ahnungslos20
-
Gesamte Inhalte
155 -
Benutzer seit
-
Letzter Besuch
Beiträge erstellt von ahnungslos20
-
-
Ich vermute mal, dass die Software von der Computerbild oder in deren Auftrag erstellt worden ist. Kann ich mir einfach nicht Vorstellen, dass ein Konzern wie Reiner SCT, mit so viel Erfahrung in diesem Bereich, plötzlich so grosse Schwachstellensoftware entwickelt haben soll.
Lauf About ist zumindest der Kartentresor von http://www.j3s.de/
Und die sagen auf ihrer Website
Die J3S GmbH Hamburg produziert individuelle Software Lösungen im Bereich Web- und .NET basierte Unternehmensanwendungen. Unsere Stärke ist es, Ihre Bedürfnisse und Anforderungen zu verstehen und diese in ideale Lösungen umzusetzen.Und es sieht so aus als habe ReinerSCT die Sache in Auftrag gegeben. Die Computer Bild hat da wohl nix mit zu tun.
Das ganze ist wohl auch nur als Demonstrationsmöglichkeit zu verstehen.
Klar, die wollten da ja nur etwas zupacken damit man sieht wofür man die LoginCard (die sie ja vermarkten wollen) noch so nutzen kann.
Aber da fehlt dann eindeutig der Hinweis das es nur Demo Apps sind, hier wird ja überall tatsächlich der Eindruck erweckt das die Programme ernstgemeint sind
cu
-
Wenn man für ca. 1x.000.000 € so eine Software produziert, dann ist das wirklich ein Skandal. Mann Mann ...
Das alles hat nix mit dem neuen Personalausweis zu tun.
Die LoginCard und die Software dazu ist ne kostenlose Zugabe zu dem Kartenlesegerät (von ReinerSCT so rein "privat" dazugelegt). Aber mit dem Ausweis hat das überhaupt nix zu tun.
Und 1x.000.000 € hat die bestimmt nicht gekostet, da wird sich nen Praktikant kostenneutral ausgetobt haben.
Wobei ich auch denke das man bei dieser Softwarequalität besser auf die Zugabe verzichtet hätte.
(BTW: Das bezieht sich auf die nicht OWOK Software (Tresor, Login, Safe), bei der OWOK Software scheint einwenig mehr Mühe drinzustecken)
cu
-
NWas soll der Scheiß immer so unausgegorene Produkte auf den Markt zu bringen und die Verbraucher als "Versuchskanickel" zu missbrauchen??
Das sind die üblichen Probleme die sich ergeben wenn man versucht im Web proprietäre Techniken einzusetzen.
Es gibt halt unendlich viele Möglichkeiten im Web unterwegs zu sein, funktioniert eine Seite dann nur mit wenigen ganz bestimmten Browsern (in ganz bestimmten Versionen), die auch noch ganz bestimmt konfiguriert sein müssen, dann kann das nur schief gehen.
cu
-
ok, denn ich habe hier noch einen werksauswies (hybrid, also chip und kontaktlos) und wenn man diesen einlegt erkennt er keine karte.
Naja, ohne passende Software für diese Karte gibts da auch nix zu erkennen. Weil was soll da schon groß passieren wenn du da irgendeine Karte auflegst?
Erst wenn die Karte (die ja auch die richtige Frequenz haben muss) in passender Testsoftware keinen ATS rauswirft (oder in der "Werksausweissoftware" nicht erkannt wird) kann man anfangen zu vermuten das der Leser hier eingeschränkt ist.
cu
-
JA, jeder normale Benutzer kann die Passwörter einsehen!
Dann ist das in der Tat ein sehr schwerer Bug.
ReinerSCT sollte sich überlegen ob sie mit solchen Aktionen (schnell zusammengeflickte Programme als Zugabe) nicht ihren Ruf ruinieren. Immerhin verdienen sie ihr Geld mit sicherheitsrelevanter Hard-/Software.
