<html>
<head>
<meta content="text/html; charset=ISO-8859-1"
http-equiv="Content-Type">
</head>
<body bgcolor="#FFFFFF" text="#000000">
<div class="moz-cite-prefix">Lieber Joe!<br>
<br>
Du verkennst die Situation:<br>
<br>
1. Ich habe gestern auch mit Christoph persönlich darüber
gesprochen - die Situation stellt sich völlig anders dar. Mehr
dazu unten.<br>
2. Matthias Argumente sind berechtigt; sein Input aus anderen
Projekten ist sicher wertvoll für das VoIP-Team.<br>
3. Um Sicherheitslücken ging es nie, sondern um ein in sich
widersprüchliches Nutzungsparadigma, das sich als Workaround
herausgestellt hat, aber anscheinend bei der Nutzung Probleme
bereitet. Die Passwörter sind nämlich nicht ernsthaft sicherer.
Ein Problem sind jedoch Trivialpasswörter, wo tatsächlich
Handlungsbedarf besteht. Eine Abrissbirne ist aber kein Skalpell.<br>
<br>
Hierbei Feedback zu geben, finde ich, ist legitim und wir haben
dies gestern auch schon mündlich geklärt.<br>
Dein Ordnungsruf in Unkenntnis des Sachverhalts ist daher nicht
angebracht. - Pardon!<br>
<br>
LG<br>
Erich<br>
<br>
P.S.:<br>
"Unten":<br>
Es geht um die automatische Generierung von überlangen
Passwörtern, die über SIP/SDP übertragen gerade so sicher sind wie
einige kürzere.<br>
Es geht darum, dass das VoIP-Team mit der Redeemer-DB und deren
Struktur Probleme und fehlende Zugriffsrechte hat. (Joe, dafür zu
sorgen, dass das Team Zugriffsberechtigungen im erforderlichen
Ausmaß erhält, ist Deine Aufgabe...)<br>
Der kritisierte Workaround besteht darin, dass ein User zunächst
ein Passwort selbst setzen kann, dieses aber kurz darauf vom
System überschrieben wird (ersetzt durch ein längeres), womit User
schlicht nicht rechnen. Das Ergebnis ist Frustration bei der
Einrichtung. Du bist selbst erklärter Gegner solcher
Usability-Pannen.<br>
Diese längeren Passwörter sind auf älteren Geräten kaum
einzugeben.<br>
Die Alternative, Verschlüsselung, ist auf älteren Geräten
ebenfalls ein Problem.<br>
Die Behauptung, dass ein geplantes Feature (das aber mit einigen
dieser Geräte Probleme macht), die Lösung sei, ist schlicht
unrichtig.<br>
Ebenso ist es unrichtig, dass ein geplantes Feature zum jetzigen
Zeitpunkt einen validen Lösungsweg darstellt.<br>
<br>
Und auf manche Probleme kommt man erst später drauf... dann aber
sollte man sie trotzdem ernst nehmen, vor allem, wenn die
Usability oder die Kompatbilität - oder wie hier: beides -
darunter leidet. "Jetzt erst recht", "Augen zu und durch", etc.
ist die falsche Reaktion.<br>
Deine Appeasement-Politik, wie auch im angesprochenen v6-Prozess,
wo es aber weniger kritisch war als viel mehr schlicht ineffizient
und nicht auf tatsächliche Bedürfnisse abgestimmt, halte ich für
äußerst kurzsichtig. Man sollte über Probleme reden und gemeinsam
eine Lösung suchen. Die jetzt angesprochenen Probleme waren dem
Team wohl bereits bekannt oder aber vorhersehbar und sie standen,
laut meiner Information auch schon mehrfach zur Diskussion: teils
in privaten Gesprächen, teils auf dieser Liste.<br>
<br>
Du bist ersucht, dem Team die Mittel zu geben, dass es seine
Arbeit richtig machen kann. Ein Peer-Review der Ergebnisse ist
spätestens an den Testtagen möglich, anzuraten wäre ein bereits
früheres Review durch Core-Mitglieder.<br>
<br>
<br>
SG, not amused.<br>
Erich<br>
<br>
Am 2014-03-17 10:33, schrieb Josef Semler:<br>
</div>
<blockquote
cite="mid:CAPsaeQOyJRCGMKBn7hJmSPn0pzaJR--Bp15fj7cXF-dcoMn2Mg@mail.gmail.com"
type="cite">
<div dir="ltr">Hallo Leute,
<div lang="de-DE">ihr erlaubt mir hier einen Kommentar, der eher
die Metaebene dieser Diskussion, als das Thema selbst
behandelt, auch wenn es nicht zum Focus DIESER LISTE gehört.</div>
<div lang="de-DE">
<br>
</div>
<div lang="de-DE">Was wir schon bei unserer sehr erfolgreichen
IPv6-Arbeitsgruppe bemerkt haben setzt sich hier fort. - Es
scheint somit, dass es sich hierbei um ein generelles Problem
unserer Community handelt, das wir beseitigen müssen.<br>
</div>
<div lang="de-DE">Es kann, so wie Chris schon sehr klar erklärt
hat, nicht sein, dass sich eine Gruppe einem Problem annimmt,
das Konzept bei den Testtagen vorstellt und Applaus erntet,
MEHRMALS um Mitarbeit und Info bittet und dann wenn alles fast
fertig ist, für das Erreichte kritisiert und gescholten wird.</div>
<div lang="de-DE"><br>
</div>
<div lang="de-DE"><b>Das darf nicht sein! Dagegen spreche ich
mich aus! </b></div>
<div lang="de-DE">Chris, David und Franz werden bei den
