Jemand Erfahrung mit CAPTCHA?

[KurtNabb]

das ist mir wurschd

er soll aber weder mich, noch das Ziel sehen, bzw. einander zweifelsfrei zuordnen können

er sieht Dich und das VPN.

 

[sportsgeist]

Denk doch mal nach, von der Logik her, wenn das so wäre, wäre doch beim Homebanking gar kein "Mann in der Mitte" Phishing, TROTZ aktiver Verschlüsselung möglich!

Natürlich erzählen dir die VPN Anbieter was anderes...
Welche Hure erzählt dir denn die Wahrheit über ihre Dienste oder sich selbst?

KLAR bist du gut geschützt, wenn der Arbeitgeber keine Vorkehrungen getroffen hat.
Den Traffic selbst kann er auch nur aufbrechen und untersuchen, wenn er die Schlüssel vom VPN Anbieter hätte, oder, wenn du eigene Schlüssel private Keys von Verschlüsselungs-Software preisgibst / er dran kommt.

Jetzt überlege doch mal logisch, wenn dein Arbeitgeber nicht nur 5 PC's da stehen hat, selbst, wenn dem so sein sollte, würdest du als Arbeitgeber es einfach darauf ankommen lassen, das deine Mitarbeiter wie oben beschrieben mit dem klicken des lustigen Elches dir Millionenschäden anrichten könnten?
Selbst, wenn du mit deinem Rechner keine Adminrechte hast, sondern nur als Benutzer angemeldet bist, gibt es bei beinahe JEDEM Betriebssystem AKTIVE Sicherheitslücken, die Schadcode ins System einschleusen können.

Hacker hatten es schon damals richtig penetrant auf die Bertelsmann-Strukturen abgesehen gehabt. Das waren schon vor 10 und mehr Jahren gezielte Angriffe, die NUR auf diese Infrastrukturen gemünzt waren. Dort wusste man teilweise, welche Versionen von welchen Programmen verwendet wurden, das bedeutet, die hatten Insider in der Firma, die die Informationen preisgegeben haben. Das waren Sicherheitslevels, wenn du in den Serverraum gegangen bist, und nicht innerhalb von 30 Sekunden nach betreten des Raumes hinter der Tür am Terminal ne Pin eingegeben hast, wurde das Ganze Gebäude abgeriegelt und, wenn weitre zwei Minuten keine Pin eingegeben wurde, wurde direkt die Polizei verständigt und die Tür so verriegelt, das man sie NUR NOCH von außen entriegeln konnte...

Es gibt nicht wenige Arbeitgeber, die verteilen in den Kantinen sogar USB-Sticks mit Honigtöpfen, um herauszufinden, welche Mitarbeiter so hirnlos sind und diese am Arbeitsplatz TROTZ VERBOTS in die Maschinen rammen und aus Neugier draufgucken wollen!
Die haben dann am gleichen Tag noch die Kündigung auf dem Schreibtisch...
( Wobei das aber wirklich dämlich ist sowas, aber nun gut ... )

Denkst du, solche Firmen lassen sich verarschen?
( vorausgesetzt, der Admin ist auf der richtigen Position )

mein lieber Fleischwurst
du neigst ja immer dazu, ellenlange Anketoden zu erzählen
über was auch immer

danke dafür

aber sag mir doch einfach, ob mein Systemadmin mit meiner eingeschalteten VPN zweifelsfrei feststellen kann, dass mein Desktop Rechner sich 28 mal während des Bürotages bei PSW ein- und ausgeloggt hat, und wie lange ich in diesen Sitzungen auf PSW online war ??

 

[sportsgeist]

er sieht Dich und das VPN.

also nicht mein Ziel?

 

[TanzendeFleischwurst]

mein lieber Fleischwurst
du neigst ja immer dazu, ellenlange Anketoden zu erzählen
über was auch immer

danke dafür

aber sag mir doch einfach, ob mein Systemadmin mit meiner eingeschalteten VPN zweifelsfrei feststellen kann, dass mein Desktop Rechner sich 28 mal während des Bürotages bei PSW ein- und ausgeloggt hat, und wie lange ich in diesen Sitzungen auf PSW online war ??

