| Autor |
Nachricht |
BananaJoe
Anmeldedatum: 16.08.2024
Beiträge: 4
|
 Verfasst am:
Fr Aug 16, 2024 17:00 |
  |
Hi,
kurze Verständnisfrage: wenn ich eine WLAN Verbindung (mit PIN) herstelle und den Client am Handy schließe, dann hätte ich mir erwartet, dass keine Verbindung mehr vom PC aus zum Handy hergestellt werden kann.
Tatsächlich ist es bei mir aber so, dass ich über den PC noch immer Vollzugriff auf alle Daten, Kontakte, SMS, etc. am Handy habe, auch wenn der Client am Handy nicht läuft.
Wie lässt sich eine bestehene WLAN Verbindung trennen?
Lässt sich MPE so einstellen, dass eine WLAN Verbindung nur bei Bedarf zugelassen oder blockiert werden kann?
Vielen Dank für die Auskunft! |
|
|
  |
|
icke1954
Moderator
Anmeldedatum: 19.04.2014
Beiträge: 18133
|
| Verfasst am:
Fr Aug 16, 2024 18:43 |
|
| BananaJoe hat Folgendes geschrieben: | | Tatsächlich ist es bei mir aber so, dass ich über den PC noch immer Vollzugriff auf alle Daten, Kontakte, SMS, etc. am Handy habe, auch wenn der Client am Handy nicht läuft |
.
Wenn der Client nicht läuft, hast Du garantiert keinen Zugriff auf Dein Handy !
Allerdings wird dieser bei Bedarf, falls möglich, automatisch gestartet.
Der MPE-WLAN-PIN ist nur dafür gedacht, Dich davor zu schützen, dass in einem freien WLAN sich irgendein fremder Rechner über MPE mit Deinem Handy verbindet.
Willst Du Deine Daten auf dem Rechner schützen, solltest Du diese über den MPE-Benutzer verschlüsseln und ein Passwort vergeben. |
|
|
 |
|
BananaJoe
Anmeldedatum: 16.08.2024
Beiträge: 4
|
| Verfasst am:
Mo Aug 19, 2024 08:33 |
|
Guten Morgen,
danke für die schnelle Auskunft 
Genau dieses unerwartete automatische Starten des Clients - nachdem ich ihn explizit geschlossen hatte - ruft ein ungutes Gefühl hervor, wenn ich in einem freien WLAN unterwegs bin (z.B. in der Schule - ich bin Lehrer): wenn jemand den MPE-WLAN-PIN errät, erhält derjenige Vollzugriff auf mein Gerät, ohne dass ich es mitbekomme...
Da hilft auch kein Passwort am MPE-Benutzer am Laptop.
Den einzigen Weg, den ich aktuell sehe ist eine genügend Lange PIN im Client zu verwenden, die dann halt immer "nur noch" aus Zahlen besteht.
Was passiert, wenn jemand Brute Force versucht, also bei 1 beginnt und einfach hochzählt?
Sicherer wäre es, wenn der PIN alphanumerische Zeichen zulassen würde.
Oder wenn es eine Option gäbe, das automatische Starten zu unterbinden; dann kann der User entscheiden, ob er das möchte. |
|
|
|
|
icke1954
Moderator
Anmeldedatum: 19.04.2014
Beiträge: 18133
|
| Verfasst am:
Mo Aug 19, 2024 09:29 |
|
Der WLAN-PIN soll Dich vor Zugriffen schützen, wenn Du den MPE-Client auf dem Handy selbst gestartet aber mit Deinem PC keine Verbindung aufgebaut hast.
D.h. der Client kann grundsätzlich, mit oder ohne PIN, nicht von einem Gerät gestartet werden, mit dem noch keine Verbindung zuvor aufgebaut wurde.
| BananaJoe hat Folgendes geschrieben: | | Oder wenn es eine Option gäbe, das automatische Starten zu unterbinden; dann kann der User entscheiden, ob er das möchte. |
Den automatischen Start kannst Du bei Bedarf unterbinden, ist in Deinen Fall aber nicht relevant, da die Deaktivierung vom PC-Programm aus durchgeführt wird:
Realisiere in der general.ini im Bereich [Main] folgenden Eintrag | Code: | | LocalConnectionEstablishment=1 |
Damit ist der Push über Google zum Starten des Clients deaktiviert.
