[Voip] neue VOIP Datenbank in Betrieb, entkoppelt vom redeemer

Fri Aug 15 11:27:58 CEST 2014

Am 2014-08-14 um 23:00 schrieb Otmar Lendl:
> Sip verwendet normalerweise digest auch, Dh auch bei clear text sip 
> geht das Passwort nicht einfach so über das kabel.
>
> Wenn da jemand aber mitlauscht, kann er den md5 brute forcen, deswegen 
> sind *gute* Passwörter wichtig.
Wenn ich es richtig lese, dann wird die Wahl eines Cleartext-Passworts, 
zum Beispiel in Form von SIP-URLs in RFC3261 (19.1.1) zwar abgelehnt, 
aber nicht verboten.

/ password: A password associated with the user.  While the SIP and//
//         SIPS URI syntax allows this field to be present, its use is NOT//
//         RECOMMENDED, because the passing of authentication information//
//         in clear text (such as URIs) has proven to be a security risk//
//         in almost every case where it has been used.  For instance,//
//         transporting a PIN number in this field exposes the PIN./

D.h. verwendet ein Endgerät diese Variante, gibt es ein Problem, gegen 
das auch ein langes, gutes Passwort nur wenig hilft.
Neuere Geräte tun das hoffentlich nicht.

In den Updates bis inḱlusive 6878 finde ich auf die Schnelle nichts dazu.

Ich wäre Dir dankbar, wenn Du u.U. eine Risikobewertung zur Verbreitung 
solcher Geräte im Rahmen von cert.at vornehmen könntest.
Voip-Hardware kostet immerhin ein wenig, aber mit Updates schaut es im 
Billigsegment und im mittleren Segment teilweise nicht rosig aus.

>
> Da Passwort re-use erst recht böse ist, machen anbieterseitig 
> vergebene viel Sinn.
Die Möglichkeit eines re-use impliziert nicht, dass er auch stattfindet. 
pwgen können die meisten User hier selbst bedienen.
Irreführend ist, dass beim Einrichten eines Accounts zuvor eine Eingabe 
möglich war, diese jedoch im Webinterface später "upgedated" wurde.
-15 Minuten Lebenszeit für vermeidbare Bugs.
>
> /ol
>

LG
Erich

> -- 
> -=- Otmar Lendl -- (spam-protected) -- http://lendl.priv.at/ -=-
> *Von: *Erich N. Pekarek
> *Gesendet: *Mittwoch, 13. August 2014 22:47
> *An: *(spam-protected)
> *Betreff: *Re: [Voip] neue VOIP Datenbank in Betrieb, entkoppelt vom 
> redeemer
>
>
> Hallo!
>
> Am 2014-08-13 um 20:39 schrieb Christoph Loesch:
>> On 08/13/2014 11:04 AM, Stefan Schultheis (home) wrote:
>>> Hallo!
>>>
>>> Auch ein Danke von mir, schaut super aus!
> Ich finde es auch ganz nett! *gg*
>     User Agent +++
>
> Danke!
>
> Für die Perfektionisten hätte ich noch Vorschläge zum Überdenken:
>     Ein wenig holprig ist das mehrfach nötige Login.
>     Das Setzen eines eigenen Passworts ist besser als Eyecandy.
>     Automatische generiere Passwörter sind wertlos, wenn sie im 
> Klartext übertragen werden.
>     Die User-ID bei "last seen" im Telefonbuch auszugeben ist 
> vielleicht auch keine so tolle Idee.
>     Für die Laien: was ist "force_rport,comedia"
>     Das Suchen der richtigen Settings kann je nach Device mühsam sein. 
> (Random Port oder nicht?, SIP Secure oder nicht?) -> bitte Dokumentation.
>
> Frage: Was ist mit ENUM?
> http://www.enum.at/
>
> Zitat: "
>
> 2014-06-13: Die enum.at GmbH hat den Vertrag zum Betrieb der ENUM 
> Registry für +43 mit Ende 2014 gekündigt. Für weitere Informationen 
> und über die weitere Zukunft von ENUM informieren Sie sich bitte bei 
> der RTR:
>
> https://www.rtr.at/de/tk/ENUM
>
>  "
>
>>>
>>> Habt ihr konkrete Pläne (= in absehbarer Zeit), auch das 
>>> Telefonieren ins Festnetz wieder zu aktivieren?
>> allgemein wollen wir alles aktivieren was keine kosten verursachen 
>> könnte (wegen fraudmöglichkeiten).
>> wir überlegen seit längerem ausgehende anrufe zu realisieren, nur 
>> sind wir bisher auf keine optimale möglichkeit gekommen die uns 
>> nichts oder nur fast nichts kostet.
>> ideen/vorschläge sind immer gerne gesehen ;)
> Ähm? Alle Vorschläge? Wirklich?
>
> Wie wäre das Folgende:
>    1. Wer raustelefonieren dürfen will, zahlt aufs Vereinskonto einen 
> Beitrag von € 1-3/Monat.
>    2. Mit dem Guthaben wir ein Prepaid-Account angelegt (Betamax o.ä. 
> mit Sip-Support) [Vorsicht: nicht alle Marken können das]. Wenn's aus 
> ist, ist's aus.
>    3. Accounting läuft intern mit.
>    4. Abrechnung intern hernach.
>
> Wer mehr braucht, soll einen eigenen Sip-Account nehmen - und falls 
> möglich - mit seinem 0xFF-Account ausgehend verknüpfen.
>
> Alternative:
>     Funkfeuer vertreibt als Reseller selbst solche Prepaid-Accounts an 
> die Mitglieder, die zahlen selbst, und Funkfeuer erhält womöglich noch 
> eine Provision.
>     Die Accounts könnten wie oben beschrieben über 0xFF 
> Voip-Verwaltung an den User geknüpft ausgehend eingebunden werden.
>
> Die wirklich günstigen wie Voipyo funktionieren halt damit nicht - 
> proprietär/eigene App.
>
>
>> lg
>>
>>>
>>> Danke,
>>> LgS
>>>
>>>
>>>
>>> Am 13. August 2014 08:22 schrieb Franz <(spam-protected) 
>>> <mailto:(spam-protected)>>:
>>>
>>>     hi chris
>>>
>>>     hab heute wiedereinmal ein bisserl in der  VOIP DB herumgewühlt.
>>>     du hast das so toll hinbekommen. ich mag die Zusatzinfos die du
>>>     lieferst !
>>>     echt cool !!!
>>>
>>>     ich bin froh dass das voip service nun wieder so stabil
>>>     funktioniert, und in vielen bereichen besser als das alte !!!
>>>
>>>     dank deiner und Davids aktivitaet !!
>>>
>>>     ciao
>>>     franz
>>>
>>>
>>>
>>>
>>>     _______________________________________________
>>>     Voip mailing list
>>>     (spam-protected) <mailto:(spam-protected)>
>>>     https://lists.funkfeuer.at/mailman/listinfo/voip
>>>
>>>
>>
>>
>> -- 
>> Freundliche Gruesse / Best regards
>> Christoph Loesch <https://www.chil.at/>
>>
>>
>> _______________________________________________
>> Voip mailing list
>> (spam-protected)
>> https://lists.funkfeuer.at/mailman/listinfo/voip
> LG
> Erich
>

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.funkfeuer.at/pipermail/voip/attachments/20140815/9171de32/attachment.html>