Nutzt du auf der Arbeit Chrome, Firefox oder Safari um dich einzuloggen?

 

[Parmesan]

ob er sehen kann, wie lange ich online war, is egal
es geht nur darum, nicht jede einzelne aufgerufene Webseite sehen und zuordnen zu können

und laut VPN Anbieter geht das nicht
sonst bräuchte man ja auch gar kein VPN
dann wärs ja weitestgehend sinnlos und nutzlos

Ich wollte dir halt nur antworten, denn so einfach ist das Thema nicht.
Wie gesagt: die VPN schützt dich auf der Browser-Ebene, aber was darunter in eurem Netzwerk passiert, ist für den Admin ersichtlich.
Wäre ja auch schlimm, wenn eine VPN den Rootadmin blind machen würde, dann wäre jegliche Forensik unmöglich und das untergräbt die Systemsicherheit.

Nachtrag: wenn Du mir nicht glaubst, lies hier nach.
Ein firmeneigenes VPN ist wirkungslos.

 

[TanzendeFleischwurst]

Ich wollte dir halt nur antworten, denn so einfach ist das Thema nicht.
Wie gesagt: die VPN schützt dich auf der Browser-Ebene, aber was darunter in eurem Netzwerk passiert, ist für den Admin ersichtlich.
Wäre ja auch schlimm, wenn eine VPN den Rootadmin blind machen würde, dann wäre jegliche Forensik unmöglich und das untergräbt die Systemsicherheit.

GENAU SO!

 

[sportsgeist]

Nutzt du auf der Arbeit Chrome, Firefox oder Safari um dich einzuloggen?

mal so mal so
meist den Fuchs, oder auch mal Edge

 

[sportsgeist]

Ich wollte dir halt nur antworten, denn so einfach ist das Thema nicht.
Wie gesagt: die VPN schützt dich auf der Browser-Ebene, aber was darunter in eurem Netzwerk passiert, ist für den Admin ersichtlich.
Wäre ja auch schlimm, wenn eine VPN den Rootadmin blind machen würde, dann wäre jegliche Forensik unmöglich und das untergräbt die Systemsicherheit.

beantwortet immer noch nicht die Frage

 

[TanzendeFleischwurst]

Parmesan weiß was ich meine,
es ist lediglich nützlich ( Idiotenfutter ), wenn ich auf einer Maschine verbiete einen Konsolen-Prompt ( Also eine Konsole für manuelle Befehlseingabe ) aufzurufen.

Viel wichtiger ist es aber SICHER prüfen zu können, ob ein Konsolen-Prompt aufgerufen WURDE und dann dementsprechend auch direkt informiert zu werden!!!

 

[sportsgeist]

Ein firmeneigenes VPN ist wirkungslos.

ich hab und benutz kein firmeneigenes VPN

lediglich mein eigenes VPN auf meinem eigenen Desktoprechner ... oder Laptop, wenn ich über WLAN reingehe

 

[KurtNabb]

Denk doch mal nach, von der Logik her, wenn das so wäre, wäre doch beim Homebanking gar kein "Mann in der Mitte" Phishing, TROTZ aktiver Verschlüsselung möglich!

Aufpassen: Du verwechselst Äppel und Melonen.

Natürlich erzählen dir die VPN Anbieter was anderes...
Welche Hure erzählt dir denn die Wahrheit über ihre Dienste oder sich selbst?

Der VPN-Anbieter ist der "Mann in der Mitte".

KLAR bist du gut geschützt, wenn der Arbeitgeber keine Vorkehrungen getroffen hat.
Den Traffic selbst kann er auch nur aufbrechen und untersuchen, wenn er die Schlüssel vom VPN Anbieter hätte, oder, wenn du eigene Schlüssel private Keys von Verschlüsselungs-Software preisgibst / er dran kommt.

eben.