Die general.ini befindet sich im MPE-Datenbankordner
Deinen MPE-Datenbankordner findest Du standartmäßig unter Windows Startmenü (Ausführen) => %appdata%\MyPhoneExplorer eingeben
Wurde der Pfad geändert siehe MPE => F2 => Erweitert 2 => Datenbank
PS.
Wenn Du Angst hast, dass jemand an sensible Daten Deines Handy kommt, solltest Du es meiden (das mache ich z.b. nie) sich in öffentliche WLAN-Netze einzuloggen. |
|
|
|
|
eck-m
Anmeldedatum: 09.01.2017
Beiträge: 455
Wohnort: Berlin
|
| Verfasst am:
Mo Aug 19, 2024 11:26 |
|
| icke1954 hat Folgendes geschrieben: | | Wenn Du Angst hast, dass jemand an sensible Daten Deines Handy kommt, solltest Du es meiden (das mache ich z.b. nie) sich in öffentliche WLAN-Netze einzuloggen. |
Wenn es allein danach ginge, dürfte man sich ja auch nicht z. B. mit dem Mobilfunknetz verbinden, denn das ist ja auch ein öffentliches Netz.
Serveranwendungen, wie der MPE-Client eine ist, bergen da immer ein besonderes Sicherheitsrisiko, weswegen die Frage nach der Sicherheit durchaus berechtigt ist.
Aber öffentliches Netz ist ja nicht gleich öffentliches Netz. Zuhause dürfte das WLAN so konfiguriert sein, dass jedes Gerät mit jedem anderen im WLAN kommunizieren kann. Für die Nutzung von MPE ist das auch nötig. In einem öffentlichen WLAN, das professionell administriert wird, muss das aber gar nicht der Fall sein, wenn es den Nutzern nur die einfache Internetnutzung erlauben soll. In großen öffentlichen WLANs wie z. B. dem der Bahn ist das m. W. immer so, aber auch die Fritzbox macht das standardmäßig so für das Gastnetz. Bei dieser im Fachbegriff "Client isolation" genannten Funktionalität "sehen" die Teilnehmer untereinander nicht, in der Regel sind außerdem noch die nutzbaren Ports beschränkt, was die Kontaktaufnahme zu bestimmten Servern ebenfalls unmöglich macht oder zumindest erschwert.
In einem "halböffentlichen" Netz wie dem einer Schule besteht vielleicht Kontakt zum Administrator, der über die Konfiguration Auskunft geben kann, bestenfalls sogar Einfluss nehmen kann. Will heißen: Womöglich sind die Bedenken - zumindest für dieses Netz - unbegründet.
Ansonsten heißt die Lösung für unsichere Umgebungen ein VPN, das den gesamten Netzwerkverkehr verschlüsselt tunnelt und ihn in einer sichereren Umgebung ausleitet. |
|
|
|
|
icke1954
Moderator
Anmeldedatum: 19.04.2014
Beiträge: 18133
|
| Verfasst am:
Mo Aug 19, 2024 13:39 |
|
Die Nutzung öffentlicher WLAN-Netze auf Bahnhöfen, in Hotels usw. sind erst einmal grundsätzlich unsicherer als das mobile Datennetz.
Ich gehe auch davon aus, dass das in Schulen, vor allem für das Lehrpersonal anders ist, aber ich weiß es eben nicht genau!
Es stellt sich die Frage, ob es in der Schule überhaupt möglich ist, auch bei laufendem Client, Zugriff von einem fremden Rechner realisieren zu können ?
Über das Gastnetz am heimischen PC ist das wohl nicht möglich!
| eck-m hat Folgendes geschrieben: | | Serveranwendungen, wie der MPE-Client eine ist, bergen da immer ein besonderes Sicherheitsrisiko, weswegen die Frage nach der Sicherheit durchaus berechtigt ist. |
Wer hat denn behauptet, dass die Frage nicht berechtigt wäre ? |
|
|
|
|
FJ
Site Admin
Anmeldedatum: 15.02.2006
Beiträge: 32102
Wohnort: Tirol
|
| Verfasst am:
Di Aug 20, 2024 21:12 |
|
| Zitat: | Was passiert, wenn jemand Brute Force versucht, also bei 1 beginnt und einfach hochzählt?
|
Nach 10 Versuchen beendet sich der Client
| Zitat: | | Oder wenn es eine Option gäbe, das automatische Starten zu unterbinden; dann kann der User entscheiden, ob er das möchte. |
Um MyPhoneExplorer Client aus der Ferne zu starten zu können würde ein Angreifer erstmal den Push-Token des Handys benötigen. Der ist nur am PC hinterlegt.
