[Voip] kurze Durchwahlen

Erich N. Pekarek (spam-protected)
Mon Mar 17 11:02:15 CET 2014 

Lieber Joe!

Du verkennst die Situation:

1. Ich habe gestern auch mit Christoph persönlich darüber gesprochen - 
die Situation stellt sich völlig anders dar. Mehr dazu unten.
2. Matthias Argumente sind berechtigt; sein Input aus anderen Projekten 
ist sicher wertvoll für das VoIP-Team.
3. Um Sicherheitslücken ging es nie, sondern um ein in sich 
widersprüchliches Nutzungsparadigma, das sich als Workaround 
herausgestellt hat, aber anscheinend bei der Nutzung Probleme bereitet. 
Die Passwörter sind nämlich nicht ernsthaft sicherer. Ein Problem sind 
jedoch Trivialpasswörter, wo tatsächlich Handlungsbedarf besteht. Eine 
Abrissbirne ist aber kein Skalpell.

Hierbei Feedback zu geben, finde ich, ist legitim und wir haben dies 
gestern auch schon mündlich geklärt.
Dein Ordnungsruf in Unkenntnis des Sachverhalts ist daher nicht 
angebracht. - Pardon!

LG
Erich

P.S.:
"Unten":
Es geht um die automatische Generierung von überlangen Passwörtern, die 
über SIP/SDP übertragen gerade so sicher sind wie einige kürzere.
Es geht darum, dass das VoIP-Team mit der Redeemer-DB und deren Struktur 
Probleme und fehlende Zugriffsrechte hat. (Joe, dafür zu sorgen, dass 
das Team Zugriffsberechtigungen im erforderlichen Ausmaß erhält, ist 
Deine Aufgabe...)
Der kritisierte Workaround besteht darin, dass ein User zunächst ein 
Passwort selbst setzen kann, dieses aber kurz darauf vom System 
überschrieben wird (ersetzt durch ein längeres), womit User schlicht 
nicht rechnen. Das Ergebnis ist Frustration bei der Einrichtung. Du bist 
selbst erklärter Gegner solcher Usability-Pannen.
Diese längeren Passwörter sind auf älteren Geräten kaum einzugeben.
Die Alternative, Verschlüsselung, ist auf älteren Geräten ebenfalls ein 
Problem.
Die Behauptung, dass ein geplantes Feature (das aber mit einigen dieser 
Geräte Probleme macht), die Lösung sei, ist schlicht unrichtig.
Ebenso ist es unrichtig, dass ein geplantes Feature zum jetzigen 
Zeitpunkt einen validen Lösungsweg darstellt.

Und auf manche Probleme kommt man erst später drauf... dann aber sollte 
man sie trotzdem ernst nehmen, vor allem, wenn die Usability oder die 
Kompatbilität - oder wie hier: beides - darunter leidet. "Jetzt erst 
recht", "Augen zu und durch", etc. ist die falsche Reaktion.
Deine Appeasement-Politik, wie auch im angesprochenen v6-Prozess, wo es 
aber weniger kritisch war als viel mehr schlicht ineffizient und nicht 
auf tatsächliche Bedürfnisse abgestimmt, halte ich für äußerst 
kurzsichtig. Man sollte über Probleme reden und gemeinsam eine Lösung 
suchen. Die jetzt angesprochenen Probleme waren dem Team wohl bereits 
bekannt oder aber vorhersehbar und sie standen, laut meiner Information 
auch schon mehrfach zur Diskussion: teils in privaten Gesprächen, teils 
auf dieser Liste.

Du bist ersucht, dem Team die Mittel zu geben, dass es seine Arbeit 
richtig machen kann. Ein Peer-Review der Ergebnisse ist spätestens an 
den Testtagen möglich, anzuraten wäre ein bereits früheres Review durch 
Core-Mitglieder.