Hast du Skype? Wenn ja, könnte ich dich mal kontaktieren und dir das Programm zeigen und dass es unter jedem Nutzer funktioniert!Ich glaube dir das schon. Es war nur nicht von Anfang an deutlich das das auch in Useraccounts mit eingeschränkten Rechten funktioniert (das ist ja IMHO der entschiedene Punkt).
cu
-
falsch, jeder Ottonormal-Computer-Bild-Spiele-Leser kann an diesen Registry-Eintrag kommen!!!
Welche Zeitschriften jemand liest oder wie normal er ist ist dabei eigentlich egal
Entscheidend ist welche Zugriffsrechte man benötigt um diesen Registryschlüssel auszulesen D.h., funktioniert dein Programm auch wenn sich jemand unter einem Account mit eingeschränkten Rechten einloggt? Wenn ja dann ist WINLOGIN definitiv fahrlässig dämlich programmiert, wenn nein dann gibts hier (zumindest hier, das das Programm generell ziemlich schlecht ist ist ja klar) keine Probleme.
cu
-
Laut Forum ist das der korrekte Weg zum Austausch: http://www.reiner-sct.com/content/view/220/
Aber probiere doch sicherheitshalber mal was passiert wenn du den Kartenleser an nem anderen Windows PC ansteckst.
cu
-
Naja, wenn Windows noch nicht mal ein eingestecktes USB Gerät erkennt (also irgendwas tut wenn du es einsteckst), dann ist das Gerät wohl defekt.
Kann aber auch sein das Win es anfangs als unbekanntest Gerät eingetragen hat, dann solltest du mal im Gerätemanager diesen Eintrag löschen. Dann sollte Win wieder versuchen den Treiber zu installieren.
Das gilt aber allgemein für Probleme mit USB Geräte aller Art.
Der perfekte Test ist übrigens eine Linux Live Boot CD. Wenn du Linux bootest dann siehst du perfekt ob ein USB Gerät sich korrekt meldet (in der Console "dmesg" eingeben. Da steht dann das ein USB gerät mit Namen XY angesteckt wurde).
Unter Windows kann durchaus mal die ganze USB Geschichte so durcheinander kommen das auch korrekte USB Geräte nicht mehr erkannt werden.
cu
-
z. B. die Passwörter (verschlüsselt, aber umkehrbar) in der Registry gespeichert! Ich meine, klar, das Programm muss die ja irgentwo speichern
Aber um die auszulesen muss man als Admin eingeloggt sein, und wenn man eh als Admin eingeloggt ist, dann ist es auch egal das man die Passwörter auslesen kann
Oder speichert das Programm die Paswörter mit falschen Zugriffsrechten in der Registry so das jeder darauf zugreifen kann?
Ich meine, klar, das Programm muss die ja irgentwo speichern
Ebend, diese Art Programme muss ja die Passwörter haben. Und egal wie sie gespeichert werden, man wird sie immer auslesen können.
Denn selbst wenn das Programm sie sicher verschlüsselt, der Schlüssel zum entschlüsseln steht dann ja auch zwangsläufig im Programm. Und da reicht es wenn nur ein begabter Hacker raus findet wie, und er schreibt nen Programm was sie ausliest, dann kommt jeder Depp an die Passwörter sofern er Zugriffsrechte auf die Passwortdateien hat.
Die Sicherheit des gesamten Windowssystems hängt halt davon ab das niemand an die Dateien (deren Inhalt normale User nix angeht) kommt. Dazu gehört aber auch das man sicherstellt das niemand mal schnell die HDD ausbauen kann, oder mal schnell von einem Wechseldatenträger booten kann.
cu
-
ausserdem ist ist Firefox von seiner leistung besser
Naja, wenn "träge rumeiern" als Leistung zählt
Jedesmal wenn ich es probierte war Opera bei mir am schnellsten. Firefox war da immer irgendwie lahm und träge.cu
-
Ein Reader ist erstmal nur "dumm", der kontaktiert nur die Karte, sonst passiert da nix weiter. Also ist es dem Reader vollkommen egal was da für ne Karte drinliegt oder was für eine Software du für die Karte nutzt.
cu
-
Unter Systemsteuerung -> System -Y Gerätemanager wird sie ja korrekt erkannt.