Jetzt überlege doch mal logisch, wenn dein Arbeitgeber nicht nur 5 PC's da stehen hat, selbst, wenn dem so sein sollte, würdest du als Arbeitgeber es einfach darauf ankommen lassen, das deine Mitarbeiter wie oben beschrieben mit dem klicken des lustigen Elches dir Millionenschäden anrichten könnten?
Selbst, wenn du mit deinem Rechner keine Adminrechte hast, sondern nur als Benutzer angemeldet bist, gibt es bei beinahe JEDEM Betriebssystem AKTIVE Sicherheitslücken, die Schadcode ins System einschleusen können.

Hacker hatten es schon damals richtig penetrant auf die Bertelsmann-Strukturen abgesehen gehabt. Das waren schon vor 10 und mehr Jahren gezielte Angriffe, die NUR auf diese Infrastrukturen gemünzt waren. Dort wusste man teilweise, welche Versionen von welchen Programmen verwendet wurden, das bedeutet, die hatten Insider in der Firma, die die Informationen preisgegeben haben. Das waren Sicherheitslevels, wenn du in den Serverraum gegangen bist, und nicht innerhalb von 30 Sekunden nach betreten des Raumes hinter der Tür am Terminal ne Pin eingegeben hast, wurde das Ganze Gebäude abgeriegelt und, wenn weitre zwei Minuten keine Pin eingegeben wurde, wurde direkt die Polizei verständigt und die Tür so verriegelt, das man sie NUR NOCH von außen entriegeln konnte...

Es gibt nicht wenige Arbeitgeber, die verteilen in den Kantinen sogar USB-Sticks mit Honigtöpfen, um herauszufinden, welche Mitarbeiter so hirnlos sind und diese am Arbeitsplatz TROTZ VERBOTS in die Maschinen rammen und aus Neugier draufgucken wollen!
Die haben dann am gleichen Tag noch die Kündigung auf dem Schreibtisch...
( Wobei das aber wirklich dämlich ist sowas, aber nun gut ... )

Denkst du, solche Firmen lassen sich verarschen?
( vorausgesetzt, der Admin ist auf der richtigen Position )

Hmm.

 

[KurtNabb]

also nicht mein Ziel?

So ist es.

 

[sportsgeist]

So ist es.

dann sieht der Admin zwar, dass ich online war, aber nicht wohin genau
dann ist alles paletti

 

[KurtNabb]

dann sieht der Admin zwar, dass ich online war, aber nicht wohin genau
dann ist alles paletti

Er sieht, dass Du ein VPN nutzt und folglich etwas zu verbergen hast. Wäre ich der Admin für einen sicheren Bereich, würde ich Dir den Zugang nur via Proxy erlauben und die üblichen Verdächtigen blockieren. Bei einem sehr sicheren Bereicht nur die durchlassen, für die ein nützlicher Bedarf besteht.

Aber aufpassen: Auch beim VPN zeichnet Dein Gerät Daten auf. Z.B. der Browserverlauf ist kritisch.

 

[sportsgeist]

Er sieht, dass Du ein VPN nutzt und folglich etwas zu verbergen hast. Wäre ich der Admin für einen sicheren Bereich, würde ich Dir den Zugang nur via Proxy erlauben und die üblichen Verdächtigen blockieren. Bei einem sehr sicheren Bereicht nur die durchlassen, für die ein nützlicher Bedarf besteht.

Aber aufpassen: Auch beim VPN zeichnet Dein Gerät Daten auf. Z.B. der Browserverlauf ist kritisch.

der Browserverlauf wird bei jedem Schließen vollständig gelöchst, damit auch aller Cookies, Cache, Logins etc. pp.

und einmal die Woche läuft ein CCleaner über den Rechner
beseitigt zumindest 99,9% der allerletzten Spuren ... hoffe ich zumindest

mir gehts nur darum, dass der Admin nicht zweifelsfrei sehen kann, dass ich hier bei PSW rumhänge

 

[Parmesan]

ich hab und benutz kein firmeneigenes VPN

lediglich mein eigenes VPN auf meinem eigenen Desktoprechner ... oder Laptop, wenn ich über WLAN reingehe

Dann sprichst Du die ganze Zeit über Homeoffice??