SG, not amused.
Erich

Am 2014-03-17 10:33, schrieb Josef Semler:
> Hallo Leute,
> ihr erlaubt mir hier einen Kommentar, der eher die Metaebene dieser 
> Diskussion, als das Thema selbst behandelt, auch wenn es nicht zum 
> Focus DIESER LISTE gehört.
>
> Was wir schon bei unserer sehr erfolgreichen IPv6-Arbeitsgruppe 
> bemerkt haben setzt sich hier fort. - Es scheint somit, dass es sich 
> hierbei um ein generelles Problem unserer Community handelt, das wir 
> beseitigen müssen.
> Es kann, so wie Chris schon sehr klar erklärt hat, nicht sein, dass 
> sich eine Gruppe einem Problem annimmt, das Konzept bei den Testtagen 
> vorstellt und Applaus erntet, MEHRMALS um Mitarbeit und Info bittet 
> und dann wenn alles fast fertig ist, für das Erreichte kritisiert und 
> gescholten wird.
>
> *Das darf nicht sein! Dagegen spreche ich mich aus! *
> Chris, David und Franz werden bei den Testtagen die Gelegenheit haben, 
> den Dienst in seiner aktuellen Version samt Ausblick auf die Zukunft 
> vorzustellen und ich bin sicher, dass sie für Verbesserungsvorschläge 
> ein offenes Ohr haben. Davon gehe ich aus so wie ich die beteiligten 
> Personen kenne.
> Was keiner hier braucht sind diese ständige Unkenrufe, was wir nicht 
> alles besser machen hätten können, welches Sicherheitslückerl es geben 
> könnte oder welchen Standard wir verletzt haben um die letzten 0,3% 
> bis zur zu Vollkommenheit zu erreichen. Wenn wir so agieren, wird nie 
> was fertig und die letzten, die Engagement zeigen, rennen uns auch 
> noch davon.
>
> Also lasst das VoIP-Team Ihre tolle Arbeit beenden. Bringt selbst eine 
> Projektidee ein, stellt sie vor und bringt sie vor allem zum 
> Abschluss! Nur so können wir als Community wachsen und besser werden.
>
> Euer JoeSemler
>
>
>
> Am 16. März 2014 23:28 schrieb Erich N. Pekarek <(spam-protected) 
> <mailto:(spam-protected)>>:
>
>     Am 2014-03-16 22:03, schrieb Christoph Loesch:
>>
>>     -----BEGIN PGP SIGNED MESSAGE-----
>>     Hash: SHA1
>>
>>     <sarkasm>
>>     ich liebe solche (sarkastischen) meldungen während des aufbaus
>>     eines (bzw wiederbelebung des lange toten) services. vor allem
>>     die, die uninformiert sind darüber das da eh srtp angedacht ist!
>>     </sarkasm>
>>
>     Das nennt man wohl dann das "Konzept von der Behauptung der
>     gegenwärtig-faktischen Existenz antizipierter Features". :-D
>     Siehe privates Mail von vorhin ;-)
>
>
>     um das topic abzuschliessen:
>>     nichts für ungut freunde, lange hats bis auf evtl 2-3 personen
>>     niemanden interessiert was mit dem voip service ist. jetzt wo
>>     sich wieder motivierte personen gefunden haben, legt uns bitte
>>     nicht extra steine in den weg sondern gebt uns die chance den
>>     service soweit möglich (und sinnvoll) mal auf einen grundsätzlich
>>     verwendbaren zustand zu bringen damit man darauf dann weiteres
>>     aufbauen kann. :) wir haben (beim anfänglichen planen) öfters
>>     nach input gefragt wo so gut wie keine reaktion zurück kam, also
>>     muss man verstehen dass man mit input bzgl grundsätzlicher dinge
>>     jetzt ein bisschen spät dran ist..
>>
>>     just my 2 cent ;)
>     ;-)
>
>     Machen wir vier Cent draus:
>
>     Grundsätzlich darf man davon ausgehen, dass Verschlüsselung kein
>     nice to have ist, sondern als ein must have zu deuten ist.
>     Dass der Service VoIP bei Funkfeuer länger nicht zu gebrauchen
>     war, ist neben anderen Umständen wohl auch dem Umstand zu
>     "verdanken", dass dies früher nicht so gehandhabt wurde.
>     Es ist mir bewusst, dass einige, insbesondere ältere,
>     Hardwarephones mit Verschlüsselung ihre liebe Not haben. Aber
>     gerade in diesen Fällen nützt ein langes Passwort, wie Matthias
>     schon festgestellt hat, umso weniger - und sicherer wird es damit
>     auch nicht. :)
>     Der Umstand, dass die Reaktionen auf die Planung gering
>     ausgefallen sind, ist wohl Eurem professionellen Auftreten während
>     der letzten Testtage geschuldet. *schmeichel*
>
>     Alles Weitere wie heute besprochen! Danke, für die Erläuterung der
>     näheren Umstände und weiter so!
>     Ist Markit auf dieser Liste? Wenn ja: Bitte, lieber Markus,
>     unterstütze die VoIPer beim Implementieren einer
>     alltagstauglicheren Lösung (DB-seitig).
>
>
> -- 
> Mit lieben Gruß
> Joe Semler <https://www.xing.com/profile/Josef_Semler>
>
>
>
> _______________________________________________
> Voip mailing list
> (spam-protected)
> https://lists.funkfeuer.at/mailman/listinfo/voip

-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.funkfeuer.at/pipermail/voip/attachments/20140317/dc7c5bc3/attachment.html>

More information about the Voip mailing list