Hi,
vor wenigen Tagen sah ich mich gezwungen meinen Router von der Telekom auf die Werkseinstellungen zurücksetzen zu müssen.
Nun ist es so, dass der Router nach dem Zurücksetzen logischerweise ohne hinterlegte Zugangsdaten neu startet und versucht über die automatische Konfiguration eben diese Zugangsdaten zu beschaffen. Dazu öffnet man dann einfach den Webbrowser des verbundenen Computers und gelangt automatisch auf eine entsprechende Webseite der Telekom, auf der man sich dann mit den eigenen Login-Daten einloggt und der Router anschließen aus der Ferne konfiguriert wird.
Hier findet also eine Umleitung des Webbrowsers auf diese Telekom-Seite statt. Egal welche URL man öffnet, man landet immer dort. Erst wenn die Zugangsdaten wieder eingetragen sind und man dadurch auf herkömmliche Weise "online" ist, kann man wieder wie gewohnt surfen.
Ich habe Little Snitch installiert und bemerkt, dass durch diese Umleitung auch sämtliche Systemprozesse von OS X zur Telekom umgeleitet wurden. Teilweise wurde ich durch Little Snitch auch gefragt, ob ich eine Verbindung zu "kundencenter.telekom.de" oder "walledgarden.telekom.de" zulassen möchte. Da ich ungern etwas blockiere, was auf den ersten Blick legitim aussieht, habe ich sämtliche Verbindungen zugelassen. Warum genau ich das tat, kann ich im Nachhinein allerdings nicht beantworten. Das geschah wohl eher unbewusst.
Dazu zählten dann Prozesse wie "storeagent", "gamed", "configd" oder auch die App Mail.
Jetzt möchte ich einfach wissen, wie der Server der Telekom auf diesen Traffic reagiert hat bzw. was da hinter den Kulissen stattgefunden hat. Eben weil diese Prozesse auch sensible Daten übertragen, zum Beispiel Tokens der eingeloggten Apple ID, oder im Falle von Mail auch die Passwörter sämtlicher Mail-Accounts.
Dass der Telekom-Server keine Daten "mitloggt", die da ungefragt auf ihn einprasseln, das sollte eigentlich klar sein, auch nicht "aus Versehen", wie es mal Blackberry mit Passwörter für Mail-Accounts "geschafft" hat, wenn man auf seinem Telefon einen Account eingerichtet hat.
Aber wie verhält sich das dazu, dass ich ja zu einem späteren Zeitpunkt über die Telekom-Webseite in meinen dortigen Account eingeloggt war und somit ein Kanal "offen" stand? Der Browser lief über Port 443 und alle Prozesse, die ich beobachtet habe, liefen ebenfalls über diesen Port. Lediglich Mail lief über Port 993.
Könnten denn diese eintrudelnden Daten irgendwas an meinem Account bei der Telekom geändert haben? Irgendwelche hinterlegten Daten oder Einstellungen? In meinen wüstesten Fantasien male ich mir aus, dass sogar das hinterlegte Passwort bei der Telekom durch ein eintrudelndes Passwort dieses umgeleiteten Traffics hätte geändert werden können. Aber da spielen ja auch gültige Zertifikate eine Rolle, nicht wahr? Wie unterscheidet sich denn beispielsweise der verschlüsselte Traffic eines Gmail-Accounts von dem eines Telekom-Accounts? Könnte denn ein Server ankommende Daten, die eigentlich für einen anderen Server bestimmt sind, "lesen und verstehen", würde man das alles "umswitchen"?
Oder ist es einfach so, dass ein solcher Telekom-Server eine NAT-ähnliche Firewall nutzt, die unangeforderte Datenpakete ignoriert, auch dann, wenn ich parallel über den Browser eingeloggt bin?
Hiervon wäre dann insbesondere der Traffic verursacht durch Mail über Port 993 betroffen, denn die Webseite der Telekom verweist ja wohl kaum auf einen "Mail-Server", der damit etwas anfangen könnte, der auch überhaupt auf diesem Port "lauschen" würde.
Dieser ganze Thread klingt vermutlich ziemlich bescheuert für jemanden, der es besser weiß und sich in der Materie auskennt. Kommt vermutlich wie ein Witz rüber, das alles hier. Das ist mir klar. Ich habe auch lange überlegt überhaupt einen solchen Thread zu erstellen.
Ich bin dankbar für jeden Post, der für etwas Verständnis in diesem Zusammenhang sorgt.
// Edit: Wie hat Little Snitch eigentlich "mitbekommen", dass der Traffic durch den Router umgeleitet wurde? Liegt das nicht ausserhalb der "Wahrnehmung" von Little Snitch? Ich bin begeistert, ein klasse Tool.
vor wenigen Tagen sah ich mich gezwungen meinen Router von der Telekom auf die Werkseinstellungen zurücksetzen zu müssen.
