seine Regeln in eine laufende Firewall integriert sondern aktivieren und das heißt halt auch eine deaktivierte Firewall zu aktivieren.

Danke, das Wort "aktivieren" ist mir bekannt. Der Vollständigkeit halber nochmal der komplette Dialog. Dort ist nur von "Firewall" die Rede, die Website spricht auch nur von "Integrierter Firewall-Schutz". Dass dabei die Windows-Firewall benutzt wird, erfährt man nur in den FAQ. Wenn ich den Dialog lesen würde, würde ich spontan auf eine Homemade-Firewall tippen, die ein paar vorgegebene Richtlinien über WFP oä. umsetzt. Oder eine auf IP-Tables basierende Lösung.

Wenn man sich anmeldet bekommt man das Passwort im Klartext und per Mail gesendet. In irgendeinem Speicher muss es dazu liegen. Es ist zwar toll das man es auch per PGP schicken lassen kann aber das ist dann von hinten durch die brust ins auge. Wenn man es im Klartext hat ist es eventuell beim PP smtp Ausgangsserver hinterlegt auf jeden Fall aber bei meinem Email Anbieter.

Dann war die Aussage sehr missverständlich formuliert. Auch zum Hashen muss das Passwort vorher im Klartext auf dem Server vorliegen, deshalb ist es noch lange nicht im Klartext gespeichert. Auch SMTP-Server speichern nicht lange.
Einziges Problem, dass ich dabei wirklich sehe, ist die Benutzerfreundlichkeit. Die wenigsten Benutzer werden sich wirklich die Mühe machen, PGP zu nutzen, womit dann auch der Email-Anbieter theoretisch Zugriff auf das Passwort hätte. Generell könnte ein böser Email-Provider zwar auch die allseits beliebte "Passwort-Vergessen"-Funktion nutzen, das würdest du aber wenigstens mitkriegen.
Allerdings fällt mir dazu auch keine "bessere" Lösung ein, wenn man (verständlicherweise) keine Nutzer-gewählten Passwort will. Client Certificates wären da noch eine Idee, allerdings nicht unbedingt benutzerfreundlich.

 

[virtus]

Wenn man sich anmeldet bekommt man das Passwort im Klartext und per Mail gesendet. In irgendeinem Speicher muss es dazu liegen.

Richtig, um ein zufälliges Passwort zu generieren, muss das Passwort zumindest kurzzeitig im RAM liegen. Ob du es von dort aus dann hashst und den Hash auf die Platte schreibst oder direkt auf die Platte schreibst, ist nicht gesagt. Das Passwort lässt sich aus dem RAM-Speicher dann auch direkt an eine Mail-Anwendung weiterschieben, ohne es auf der Festplatte zu speichern. Das einzige Problem sehe ich darin, dass die Mail eine öffentliche Postkarte ist und die wiederum jeder (an der Übermittlung Beteiligte) lesen kann. Aber im Zuge der Generierung und Verarbeitung muss das Klartextpasswort von PP nicht (dauerhaft) gespeichert werden.
Deine Schlussfolgerung "es wurde mir im Klartext gesendet, daher ist es im Klartext gespeichert" ist einfach nur bullshit.
Ein PW, das im RAM liegt sehe ich mal abgesehen von wenigen Laborszenarien als eher unproblematisch.

Es ist zwar toll das man es auch per PGP schicken lassen kann aber das ist dann von hinten durch die brust ins auge. Wenn man es im Klartext hat ist es eventuell beim PP smtp Ausgangsserver hinterlegt auf jeden Fall aber bei meinem Email Anbieter.

Irgendwie muss das Passwort nun mal zwischen Client und PP ausgetauscht werden. Zu den zumutbaren Verfahren gehört nun mal "bei PP erzeugen und zum Client übertragen" oder "beim Client erzeugen und zu PP übertragen". Bei einer verschlüsselten Mail würde ich mir auch keine Gedanken machen. Da kann es auch dein Emailanbieter nicht lesen. Natürlich gibts auch noch andere Verfahren zum Schlüsselaustausch, die ggf. sogar sicherer sein können, aber ein wenig Anwender-freundlich soll es dann doch sein, oder?