Um ehrlich zu sein denke ich dass es hier genug Sicherheit gibt. |
_________________
Ich bitte um Verständnis daß ich aufgrund des hohen Aufkommens im Forum und meines zeitlichen Rahmens nichtmehr jeden Thread im Forum persönlich lesen bzw. beantworten kann.
Bitte benutzt auch die Forum-Suche bzw. die FAQ |
|
 |
|
icke1954
Moderator
Anmeldedatum: 19.04.2014
Beiträge: 18133
|
| Verfasst am:
Di Aug 20, 2024 23:10 |
|
| FJ hat Folgendes geschrieben: | | Nach 10 Versuchen beendet sich der Client |
Ja korrekt, wieder etwas hinzu gelernt! |
Zuletzt bearbeitet von icke1954 am Mi Aug 28, 2024 17:48, insgesamt einmal bearbeitet |
|
|
|
BananaJoe
Anmeldedatum: 16.08.2024
Beiträge: 4
|
| Verfasst am:
Mi Aug 28, 2024 17:28 |
|
| Zitat: | | LocalConnectionEstablishment=1 |
Die Kontrolle sollte meines Erachtens nach vom Client (Smartphone, zu dem die Verbindung aufgebaut werden soll) ausgehen, nicht vom Server (PC).
"Phone Link" bzw. "Link zu Windows" (Microsoft) bietet hier z.B. eine Schnelleinstellung an (das Pulldown-Menü mit dem Flugmodus), die aktiviert/deaktiviert werden kann. Ist diese inaktiv, kann vom PC aus keine Verbindung hergestellt werden.
Denkbar wäre auch einfach ein Hackerl in der Client App, mit der gesteuert werden kann, ob ein Startup per Push erlaubt erlaubt ist, oder nicht. |
|
|
|
|
icke1954
Moderator
Anmeldedatum: 19.04.2014
Beiträge: 18133
|
| Verfasst am:
Mi Aug 28, 2024 20:54 |
|
Betrifft: LocalConnectionEstablishment=1
| ick1954 hat Folgendes geschrieben: | | Den automatischen Start kannst Du bei Bedarf unterbinden, ist in Deinen Fall aber nicht relevant, |
| BananaJoe hat Folgendes geschrieben: | | ...wenn jemand den MPE-WLAN-PIN errät, erhält derjenige Vollzugriff auf mein Gerät, ohne dass ich es mitbekomme... |
FJ und ich haben versucht klar zustellen, dass das aller Wahrscheinlichkeit nach, nicht möglich ist.
Wenn Du da andere Erfahrungen gemacht hast, bitte ich Dich uns das mitzuteilen.
| BananaJoe hat Folgendes geschrieben: | "Phone Link" bzw. "Link zu Windows" (Microsoft) bietet hier z.B. eine Schnelleinstellung an (das Pulldown-Menü mit dem Flugmodus), die aktiviert/deaktiviert werden kann. Ist diese inaktiv, kann vom PC aus keine Verbindung hergestellt werden.
Denkbar wäre auch einfach ein Hackerl in der Client App, mit der gesteuert werden kann, ob ein Startup per Push erlaubt erlaubt ist, oder nicht. |
Darauf hatte FJ schon geantwortet...
| FJ hat Folgendes geschrieben: | Um ehrlich zu sein denke ich dass es hier genug Sicherheit gibt.
|
|
|
|
|
|
BananaJoe
Anmeldedatum: 16.08.2024
Beiträge: 4
|
| Verfasst am:
Fr Aug 30, 2024 08:18 |
|
| Zitat: | | Wenn Du da andere Erfahrungen gemacht hast, bitte ich Dich uns das mitzuteilen. |
Meine Bedenken habe ich oben schon geäußert und auch Vorschläge gemacht, wie das mit vertretbarem Aufwand verbessert werden könnte.
