Sidebar Sidebar
  • Eigenständig gehostete oder lokal installierte Instanzen sind komplexer in der Einrichtung und Fehlerbehebung und erfordern daher kostenpflichtigen technischen Support. Kostenlosen Support erhalten Sie mit 3CX StartUP oder einer gehosteten 3CX-Installation mit einen unterstützten SIP-Trunk-Anbieter.

Klartext Passwort Willkommen Mail, also auch in DB?

nein.
 
Hast du denn dem Datenschutzbeauftragten geschrieben?
 
bitn2 schrieb:
Hast du denn dem Datenschutzbeauftragten geschrieben?
Zum Vergrößern anklicken....
nein. Ich hatte ja mit meiner Nachricht gehofft, dass die Kollegen von 3cx das intern klären und die Informationen dann hier zu Verfügung stellen ;)
 
Für 3CX gibt es an dieser Stelle ja nichts zu klären, ob man das selber so sieht oder nicht mag jetzt mal dahingstellt sein, deswegen ja auch der Hinweis von 3CX sich mit dieser Frage an den Datenschutzbeauftragten zu wenden da dieser das gesichert beantworten kann.
 
bitn2 schrieb:
Für 3CX gibt es an dieser Stelle ja nichts zu klären, ob man das selber so sieht oder nicht mag jetzt mal dahingstellt sein, deswegen ja auch der Hinweis von 3CX sich mit dieser Frage an den Datenschutzbeauftragten zu wenden da dieser das gesichert beantworten kann.
Zum Vergrößern anklicken....
Nun denn: man soll sich an den Datenschutzbeauftragten von 3cx wenden. Warum sollten sich jetzt alle deutschen Kunden mit dem gleichen Thema an den Datenschutzbeauftragten von 3cx wenden, um die identische Antwort zu erhalten, wenn 3cx ihren eigenen Datenschutzbeauftragten einfach einmal fragen könnten und diese Antwort dann hier posten könnten?
Es gibt hier eine datenschutzrechtliche Anfrage an 3CX. Die Antwortauf die Frage, warum man das nicht öffentlich beantworten kann bleibt wohl ein Geheimnis von 3cx. Vertrauensfördernder wäre in jedem Fall, das hier einfach zu beantworten, anstatt jeden Kunden einzeln an den Datenschutzbeauftragten zu verweisen.

Nun denn: Wir werden das hier nicht lösen können. Und solange 3cx hier keine öffentliche Antwort zum eigentlichen Thema abgibt bleibt nichts anderes übrig, als sich eben mit dem Anliegen an den Datenschutzbeauftragten einzeln zu wenden.

Hat das schon jemand gemacht? Gab es da eine Antwort, die man hier evt. posten kann/darf?
 
Seitens 3CX ist an dieser Stelle ja alles gesagt und es wurde mehrfach darauf hingewiesen sich mit weitergehenden Fragen an den Datenschutzbeauftragten zu wenden. Wie du auch siehst ist das anscheinend kein großes Thema, da es außer einer Handvoll Leute hier keinen näher zu interessieren scheint. Wenn Du also ein gesicherte Antwort willst, schreib dem Datenschutzbeauftragten eine Mail mit Link zu diesem Thread und du wirst deine Antwort bekommen.
 
bitn2 schrieb:
Seitens 3CX ist an dieser Stelle ja alles gesagt und es wurde mehrfach darauf hingewiesen sich mit weitergehenden Fragen an den Datenschutzbeauftragten zu wenden. Wie du auch siehst ist das anscheinend kein großes Thema, da es außer einer Handvoll Leute hier keinen näher zu interessieren scheint. Wenn Du also ein gesicherte Antwort willst, schreib dem Datenschutzbeauftragten eine Mail mit Link zu diesem Thread und du wirst deine Antwort bekommen.
Zum Vergrößern anklicken....
Ich hätte das Thema auch nicht weiter verfolgt. Du hattest nur nachgefragt ;)

Nun denn: Lassen wir diesen Thread ruhen, seitens 3cx wird sich hier nichts mehr bewegen, da sind wir uns denke ich einig.
 
  • Like
Reaktionen: bitn2
Ohne das Thema aufkochen zu wollen, hier mein Senf dazu:

Ich habe in diesem Fall (3CX) prinzipiell kein Problem damit, dass die Weblogin Passwörter der Benutzer im Klartext in der Datenbank stehen. Es gibt einige Situationen wo ich es mir schwierig vorstelle, wenn statt derer nur gesalzene Hashes in der DB stehen. Man kann eben so eine 3CX maßgeblich durch Programmierung erweitern und das tun weltweit so einige kommerziell recht erfolgreich.

Ich habe ein Problem damit, dass diese Passwörter im Klartext versendet werden. Aber dem kann abgeholfen werden. Man kann die E-Mail Vorlagen ändern. Man kann diese Benachrichtigung komplett deaktivieren. Man kann eigene E-Mail Server verwenden (ab der pro Version). Das geht leider alles erst nach der Erstinbetriebnahme bei der zumindest eine E-Mail das Haus verläßt (die der Systemnebenstelle), aber danach kann man das ja ändern, inkl. der Passwörter der Systemnebenstelle.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: David.K und bitn2
Ich habe in diesem Fall (3CX) prinzipiell kein Problem damit, dass die Weblogin Passwörter der Benutzer im Klartext in der Datenbank stehen.
Zum Vergrößern anklicken....

Ich schon. Es gibt einfach mal so gar keinen sinnvollen Grund für sowas sondern zeugt klar von fehlendem Sicherheitsbewusstsein und daraus resultierenden Designfehlern.