 

[tokotoko]

Liebe leute im Ernst im Client von PP setze ich einen extra Haken für die Windows Firewall... Wenn ich den setze will ich auch die Funktion nutzen. Ich muss damit rechnen das die Firewall aktiv ist. Das ist genau das Gegenteil von ungefragt.

In der BETA ist es ja gefixt. Denke auch das User die eine Systemfirewall ausschalten sich bewusst sein sollten das andere Programme dann evtl. nicht drauf zugreifen können um Firewall Regeln durchzusetzen.
Und "aktivieren" bezieht sich wohl auf die Firewall Option des Client, nicht auf die Firewall an sich.
Was steht denn bei den Fragezeichen? Kanns mangels Windows nicht testen.

Der Dienst ist Beendet weil ich ihn manuell beendet habe. ... Ich habe extra geschrieben welche Prozesse laufen. Selbst wenn er jetzt beendet wäre ohne mein zutun führt "automatisch" erst mal dazu das etwas startet.

Hättest auch zuschreiben können das du ihn beendet hast, dachte der Screenshot wäre so gemacht wie du die Situation bemängelst.
Wie gesagt machen viele Programme, einen Dienst installieren und automatisch starten. Wenns dich stört brauchst du die Software nicht nutzen.

Bitte geht mal davon aus, dass ich weiß was ich schreibe.

Nimms nicht persönlich, aber nein.

Es ist zwar toll das man es auch per PGP schicken lassen kann aber das ist dann von hinten durch die brust ins auge.

Ja, ist Toll. Wenn man nicht möchte das sein Passwort unverschlüsselt durchs Netz wandert lässt man sich halt ein neues PGP verschlüsseltes schicken. Verstehe den Zsammenhang mit deiner Redewendung nicht.
Solange PP deinen PGP Schlüssel nicht hat können sie dir erstmal nur unverschlüsselt per Mail eins schicken. Denk mal drüber nach wie viele User PGP nicht mal buchstabieren können und wieviel Supportanfragen nur deswegen auftreten würden.
Option wäre es natürlich auch beim ersten PW-Versand den verschlüsselten Versand als Option anzubieten.

Man setzt einen Haken bei dem Punkt Firewall aktivieren

Wie oben gesagt bezieht sich diese ganze Kästchenreihe auf die "Firewall-Option" des Client. Alles andere würde keinen Sinn machen.

 

[Perfect Privacy]

Ganz im Ernst. Mit minimaler Erfahrung im IT Bereich kommen einige Aussagen und Fragen erst gar nicht, aber dann hundert jahre diskutieren müssen. Allein der Satz wegen dem unmündigen Nutzer. Wer minimale Erfahrung hat in dem Bereich, der schenkt sich den Satz und sagt "Kann ich verstehen". Ist einfach so.Aber gut:

1. Wegen dem PW:

Wo genau ist da das Problem? Bei uns werden die PW nicht ungehasht gespeichert. Diese sind in der DB gehasht. Ich kann also das danach auch nicht mehr einsehen. Die Lösung mit PGP finde ich persönlich sogar ziemlich gut. Es gibt da nichts negatives dran, wenn man das initiale PW erstmal so bekommt und man sich dann mittels PGP fix ein neues generieren kann. Und wie gesagt: Bei uns taucht das PW nur ungehasht in deiner Mail auf. Wenn du das von System neu generieren lässt und die PGP verschlüsselt zukommen lässt, dann komme ich da auch nicht mehr ran. Deswegen muss ich jedem Nutzer auch ein neues PW generieren wenn er bei uns anfragt weil er sein PW vergessen hat.

2. Wegen der Firewall: Die Lösung so ist auch in Ordnung. Dir haben nun mehrfach Leute auch gute Gründe genannt, warum das so eine recht gute Lösung ist. Und die Windows-Firewall schaltet man eben im Normalfall eben nicht ab. Wer so schlau ist die abzuschalten, der sollte eben auch so schlau sein diese wieder einzuschalten. Wer eine 3. Anbieter-Firewall nutzt, dem bringt die Option eh nichts, aber da müssen wir noch eine Lösung finden. Einige Security Suiten, oder sogenannte Security Suiten(Kaspersky und Co bauen ehrlich gesagt teilweise richtig Mist im System), verhauen nämlich die Regeln in der Firewall und man kann teilweise setzen was man will, die klicken die einfach wieder um. An der Front müssen wir viel eher arbeiten, als an leuten die so superschlau sind das Ding manuell abzuschalten, statt sich die Regelsätze entsprechend zu bauen.

3. Und hier mal eine berechtigte Frage wegen dem Service, auch wenn die Aussagen dazu teilweise Haarsträubend sind. Der VPN Manager setzt den Servie nicht weil ihm langweilig ist, oder wir NSA 2.0 rein bügeln wollen und so weiter. Er setzt diesen Service weil OpenVPN von Windows immer zum Nutzer degradiert wird. Da spielt es keine Rolle ob man als Admin angemeldet ist(leider sind das die meisten Leute) oder als normaler Nutzer. Die Windows UAC regelt das auch als Admin runter. Sprich den Service gibts nicht wegen dem Manager, sondern wegen OpenVPN und der Windows UAC. Die einzigen die den Service nicht brauchen, sind die Leute die so schlau sind die UAC abzuschalten und trotzdem als Admin unterwegs sind. Da das aber eine blöde Idee ist, gibts den Service automatisch.

Bitte geht mal davon aus, dass ich weiß was ich schreibe.

Interessanter Weise glauben das die meisten Leute die einen PC nutzen, aber wirklich Ahnung haben die wenigsten Leute. Sorry, aber ist leider so.... Ist im IT-Bereich ne wirkliche Krankheit.....

 

[usefulvid]

Wenn das Passwort bei euch gehasht wird ist das ja schonmal gut. Nur wird sich dann so ein Passwort keiner merken können. Im besten Fall landet es bei den Usern in KeePass oder in einem anderen verschlüsselten PW Manager. Im schlechtesten Fall landet es beim Browser im Klartext gespeichert. Das mit PGP ist natürlich richtig, aber sind wir mal ehrlich: wie viele Nutzer haben PGP im Einsatz? Ich weiß das liegt in der Hand des Nutzers trotzdem wird es bei viel zu vielen Nutzern unverschlüsselt rumliegen.

auch wenn die Aussagen dazu teilweise Haarsträubend sind.

Meinst du mich damit? Ich hab doch nur festgestellt das er da ist Mich stört das halt einfach wenn ungefragt irgendwas in den Autostart kommt. Mir ist das aufgefallen weil sich OpenVPN nicht mehr hat starten lassen (unabhängig von eurer Software). Das mit der UAC leuchtet ein, die Probleme hatte ich auch schon mit OpenVPN aber könntet ihr nicht einfach den Dienst installieren und sobald man euren Manager startet wird der Dienst aktiv?

Wegen der Firewall: Die Lösung so ist auch in Ordnung.

Ja wenn es einen Hinweis gibt meinentwegen. Den Haken zu setzen und die Firewall unkommentiert nicht anzuschalten finde ich nach wie vor fahrlässig. Das hat euer Team/Entwickler denke ich auch ähnlich gesehen deshalb wurde es ja in der Beta geändert.

Dir haben nun mehrfach Leute auch gute Gründe genannt, warum das so eine recht gute Lösung ist.

Da liegt ein Missverständnis vor. Wenn die Nutzer gute Gründe haben die Firewall mit eurem Tool nicht nutzen zu wollen dann wird der Haken nicht gesetzt ich würde gerne einen guten Grund hören warum ein User den Haken setzen soll und nicht möchte das die Win Firewall aktiv wird.
Ihr könnt ja gerne den Standpunkt vertreten, dass euer Tool die Firewall nicht einschalten soll aber dann muss das dokumentiert sein und der User darauf hingewiesen werden. Riechen kann man das nicht

Was steht denn bei den Fragezeichen? Kanns mangels Windows nicht testen.

Gerade diese Beschreibung macht es nochmal deutlich: es wird nicht die Firewall deaktiviert sondern die Regeln oder kann man das auch anderst verstehen? Zumindest ist es nicht eindeutig wie ich finde.