| Zitat: | | Um ehrlich zu sein denke ich dass es hier genug Sicherheit gibt. |
Um ebenfalls ehrlich zu sein ist das eine Aussage, die ich von einem professionellen Entwickler nicht erwartet hätte. Security und Usability befinden sich in einem natürlichen Spannungsfeld. Im Zweifel sollte hier dem User die Möglichkeit gegeben werden, selbst zu entscheiden, z.B. indem man ihm eine entsprechende Option anbietet, mit einer "sinnvollen" Voreinstellung aus Sicht des Entwicklers.
Hier noch eine "User Story": ich fand und finde MPE gut und habe das dann auch meiner Frau gezeigt und auf ihrem neuen Pixel installiert. Die Verbindung vom PC zum Pixel ließ sich problemlos herstellen, kein Datenkabel mehr notwendig.
Ich hab dann den Client auf ihrem Smartphone geschlossen und wollte ihr demonstrieren, dass dann keine Verbindung mehr aufgebaut werden kann. Widererwarten konnte die Verbindung wiederhergestellt werden - d.h. der Client wurde vom "Server" über ein Silent Push im Hintergrund automatisch gestartet. Mit Vollzugriff auf ihr Handy inkl. Screensharing. Es wird zwar ein kleines Icon angezeigt, das Gerät muss dafür aber nicht entsperrt sein. Hat man es also gerade nicht in der Hand, bekommt man davon gar nichts mit.
Das hätten wir beide so nicht erwartet und in der Klasse wäre das der Super-Gau...
Ich versteh schon, dass erst einmal eine Session aufgebaut werden muss über den QR-Code und dass diese Session geheim gehalten werden muss, wie bei einem Browser. Das ungute Gefühl nach dem unerwarteten automatischen Verbinden bleibt trotzdem.
Das wollte ich euch nur wissen lassen, wofür ich mich auch extra hier im Forum registriert habe. Das war auch meinerseits mit einem "gewissen Aufwand" verbunden - ich hätte auch einfach nichts sagen können... |
|
|
|
|
icke1954
Moderator
Anmeldedatum: 19.04.2014
Beiträge: 18133
|
| Verfasst am:
Fr Aug 30, 2024 09:40 |
|
| BananaJoe hat Folgendes geschrieben: | | Meine Bedenken habe ich oben schon geäußert und auch Vorschläge gemacht, wie das mit vertretbarem Aufwand verbessert werden könnte. |
Deine Bedenken hatten wir ja verstanden, meine Frage bezog sich darauf, ob es Dir gelingt, wenn Du z,b. den PIN änderst, auf das Handy zugreifen zu können ?!
Aber vielleicht haben wir etwas übersehen, ist es vielleicht möglich, dass fremde Personen relativ leicht an Eure Rechner kommen? |
|
|
|
|
FJ
Site Admin
Anmeldedatum: 15.02.2006
Beiträge: 32102
Wohnort: Tirol
|
| Verfasst am:
Sa Aug 31, 2024 23:15 |
|
Eine separate Einstellung wird es dafür nicht geben, ich kann dir maximal anbieten dass ich das via Tweak löse:
- MyPhoneExplorer mit dem Handy verbinden
- Windows-Taste+R -> myphoneexplorer action=directcommand command=AT*DISABLEPUSH=1 -> OK
- danach ist die Push-Funktion clientseitig deaktiviert
Das funktioniert in der aktuellen beta 3.14 beta1 : https://www.fjsoft.at/mpeclient.apk
Und ab dem offiziellen Client 3.15 |
_________________
Ich bitte um Verständnis daß ich aufgrund des hohen Aufkommens im Forum und meines zeitlichen Rahmens nichtmehr jeden Thread im Forum persönlich lesen bzw. beantworten kann.
Bitte benutzt auch die Forum-Suche bzw. die FAQ |
|
|
|
|
|
|
Nächstes Thema anzeigen
Vorheriges Thema anzeigen
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
|
Powered by phpBB
© 2001, 2002 phpBB Group :: FI Theme ::
Alle Zeiten sind GMT + 1 Stunde
Deutsche Übersetzung von phpBB.de |