Nun ist es so, dass der Router nach dem Zurücksetzen logischerweise ohne hinterlegte Zugangsdaten neu startet und versucht über die automatische Konfiguration eben diese Zugangsdaten zu beschaffen. Dazu öffnet man dann einfach den Webbrowser des verbundenen Computers und gelangt automatisch auf eine entsprechende Webseite der Telekom, auf der man sich dann mit den eigenen Login-Daten einloggt und der Router anschließen aus der Ferne konfiguriert wird.
Hier findet also eine Umleitung des Webbrowsers auf diese Telekom-Seite statt. Egal welche URL man öffnet, man landet immer dort. Erst wenn die Zugangsdaten wieder eingetragen sind und man dadurch auf herkömmliche Weise "online" ist, kann man wieder wie gewohnt surfen.
Ich habe Little Snitch installiert und bemerkt, dass durch diese Umleitung auch sämtliche Systemprozesse von OS X zur Telekom umgeleitet wurden. Teilweise wurde ich durch Little Snitch auch gefragt, ob ich eine Verbindung zu "kundencenter.telekom.de" oder "walledgarden.telekom.de" zulassen möchte. Da ich ungern etwas blockiere, was auf den ersten Blick legitim aussieht, habe ich sämtliche Verbindungen zugelassen. Warum genau ich das tat, kann ich im Nachhinein allerdings nicht beantworten. Das geschah wohl eher unbewusst.
Dazu zählten dann Prozesse wie "storeagent", "gamed", "configd" oder auch die App Mail.
Jetzt möchte ich einfach wissen, wie der Server der Telekom auf diesen Traffic reagiert hat bzw. was da hinter den Kulissen stattgefunden hat. Eben weil diese Prozesse auch sensible Daten übertragen, zum Beispiel Tokens der eingeloggten Apple ID, oder im Falle von Mail auch die Passwörter sämtlicher Mail-Accounts.
Dass der Telekom-Server keine Daten "mitloggt", die da ungefragt auf ihn einprasseln, das sollte eigentlich klar sein, auch nicht "aus Versehen", wie es mal Blackberry mit Passwörter für Mail-Accounts "geschafft" hat, wenn man auf seinem Telefon einen Account eingerichtet hat.
Aber wie verhält sich das dazu, dass ich ja zu einem späteren Zeitpunkt über die Telekom-Webseite in meinen dortigen Account eingeloggt war und somit ein Kanal "offen" stand? Der Browser lief über Port 443 und alle Prozesse, die ich beobachtet habe, liefen ebenfalls über diesen Port. Lediglich Mail lief über Port 993.
Könnten denn diese eintrudelnden Daten irgendwas an meinem Account bei der Telekom geändert haben? Irgendwelche hinterlegten Daten oder Einstellungen? In meinen wüstesten Fantasien male ich mir aus, dass sogar das hinterlegte Passwort bei der Telekom durch ein eintrudelndes Passwort dieses umgeleiteten Traffics hätte geändert werden können. Aber da spielen ja auch gültige Zertifikate eine Rolle, nicht wahr? Wie unterscheidet sich denn beispielsweise der verschlüsselte Traffic eines Gmail-Accounts von dem eines Telekom-Accounts? Könnte denn ein Server ankommende Daten, die eigentlich für einen anderen Server bestimmt sind, "lesen und verstehen", würde man das alles "umswitchen"?
Oder ist es einfach so, dass ein solcher Telekom-Server eine NAT-ähnliche Firewall nutzt, die unangeforderte Datenpakete ignoriert, auch dann, wenn ich parallel über den Browser eingeloggt bin?
Hiervon wäre dann insbesondere der Traffic verursacht durch Mail über Port 993 betroffen, denn die Webseite der Telekom verweist ja wohl kaum auf einen "Mail-Server", der damit etwas anfangen könnte, der auch überhaupt auf diesem Port "lauschen" würde.
Dieser ganze Thread klingt vermutlich ziemlich bescheuert für jemanden, der es besser weiß und sich in der Materie auskennt. Kommt vermutlich wie ein Witz rüber, das alles hier. Das ist mir klar. Ich habe auch lange überlegt überhaupt einen solchen Thread zu erstellen.
Ich bin dankbar für jeden Post, der für etwas Verständnis in diesem Zusammenhang sorgt.
// Edit: Wie hat Little Snitch eigentlich "mitbekommen", dass der Traffic durch den Router umgeleitet wurde? Liegt das nicht ausserhalb der "Wahrnehmung" von Little Snitch? Ich bin begeistert, ein klasse Tool.
Zuletzt bearbeitet:
