Technische Umsetzung von meincongstar

  • CsNewbie

    unregistrierter Benutzer (Gast)

      Hallo,
      ich möchte mich hier mal öffentlich beschweren über die technische Realisierung von https://www.congstar.de/meincongstar/. Dass Sicherheit bei congstar nicht groß geschrieben wird, ist mir schon vor Jahren aufgefallen. So werden offensichtlich Kundenpasswörter im Klartext gespeichert und auch mit der Post verschickt. Soweit so fatal. Wie nun die Login-Seite von meincongstar umgestaltet wurde, ist eine ins Bild passende Fortsetzung des Pfusches.


      Dass die Seite ohne Javascript nicht funktioniert, ist das eine. Allein dafür gehört dem verantwortlichen Webentwickler der Code um die Ohren gehauen, denn das ganze Portal bietet überhaupt keine Funktionalität, die nicht auch ohne Javascript problemlos realisierbar wäre. Dass man nun aber auch noch meint, den Javascript-Code nicht selbst hosten zu müssen, ist eine Zumutung. So wird etwa die komplette jQuery-Bibliothek vom amerikanischen Anbieter cloudflare.com heruntergeladen. Das soll ich dann ausführen und meine Zugangsdaten eingeben? Seid ihr noch ganz bei Trost?


      Ich sage euch eins: Wenn meine Zugangsdaten eines Tages mal missbraucht werden und jemand illegales Zeug damit treibt (z.B. in meinem Namen IS-Propaganda und Kinderpornos schaut), dann schiebe ich direkt die Schuld auf euch, weil ihr grob fahrlässig mit den Zugangsdaten umgegangen seid.


      Zum Schluss seien den zuständigen Webentwicklern noch folgende Links empfohlen:
      http://youmightnotneedjs.com/
      http://youmightnotneedjquery.com/


      Das Gleiche gilt übrigens auch für das Kontaktforumular, welches von custhelp.com statt von congstar.de gehostet wird. Datenschutz geht anders. Ich hoffe, hier ändert sich bald mal was.

    • Zur hilfreichsten Antwort springen

    • Technische Frage (an den Threadersteller) dazu: Reicht es nicht die jQuery-Bibliothek auf ihre Integrität zu prüfen? Sofern die Bibliothek bekannt, geprüft und nachgewiesen unverändert ausgeliefert wird, sollte es doch unproblematisch sein sie in der Fremde zu hosten (neben möglicherweise strukturellen Problemen die durch den Einsatz von jQuery entstehen).


      Andere Frage: Meinst du den Missbrauch deiner Zugangsdaten für das Kundencenter? Hier sollte es doch reichen (wie so oft empfohlen) für alle Dienste einfach unterschiedliche Zugangsdaten zu entwenden. Dann kann ein Angreifer 'nur' online auf dein Kundencenter zugreifen (obwohl auch da ja noch die SSL-Verschlüsselung sein müsste bei der Übertragung der Daten an den congstar Server).


      Bin technisch aber auch eher ein Laie. Ansonsten interessante Fragen die du aufwirfst. :pinch:

    • congstar Hilfe Team

      Beiträge : 1.657
    • Hilfreichste Antwort

      • Hallo CsNewbie,


      vielen Dank für dein Posting. Ich habe dieses direkt an unsere Datenschutzabteilung weitergeleitet, die sich direkt mit dir in Verbindung setzten werden.
      Bitte hab ein wenig Geduld, dass kann ein paar Tage dauern.


      Gruß Bea

      11871-congstarhilfe4-pngIch bin hier - um dir zu helfen!
      Damit ich auf dein Kundenkonto zugreifen darf, trage bitte deine Daten in dein Forenprofil ein.
      Gut zu wissen: Allgemeine Themen | Tarif- & Produktberatung | Homespot-Tarife | DSL & Festnetz | Handys
      Schau mal rein: Thema der Woche | Created | Facebook | Twitter | Instagram | YouTube

    • CsNewbie

      unregistrierter Benutzer (Gast)

      Zitat von Dr. Octagonapus

      Technische Frage (an den Threadersteller) dazu: Reicht es nicht die jQuery-Bibliothek auf ihre Integrität zu prüfen? Sofern die Bibliothek bekannt, geprüft und nachgewiesen unverändert ausgeliefert wird, sollte es doch unproblematisch sein sie in der Fremde zu hosten (neben möglicherweise strukturellen Problemen die durch den Einsatz von jQuery entstehen).


      Dazu müsste congstar eigenen Javascript-Code einbinden, der den anderen Javascript-Code von Cloudflare auf Integrität prüft. Ich würde sagen, das ist umständlicher, als den jQuery-Code einfach direkt selbst zu hosten. Dass überhaupt so exzessiver Gebrauch von Javascript und jQuery gemacht wird, verstößt schon gegen das KISS-Prinzip. Zusätzlicher Code zu Verifikation wäre noch eine Steigerung des Ganzen. Nebenbei eröffnet man durch das Outsourcing auch unnötig Möglichkeiten, den Nutzer zu tracken. Es gibt ja noch viele andere Websites, die Inhalte von Cloudflare einbinden. Cloudflare bekommt also jedes Mal mit, wenn man eine dieser Webseiten aufruft.


      Zitat von Dr. Octagonapus

      Andere Frage: Meinst du den Missbrauch deiner Zugangsdaten für das Kundencenter? Hier sollte es doch reichen (wie so oft empfohlen) für alle Dienste einfach unterschiedliche Zugangsdaten zu entwenden. Dann kann ein Angreifer 'nur' online auf dein Kundencenter zugreifen

      Also ich weiß, dass congstar das Passwort im Klartext speichert, welches die Fritzbox zur Anmeldung beim Provider braucht (ein Mitarbeiter der Hotline hat es mir mal vorgelesen). Das ist zwar nicht das gleiche wie das, was zum Login bei meincongstar verwendet wird, aber sobald man eingeloggt ist, kann man ja das Zugangspasswort für die Fritzbox ändern. Theoretisch könnte ich wahrscheinlich einen Bekannten besuchen und in seine Fritzbox meine Zugangsdaten eingeben. Er bekäme dann eine IP-Adresse und könnte in meinem Namen das Internet nutzen, vorausgesetzt sein Hausverteiler ist so geschaltet, dass er zum Authentifizierungspunkt von congstar durchkommt. Vielleicht gibt es noch weitere Hürden, ich habe es selbstverständlich nicht ausprobiert.
      Worauf ich aber hinaus will: Man kann nicht einerseits vom Kunden verlangen, dass er seine Zugangsdaten streng geheim hält und andererseits selbst eine "Sicherheits"politik verfolgen, die ihren Namen nicht verdient.


      Zitat von Dr. Octagonapus

      (obwohl auch da ja noch die SSL-Verschlüsselung sein müsste bei der Übertragung der Daten an den congstar Server).

      Die SSL-Verschlüsselung nützt nichts, wenn dir der bei Cloudflare sitzende Angreifer Javascript-Code untergeschoben hat, mit dem dein Passwort abgegriffen wird, bevor es überhaupt übertragen wird.


      Zitat von Bea L.

      vielen Dank für dein Posting. Ich habe dieses direkt an unsere Datenschutzabteilung weitergeleitet, die sich direkt mit dir in Verbindung setzten werden.

      Ich hoffe, die Datenschutzabteilung wird sich hier im Forum dazu äußern. Ich möchte die Diskussion gerne öffentlich führen und schon gar nicht deswegen angerufen werden.

    • congstar Hilfe Team

      Beiträge : 1.657

      Hallo CsNewbie,


      ich habe eine Antwort erhalten:


      Zitat

      Die Aufbewahrung und die Nutzung von personenbezogenen Daten erfolgen in Einklang mit den technischen und organisatorischen Maßnahmen des Datenschutzes. Selbstverständlich hält sich congstar an die Vorschriften des Bundesdatenschutzgesetzes (BDSG). Die Einhaltung durch congstar wird durch die Bundesnetzagentur und die Bundesbeauftragte für Datenschutz und Informationsfreiheit regelmäßig überprüft.


      Gruß, Bea

      11871-congstarhilfe4-pngIch bin hier - um dir zu helfen!
      Damit ich auf dein Kundenkonto zugreifen darf, trage bitte deine Daten in dein Forenprofil ein.
      Gut zu wissen: Allgemeine Themen | Tarif- & Produktberatung | Homespot-Tarife | DSL & Festnetz | Handys
      Schau mal rein: Thema der Woche | Created | Facebook | Twitter | Instagram | YouTube

    • CsNewbie

      unregistrierter Benutzer (Gast)

      Ist ja schön, dass die Datenschutzleute von congstar antworten. Leider gehen sie mit ihrer Antwort in keiner Weise auf meine Kritik ein. Ein besserer Ansprechpartner wären vielleicht sowieso die Webentwickler, die sich um den Webauftritt von congstar kümmern, bzw. derjenige, der entscheidet, was die zu tun haben.

    • Kim S.

      unregistrierter Benutzer (Gast)

      Hallo CsNewbie,


      du hast natürlich Recht mit dem, was du sagst. Leider sind wir hier nicht die Datenschutzabteilung und auch nicht die Webentwickler, und können deswegen leider auch gerade nicht besonders viel dazu sagen.


      WIr haben über das von dir angemerkte viel hier gesprochen und können dir anbieten, dass wir das Ganze nochmals weiterleiten und die geeigneten Ansprachpartner würden sich dann per Email (über die hier im Forum hinterlegte Emailadresse) nochmal bei dir melden. Wäre das eine Vorgehensweise, mit der du einverstanden wärst?


      Gruß
      Kim S. :)

    • CsNewbie

      unregistrierter Benutzer (Gast)

      An die geeigneten Ansprechpartner weiterleiten finde ich gut. Ich verstehe nur nicht, warum das im Geheimen per E-Mail geschehen soll. Das betrifft doch nicht nur mich. So ziemlich jeder congstar-Kunde nutzt das meincongstar-Portal, also kann man das auch öffentlich hier im Forum diskutieren. Das Drängen auf E-Mail sieht für mich eher nach einem Versuch aus, das Thema für die Öffentlichkeit als erledigt aussehen zu lassen. Ich denke, die Webentwickler werden es schon hinbekommen, sich hier im Forum anzumelden (falls sie noch keinen Account haben), So schwierig ist das nicht.

    • CsNewbie

      unregistrierter Benutzer (Gast)

      Seit über zwei Wochen gab es nun keinerlei Reaktion. Stattdessen wurde das Thema als "erledigt" markiert. Es ist wirklich schade, dass man Kritik lieber ignoriert, statt auf sie einzugehen.

    • congstar Hilfe Team

      Beiträge : 1.657

      Hallo CsNewbie,


      entschuldige, dass du bisher noch keine Antwort erhalten hast. Wir hatten deine Antwort nochmal weitergegeben und erwartet, dass du bis jetzt auch kontaktiert wurdest.
      Wir haben jetzt noch einmal nachgehakt. Da heute allerdings schon Freitag ist, gehe ich davon aus, dass es diese Woche nichts mehr wird.
      Bitte hab noch etwas Geduld.


      Gruß, Bea

      11871-congstarhilfe4-pngIch bin hier - um dir zu helfen!
      Damit ich auf dein Kundenkonto zugreifen darf, trage bitte deine Daten in dein Forenprofil ein.
      Gut zu wissen: Allgemeine Themen | Tarif- & Produktberatung | Homespot-Tarife | DSL & Festnetz | Handys
      Schau mal rein: Thema der Woche | Created | Facebook | Twitter | Instagram | YouTube