Es gibt einige Situationen wo ich es mir schwierig vorstelle, wenn statt derer nur gesalzene Hashes in der DB stehen. Man kann eben so eine 3CX maßgeblich durch Programmierung erweitern und das tun weltweit so einige kommerziell recht erfolgreich.
Zum Vergrößern anklicken....

Es anderen Programmieren einfacher machen zu wollen ist auch definitiv kein Grund für gravierende Security-Designfehler.
 
wolfi schrieb:
Hallo ,
nochmal zur Klarstellung, wo bitte kann man ein eventuell selbst vergebenes Passwort , welches nur für den Webclienten zuständig ist, auslesen? Ich vermute hier , auf welcher Seite auch immer, ein Verständnisproblem. Die Zugangsdaten(Passwörter und ID) für eine Nebenstelle sind in Klartext für den Admin einsehbar. Das benötigte Passwort für den Webclienten, ja hier kann der Nutzer das Passwort ändern, ist für den Admin nicht einsehbar. Natürlich könnte man seine personalisierten Nutzerdaten inklusive Foto, welches dann bei einem Anruf erscheint , im Webclienten eingeben, aber wer das nicht möchte , der lässt es eben bleiben. bis auf die E-Mail Adresse ist keine weitere Eingabe nötig.Ich glaube , dass Sie die (bürgerlichen)Rechte des Objektes Nebenstelle in der 3CX mit einem Benutzer gleichsetzen und aus diesem Grund Kritik (ob berechtigt oder nicht) an der Art der Passwortspeicherung üben.

Schönen Abend noch
Zum Vergrößern anklicken....
Als Admin kannst du zwar das Webclient-KW einer Nebenstelle nicht sehen aber du könntest theoretisch die Mail des Users auf deine eigene Ändern und dir dann eine Begrüßungsmail schicken lassen und so an das Kennwort des Users kommen.

Heisst also wer Zugriff auf das Adminkonto der Anlage hat kommt theoretisch und über Umwege an die User-KWs, selbst wenn er das Root-Kennwort des Servers nicht hat um direkt auf die DB zuzugreifen.
 
patrickb schrieb:
Als Admin kannst du zwar das Webclient-KW einer Nebenstelle nicht sehen aber du könntest theoretisch die Mail des Users auf deine eigene Ändern und dir dann eine Begrüßungsmail schicken lassen und so an das Kennwort des Users kommen.

Heisst also wer Zugriff auf das Adminkonto der Anlage hat kommt theoretisch und über Umwege an die User-KWs, selbst wenn er das Root-Kennwort des Servers nicht hat um direkt auf die DB zuzugreifen.
Zum Vergrößern anklicken....
+ in einem Nebenstellen-Export in der Spalte "SrvcAccessPwd"
 
Ahhh das meinst du ^^ Ja.
 
  • Like
Reaktionen: WKN_Benedict
mbehrens schrieb:
In der Managementoberfläche ist es ja grundsätzlich auch im Klartext vorhanden.
Zum Vergrößern anklicken....
Wo? Das habe ich noch nicht gefunden.

Aber in jedem Backup sind die in der XML auch im Klartext enthalten.
 
fxbastler schrieb:
Wo? Das habe ich noch nicht gefunden.

Aber in jedem Backup sind die in der XML auch im Klartext enthalten.
Zum Vergrößern anklicken....
An der Stelle wo man es ändern würde in einer Nebenstelle ist es nur mit einer CSS-Klasse ausgeblendet ("conceal"), wenn man die im HTML-Quelltext rausnimmt sieht man direkt das Passwort. Denke das meinte mbehrens mit "grundsätzlich".
 
fxbastler schrieb:
Wo? Das habe ich noch nicht gefunden.

Aber in jedem Backup sind die in der XML auch im Klartext enthalten.
Zum Vergrößern anklicken....
Wenn die jeweilige Nebenstelle angemeldet ist, gehst du im Menü auf Telefone und hast dann rechts in der Zeile das Auge. Wenn du darauf klickst, bekommst du die Sachen angezeigt.

Damit habe ich übrigens nur die Frage von fxbastler beantwortet und keine Stellung zu dem eigentlichen Thema der Beiträge genommen...
 
PaulS. schrieb:
Wenn die jeweilige Nebenstelle angemeldet ist, gehst du im Menü auf Telefone und hast dann rechts in der Zeile das Auge. Wenn du darauf klickst, bekommst du die Sachen angezeigt.
Zum Vergrößern anklicken....
Nein, dieses Passwort, um das es hier geht (der Login für den Webclient, der Benutzerlogin halt), wird dort nicht angezeigt.
 
fxbastler schrieb:
Nein, dieses Passwort, um das es hier geht (der Login für den Webclient, der Benutzerlogin halt), wird dort nicht angezeigt.
Zum Vergrößern anklicken....
Da muss ich dir leider widersprechen. Habe es schon mehrfach genutzt und eben auch nochmal getestet.
Passwort.png
Du musst die Nebenstellennummer nutzen und das Passwort, was jetzt hier rot übermalt ist.
 
Um antworten zu können musst du eingeloggt sein.

Einstieg für Admins

Top-Foren

Zurzeit aktive Besucher

Keine Mitglieder online.
Gesamt: 47 (Mitglieder: 0, Gäste: 47)

Statistik des Forums

Themen
21.133
Beiträge
106.331
Mitglieder
70.216
Neuestes Mitglied
rudy cruysbergs
Holen Sie sich 3CX - völlig kostenlos!

Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX register cta
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Verifizieren Sie Ihre E-Mail-Adresse

Prüfen Sie Ihren Posteingang!

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – Wenn Sie keine Nachricht finden können, dann überprüfen Sie auch Ihren Spam-Ordner.

Oben Unten
Zurück