Nein, dort wird der Kartenleser erkannt (nicht die Karte). Aber der Kartenleser ist ja "dumm". Der verbindet ja nur Software mit der aufgelegten Karte.
Windows braucht für seine SmartCard Funktionen eine spezielle Art von SmartCard und dazu (also zu dieser speziellen SmartCard) einen extra "Treiber".
Homebanking geht ja auch nur mit HBCI Karten und nicht mit der Krankenkassenkarte
Und genauso gehen die Windows SmartCard Sachen nur mit ner Windows SmartCard (gibts von div. Herstellern, weiss nur nicht ob auch schon als RFID oder nur als Chipkarte) und nicht mit der LoginCard oder dem Personalausweis.
cu
-
lässt sich für die Windows eigene SmartCard funktion die Karte auch hinterlegen? (>Wo?)
Nein, die Antwort von ReinerSCT gabs hier http://forum.reiner-sct.com/index.php?/topic/2181-cyberjack-basis-und-logincard-mit-truecrypt-benutzen/page__view__findpost__p__3005
cu
-
Das Login per LoginCard ist eine ReinerSCT eigene Losung (die auch wirklich nur das Login kann). Mit den Windows eigenen SmartCard Funktionen hat das nix zu tun, deswegen gehen mit der LoginCard die Windows eigenen SmartCard Funktionen nicht.
cu
-
Cool jetzt wird MEIN Post hier schon verlinkt
Lustig Lustig....Interessiert die die CardID eigentlich noch (weil du dort in diesem Thread nach fragst)?
Das Script für das Programm ChipcardMaster zeigt die Karten ID.
(Leser wählen, Karte einlegen (Fehlermeldung ignorieren), Script wählen und auf "VBScript" wechseln)
'Chipcard master Script 10.12.2010 01:39:05'--------------------------------------------------
xoutlv = 2
xsend "60"
xecho xresp
xecho xrlen
xecho xhexf(xsw)
xsend "AF"
xecho xresp
xecho xrlen
xecho xhexf(xsw)
xsend "AF"
xecho xresp
xecho xrlen
xecho xhexf(xsw)
(hier sehr gut erklärt: http://ridrix.wordpress.com/2009/09/19/mifare-desfire-communication-example/ )
Das gibt Karten und Softwareversion, Herstellungswoche/-Jahr und die zwei Seriennummern.
Ne direkte PC/SC Ansteuerung per VB sollte ja machbar sein.
cu
-
Hier wurde gesagt (von ReinerSCT selber) das es das Plugin unter Opera nicht geben wird da Opera keine Plugin Events (?) unterstützt.
Wenn Opera da in neueren Versionen nix ändert scheint da also nix in dieser Richtung zu passieren.
cu
-
WinXP hat den CCID Treiber noch nicht dabei. Den gibts hier http://www.reiner-sct.com/content/view/218/
cu
-
danke für den link. 2011 ist recht ungenau. kann man schon genauer sagen wann?
Die Infos hier tröpfeln recht träge
eine weitere frage: kann der reader aus dem Cb-bundle auch mit anderen kontakloskarten (zb http://www.cryptoshop.com/index.php)?
Versuch macht klug
Einige hier berichten das der Reader nicht alle Karten liest. Es wird eine Art SIM lock vermutet. Aber hierzu gibts AFAIK noch keine Aussagen.
cu
-
Hier gabs schonmal eine Antwort von ReinerSCT dazu http://forum.reiner-sct.com/index.php?/topic/2181-cyberjack-basis-und-logincard-mit-truecrypt-benutzen/page__view__findpost__p__3005
cu
-
Man munkelt das der Leser auf bestimmte Karten festgelegt ist (Halt so in der Art eines SIM locks wie mans von Handys kennt). Hier gab es vermehrt Meldungen das dieser Leser Karten nicht liest, die das Konkurrenzprodukt (was andere kostenlos verteilen) problemlos lesen kann.