 

[mathmos]

Wenn das Passwort bei euch gehasht wird ist das ja schonmal gut. Nur wird sich dann so ein Passwort keiner merken können.

Wie kommst du darauf, dass sich ein Nutzer einen Hash merken muss? Normalerweise gibt der Nutzer einfach sein Passwort ein. Dann wird davon ein Hash erzeugt und dem dem verglichen der z. B. beim Anbieter gespeichert ist (vorzugsweise mit Salt). Stimmen diese überein erfolgt die Anmeldung. Wenn nicht, dann nicht.

 

[usefulvid]

Hallo mathmos So habe ich das nicht gemeint.
PP generiert ein random passwort für seine Benutzer. Dieses Passwort kann man sich nur schwer merken. Das meinte ich.

 

[Perfect Privacy]

Wenn das Passwort bei euch gehasht wird ist das ja schonmal gut. Nur wird sich dann so ein Passwort keiner merken können. Im besten Fall landet es bei den Usern in KeePass oder in einem anderen verschlüsselten PW Manager. Im schlechtesten Fall landet es beim Browser im Klartext gespeichert. Das mit PGP ist natürlich richtig, aber sind wir mal ehrlich: wie viele Nutzer haben PGP im Einsatz? Ich weiß das liegt in der Hand des Nutzers trotzdem wird es bei viel zu vielen Nutzern unverschlüsselt rumliegen.

Wie der Nutzer seine PW verwaltet, muss jeder selber wissen. Ein Nutzer der aber alles richtig macht, der muss sich das nicht merken, sondern nimmt KeePass oder 1Password oder was auch immer. Was ein weiteres Argument dafür ist, das der Nutzer sich das PW eben nicht aussuchen kann. Gerade die die das PW aussuchen wollen, nehmen meist ziemlich miese PW. Aber das muss der Nutzer selber wissen. Wir haben eben diese Vorgaben und das aus gutem Grund.
Es sind erstaunlich viele Nutzer übrigens die einen PGP Key angegeben haben und das auch nutzen. Im Endeffekt gibts da auch nichts zu diskutieren, da der Nutzer diese Möglichkeiten hat und wenn er sie nicht nutzt, dann muss das der Nutzer selber wissen.

Und mal so nebenbei: Wir generieren schon wirklich noch humane PW, also nix mit 25 Stellen mit haufen Sonderzeichen. Und selbst wenn: Nutz ein PW-Safe. Eben so wie man das in der heutigen Zeit eben tun sollte.

Meinst du mich damit? Ich hab doch nur festgestellt das er da ist Mich stört das halt einfach wenn ungefragt irgendwas in den Autostart kommt. Mir ist das aufgefallen weil sich OpenVPN nicht mehr hat starten lassen (unabhängig von eurer Software). Das mit der UAC leuchtet ein, die Probleme hatte ich auch schon mit OpenVPN aber könntet ihr nicht einfach den Dienst installieren und sobald man euren Manager startet wird der Dienst aktiv?

Jup, na wen sonst? Aber mal im Ernst: Wieso sollten wir das? Wo ist das Problem so wie das jetzt ist? Ich sehe da jetzt nicht die dramatische Sicherheitslücke oder irgendwas anderes, weswegen wir da Zeit und Geld investieren sollten? Wir nutzen die von Windows vorgegebenen Möglichkeiten und da ist doch eigentlich alles in Butter. Ist ja nun nicht so als würde der Service dich 50 Prozent Prozzi-Auslastung und 2 GB ram kosten. Also ich sehe da nicht so richtig den Sinn drin das umzubauen.

Gerade diese Beschreibung macht es nochmal deutlich: es wird nicht die Firewall deaktiviert sondern die Regeln oder kann man das auch anderst verstehen? Zumindest ist es nicht eindeutig wie ich finde.

OK. Die Formulierung.... Da kann man ernsthaft drüber diskutieren. Muss ich mal mit dem Entwickler besprechen. Auch eine Warnung wegen dem Kaspersky-Shit und auch anderen Pseudo-Security-Murks könnte da rein. Frei nach dem Motto "HEy Nutzer, wenn du das Zeugs verwendest, das Zeugs dann Mist macht ==> Dein Problem" :P