[...] ich nehm schon deswegen VPN, damit der Systemadmin nicht ständig auslesen kann, dass ich teilweise mehrere Stunden am Tag auf PSW eingeloggt bin
falls er es nicht doch irgendwie rauskriegt

Wie kommst Du darauf, dass der Arbeitgeber bei Homeoffice auf deinen PC zugreifen kann?? Das wäre dann ja astreines Hacking.
... Oder nimmst Du deinen privaten PC mit auf Arbeit, um dort dann "mehrere Stunden am Tag" dran zu arbeiten?

Ich glaub, ich bin raus.

 

[sportsgeist]

Dann sprichst Du die ganze Zeit über Homeoffice??

nein, mal so mal so
jetzt im Moment der Desktop im Büro

... Oder nimmst Du deinen privaten PC mit auf Arbeit, um dort dann "mehrere Stunden am Tag" dran zu arbeiten?

jep, dann ist der Laptop aber über das Firmen WLAN im Netz ... hinter einer VPN auf dem Laptop natürlich

Ich glaub, ich bin raus.

musst du wissen

 

[TanzendeFleischwurst]

Aufpassen: Du verwechselst Äppel und Melonen.

Beides lecker und brisant die Sicherheit betreffend.

Der VPN-Anbieter ist der "Mann in der Mitte".

Ein "kompromittierter / vorbereiteter" Browser ist in meinem Beispiel der Mann in der Mitte.
In seinem Fall reicht es, als Admin Entwicklerfunktionen IN DEN BROWSERN zu aktivieren, die eigentlich andere Funktionen haben sollten, aber trotzdem Log-Dateien auswerfen, die die aufgerufenen Domainnamen im KLARTEXT unverschlüsselt bis ins Detail wiedergeben. Das ist auch in 98% aller Phishingfällen beim Homebanking der Fall. Die Bank, als auch der VPN-Anbieter kriegen davon 0,00% mit, weil die Daten noch BEVOR die Ver und Entschlüsselung stattfindet der Datenstrom bereits kompromittiert ist!!! ( Wonach da dann keine Entwicklerfunktionen aktiviert werden, sondern tatsächlich Schadcode entweder im Betriebssystem selbst, oder dem Browser ausgeführt wird )

Diese Vorgehensweise benutzen auch Root-Kits, die sich so weit im Betriebssystem eingraben, das sie noch VOR dem Start geladen werden und sich so äußerst effektiv vor dem Scanner verstecken können! Wenn der Scanner vom Betriebssystem selbst gestartet wird, kann er ja vor dem Start logischerweise gar nicht greifen . . .


Alles in allem,
mach dir keine Sorgen, in der IT gehen IT-Freaks immer vom Worst-Case aus, und wenn du etwas wirklich sicher machen willst, oder eine Gesprächsgrundlage suchen willst, geht man immer davon aus, das du als Kunde oder Betroffener eine Bank bist.
Jede noch so kleine Möglichkeit wird bedacht und aufgeführt.

Ich wäre solch ein Admin, der auf irgendwelche Datenschutzbestimmungen scheissen würde, seine Befugnisse zwar nicht ausnutzen würde, dann aber, über Ecken und Enden, und wenn es nur Log-Dateien zweckentfremdeter Anwendungen sind, Licht ins Dunkel bringen würde. Das muss ja 50 Jahre keiner in Erfahrung bringen. hat man aber Besuch im Haus, dann zeige ich ihm auch selbst wieder wo die Tür ist!

 

[KurtNabb]

Beides lecker und brisant die Sicherheit betreffend.