Ne offizielle Aussage dazu steht noch aus. Die offizielle Aussage ist bissher das alle Karten nach ISO 14443 A/B funktionieren sollen (wäre auch die Frage ob deine LEGIC Karte das ist).
cu
-
Aber kann ich die Karte auch zum bestätigen nehmen wenn ich zb: ein Programm als Admin ausführen möchte?
Dann werde ja ich von Windows 7 nach dem Admin Passwort gefragt.
Windows braucht einen speziellen Kartentyp für seine SmartCard Funktionen (Windows Anmeldung, Admin bestätigen usw.). Mit der LoginCard geht das nicht.
Das Windows Logon Programm von ReinerSCT nutzt ja nicht die Funktionen, die Windows für die SmartCard Anmeldung bereitstellt sondern bastelt da was eigenes.
Also nein, das geht nicht.
cu
-
Was hat das mit dem Ausweis zu tun?
Hier gibts ein universelles (mehr oder weniger, es besteht ja die Vermutung das es künstlich auf bestimmte Karten (Personalausweis, OWOK Karte) beschränkt ist) PC/SC Lesegerät für einen bestimmte RFID Kartentyp inklusive dem PC/SC Windows Treiber (damit funktioniert jede PC/SC Kompatible Software zum Zugriff auf die Karten).
Dann gibts den Ausweis und die Ausweis App (die ist ja nicht von ReinerSCT).
Das alles funktioniert und hierfür brauchts auch keine weitere Software oder weitere Infos von ReinerSCT.
D.h. mit dem Lesegerät und dem funktionierenden Treiber kannst du die Ausweis App und damit den Ausweis problemlos nutzen. Und darum gehts ja eigentlich bei dieser Aktion.
UND DANN gibts noch die OWOK light Karte (die es halt als Zugabe dabei lag weil ReinerSCT die Gelegenheit nutzte die gleich mit unters Volk zu bringen), und für diese und für die Integration der OWAK Web Aplikationen in eigene Web Seiten fehlt noch die API.
Wobei OWAK und die OWAK light (Login) Karte mittlerweile nicht mehr so interessant scheinen. Also kannst du die auch beruhigt wegwerfen und dir keine Gedanken mehr drum machen. Und alle Probleme/Wünsche die es hier im Forum gibt drehen sich ja nur um die LoginCard und die damit verbundene Software (OWOK Plugin, Kartentresor, WinLogin usw.).
Fürs Windows Login, TrueCrypt, GPG, Browserpasswörter und weiteres gibts auch Karten/Software von anderen Herstellern. Wenn dich das interessiert dann nutze besser diese.
Weil diese LoginCard Sache scheint doch wirklich nen ziemlicher Schnellschuss gewesen zu sein (scheint doch irgendwie mal schnell für diese Aktion mit der heißen Nadel zusammengeflickt, evtl. gabs zuwenig Vorlaufszeit?).
cu
-
Auf der Karte wird von winlogon nix verändert. Funktioniert der Kartenleser denn generell (Kartentresor oder per Browser Plugin)?
cu
-
@virtualmarc: schon mal daran gedacht das reverse enginering eine kriminelle sache ist und gesetzlich bestraft werden kann?!
In diesen Fall wäre es aber sogar erwünscht wenn Leute durch solche Versuche die Sicherheit des Systems testen.
Wobei hier einige da wirklich zu naiv rangehen. Der ganze Sinn so einer Karte ist es ja zu verhindern das Leute direkt an die Daten in der Karte rankommen. Das scheint einigen nicht bewust zu sein.
cu
Computersperre leicht zu umgehen
in Anwendungen
Geschrieben
Da magst du durchaus recht haben. Was mich aber wundert ist das sie ja selber ne entsprechende Software am Markt haben https://www.chipkartenleser-shop.de/shop/rsct/article/1609 Und die ist vermutlich nicht so grottig (hoffe ich zumindest
).
Da hätte ich dann doch erwartet das sie diese auf die LoginCard limitieren und als Light dazupacken (wäre doch auch ne gute Werbung). Schon seltsam das extra für diese Aktion schnell was anderes zusammengefummelt wurde.
cu