Testtagen die Gelegenheit haben, den Dienst in seiner
aktuellen Version samt Ausblick auf die Zukunft vorzustellen
und ich bin sicher, dass sie für Verbesserungsvorschläge ein
offenes Ohr haben. Davon gehe ich aus so wie ich die
beteiligten Personen kenne.</div>
<div lang="de-DE">Was keiner hier braucht sind diese ständige
Unkenrufe, was wir nicht alles besser machen hätten können,
welches Sicherheitslückerl es geben könnte oder welchen
Standard wir verletzt haben um die letzten 0,3% bis zur zu
Vollkommenheit zu erreichen. Wenn wir so agieren, wird nie was
fertig und die letzten, die Engagement zeigen, rennen uns auch
noch davon. </div>
<div lang="de-DE"><br>
</div>
<div lang="de-DE">Also lasst das VoIP-Team Ihre tolle Arbeit
beenden. Bringt selbst eine Projektidee ein, stellt sie vor
und bringt sie vor allem zum Abschluss! Nur so können wir als
Community wachsen und besser werden. </div>
<div lang="de-DE"><br>
</div>
<div lang="de-DE">Euer JoeSemler</div>
<div lang="de-DE"> <br>
<div class="gmail_extra" lang="de-DE"><br>
<br>
<div class="gmail_quote">Am 16. März 2014 23:28 schrieb
Erich N. Pekarek <span dir="ltr"><<a
moz-do-not-send="true" href="mailto:erich@pekarek.at"
target="_blank">erich@pekarek.at</a>></span>:<br>
<blockquote class="gmail_quote" style="margin:0 0 0
.8ex;border-left:1px #ccc solid;padding-left:1ex">
<div bgcolor="#FFFFFF" text="#000000">
<div>Am 2014-03-16 22:03, schrieb Christoph Loesch:<br>
</div>
<div class="">
<blockquote type="cite"> <br>
-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA1<br>
<br>
<sarkasm><br>
ich liebe solche (sarkastischen) meldungen während
des aufbaus eines (bzw wiederbelebung des lange
toten) services. vor allem die, die uninformiert
sind darüber das da eh srtp angedacht ist!<br>
</sarkasm><br>
<br>
</blockquote>
</div>
Das nennt man wohl dann das "Konzept von der
Behauptung der gegenwärtig-faktischen Existenz
antizipierter Features". :-D<br>
Siehe privates Mail von vorhin ;-)
<div class=""><br>
<br>
um das topic abzuschliessen:<br>
<blockquote type="cite"> nichts für ungut freunde,
lange hats bis auf evtl 2-3 personen niemanden
interessiert was mit dem voip service ist. jetzt
wo sich wieder motivierte personen gefunden haben,
legt uns bitte nicht extra steine in den weg
sondern gebt uns die chance den service soweit
möglich (und sinnvoll) mal auf einen grundsätzlich
verwendbaren zustand zu bringen damit man darauf
dann weiteres aufbauen kann. :) wir haben (beim
anfänglichen planen) öfters nach input gefragt wo
so gut wie keine reaktion zurück kam, also muss
man verstehen dass man mit input bzgl
grundsätzlicher dinge jetzt ein bisschen spät dran
ist..<br>
<br>
just my 2 cent ;)<br>
</blockquote>
</div>
;-)<br>
<br>
Machen wir vier Cent draus:<br>
<br>
Grundsätzlich darf man davon ausgehen, dass
Verschlüsselung kein nice to have ist, sondern als ein
must have zu deuten ist.<br>
Dass der Service VoIP bei Funkfeuer länger nicht zu
gebrauchen war, ist neben anderen Umständen wohl auch
dem Umstand zu "verdanken", dass dies früher nicht so
gehandhabt wurde.<br>
Es ist mir bewusst, dass einige, insbesondere ältere,
Hardwarephones mit Verschlüsselung ihre liebe Not
haben. Aber gerade in diesen Fällen nützt ein langes
Passwort, wie Matthias schon festgestellt hat, umso
weniger - und sicherer wird es damit auch nicht. :)<br>
Der Umstand, dass die Reaktionen auf die Planung
gering ausgefallen sind, ist wohl Eurem
professionellen Auftreten während der letzten Testtage
geschuldet. *schmeichel*<br>
<br>
Alles Weitere wie heute besprochen! Danke, für die
Erläuterung der näheren Umstände und weiter so!<br>
Ist Markit auf dieser Liste? Wenn ja: Bitte, lieber
Markus, unterstütze die VoIPer beim Implementieren
einer alltagstauglicheren Lösung (DB-seitig).</div>
</blockquote>
</div>
<div><br>
</div>
-- <br>
<div dir="ltr">
<div>Mit lieben Gruß</div>
<a moz-do-not-send="true"
href="https://www.xing.com/profile/Josef_Semler"
target="_blank">Joe Semler</a><br>
<div><br>
</div>
</div>
</div>
</div>
</div>
<br>
<fieldset class="mimeAttachmentHeader"></fieldset>
<br>
<pre wrap="">_______________________________________________
Voip mailing list
<a class="moz-txt-link-abbreviated" href="mailto:Voip@lists.funkfeuer.at">Voip@lists.funkfeuer.at</a>
<a class="moz-txt-link-freetext" href="https://lists.funkfeuer.at/mailman/listinfo/voip">https://lists.funkfeuer.at/mailman/listinfo/voip</a></pre>
</blockquote>
<br>
</body>
</html>