Ein "kompromittierter / vorbereiteter" Browser ist in meinem Beispiel der Mann in der Mitte.
In seinem Fall reicht es, als Admin Entwicklerfunktionen IN DEN BROWSERN zu aktivieren, die eigentlich andere Funktionen haben sollten, aber trotzdem Log-Dateien auswerfen, die die aufgerufenen Domainnamen im KLARTEXT unverschlüsselt bis ins Detail wiedergeben. Das ist auch in 98% aller Phishingfällen beim Homebanking der Fall. Die Bank, als auch der VPN-Anbieter kriegen davon 0,00% mit, weil die Daten noch BEVOR die Ver und Entschlüsselung stattfindet der Datenstrom bereits kompromittiert ist!!! ( Wonach da dann keine Entwicklerfunktionen aktiviert werden, sondern tatsächlich Schadcode entweder im Betriebssystem selbst, oder dem Browser ausgeführt wird )

Das hat allerdings mit Phishing so gar nichts zu tun und setzt erhebliche kriminelle Energie des lokalen Admins voraus.

Diese Vorgehensweise benutzen auch Root-Kits, die sich so weit im Betriebssystem eingraben, das sie noch VOR dem Start geladen werden und sich so äußerst effektiv vor dem Scanner verstecken können! Wenn der Scanner vom Betriebssystem selbst gestartet wird, kann er ja vor dem Start logischerweise gar nicht greifen . . .

Das ist wieder eine andere Baustelle. Das ist effektiv Malware.

Alles in allem,
mach dir keine Sorgen, in der IT gehen IT-Freaks immer vom Worst-Case aus, und wenn du etwas wirklich sicher machen willst, oder eine Gesprächsgrundlage suchen willst, geht man immer davon aus, das du als Kunde oder Betroffener eine Bank bist.
Jede noch so kleine Möglichkeit wird bedacht und aufgeführt.

Ich wäre solch ein Admin, der auf irgendwelche Datenschutzbestimmungen scheissen würde, seine Befugnisse zwar nicht ausnutzen würde, dann aber, über Ecken und Enden, und wenn es nur Log-Dateien zweckentfremdeter Anwendungen sind, Licht ins Dunkel bringen würde. Das muss ja 50 Jahre keiner in Erfahrung bringen. hat man aber Besuch im Haus, dann zeige ich ihm auch selbst wieder wo die Tür ist!

Wie gesagt: Das setzt erhebliche kriminelle Energie beim lokalen Admin voraus.

 

[Glaubnix]

kennt jemand das ständige Ärgerniss mit dem CAPTCHA Abfragen?

ich kenn CAPTCHA eig. nur, wenn man zb. über eine Seite eine (Kontakt)Anfrage stellt
da kann ich das auch nachvollziehen, ist praktisch ein Muss, sonst kann da jeder Bot / Hacker anfangen zu "fluten"

ein CAPTCHA-Test soll feststellen, ob ein Online-Nutzer wirklich ein Mensch und kein Bot ist. CAPTCHA ist eine Abkürzung für „Completely Automated Public Turing test to tell Computers and Humans Apart“ (etwa: Vollständig automatisierter öffentlicher Turing-Test, um zu erkennen, ob Computer oder Mensch).

beantwortet immer noch nicht die Frage

wenn du deinen Cache löschst, müsste eigentlich alles weg sein?

anscheinend aber nicht:
Wird mein Internetverlauf gespeichert?
Ihr Browserverlauf ist die Aufzeichnung der Websites, die Sie in der Vergangenheit besucht haben. Dieser Verlauf wird auf Ihrem Computer gespeichert und kann von jedem eingesehen werden, der Zugang zu Ihrem Computer hat. Darüber hinaus kann auch Ihr Internetdienstanbieter (ISP) Ihren Browserverlauf einsehen.

aber, es wird rumgedreht möglich sein, wenn du auf einer Seite warst, speichert deren Provider die IP's der Besucher
und man könnte so bei Straftatbestand / richterliche Anordnung in's Visier geraten