Time out mijn.freedom

[Noot moderator: Deze post maakte stond eerst in wijziging van de wachtwoordenprocedure]

Als we toch beginnen, ik vindt het ook raar dat mijn.freedom geen timeout heeft.
Bij xs4all was dat wel zo. En natuurlijk, waren er daar een paar op tegen.
Dus een knopje ernaast om het te verlengen dan weer handig zijn.

Een lijn zonder versleuteling, is niet meer van deze tijd.
Een provider dwingen om het zo ouderwets mogelijk te doen, is ook onredelijk.

Inloggen met 1234 en geen versleuteling en het gaat mis.
Loop je de kans, dat de mail van andere klanten ook op de blacklist komt.
Dit lijkt ook heel veel op die oude discussie bij xs4all toen smtp beveiligd werd.
Officieel is Eudora sinds 2013 geschiedenis. De broncode is naar een museum gegaan.

1 like

Inzake time-out zou ik bv ook willen dat bij verkeerd inloggen er dan een soort van oplopende vertraging voor de volgende poging vanaf een bepaald IP adres.
Naast eenvoudig te realiseren, ook uiterst effectief tegen individuele crackers zoals we bestrijden met een fail2ban.

Je reactie snijdt zeker hout wel maar ik wilde opzettelijk met die oude zooi aangeven hoe vrijheid tot iemands handelen even goed een plek kan krijgen. Zoals je mag verwachten ben en zal ik het niet eens zijn met dat een ander voor mij bepaald wat zg niet meer van deze tijd zou zijn.

Los van, wat je zelf mag vinden, vind ik het vreemd aandoen dat instanties of providers op internet - voor mij - gaan bepalen wat daar moet worden gebruikt. Iets dat sws niet past met hoe het internet in die (technische) vrijheid voor is (of was) bedoeld.

De techniek hoort nooit te gaan bepalen hoe een gebruiker vermag communiceren of daarin zelf kunnen handelen. Dat iets eerder werkend, in complex of onbruikbaar is gemaakt is wmb een keuze van(wege) de provider.
Het nieuwsgierige kind maar ook de mens in zijn laatste levensdagen mag niet op grond van iemands perceptie worden uitgesloten om naar eigen vermogen deel te nemen aan de samenleving.

Dat er een risico is dat door handelen van een individu, de rest van een “commmunity”, als geheel op een blacklist kan komen is het gevolg van een uiterst storende ontwikkeling.
Juist een Freedom zou zich daarin hevig tegen dergelijke uitsluitingen moeten willen verzetten.

Een veroorzakende gebruiker die bewust afwijkt van een gangbaar advies, kan onverhoopt bij ongewenste issues ook worden aangesproken of zo nodig op een strafbankje van de provider worden gezet.
Iets dat bv bij xs4all gebeurde met lieden (m2) die grenzen van het mogelijke gingen verkennen. Niet als doel om stuk te maken maar werkingen te exploreren en die zo te kunnen (laten) verbeteren.
Iets wat dan juist weer tot voordeel leidde waarmee xs4all haar grenzen kon verleggen.

Dat de eenzijdige macht van een aantal grote spelers en hun belanghebbenden, de inrichting(seisen) van het internet bepalen is juist iets waar tegen gestreden moet worden door bv een Freedom.

1 like

Ik heb nooit getest welke brute force beveiliging er in zit.
Ik neem toch aan, dat er iets is?

Het verdubbelen van de wachttijd, is wel een goede die dom doorgaan afremt.

groeiende Time-Out goed idee:
1e poging 1 sec. vertraging,
bij elke volgende keer fout vanaf hetzelfde IP-adres verdubbelt de wachttijd; loopt lekker hard op.

2 tikfoutjes is niet zo vervelend,
reeksen proberen wordt na ongeveer 10 pogingen wel heel erg onwerkbaar.

.
onversleuteld/oude techniek

Persoonlijk vind ik vrijheid in gebruik van gebruikte techniek prima,voor zover:

  • anderen daar geen last van hebben (ook niet van effecten; bv blacklist)
  • Freedom zèlf daar geen last van heeft (aparte installaties/software, enz)
  • jij je beseft dat jij zèlf onveiliger werkt

Helaas is Freedom erg afhankelijk van wat ‘onder-aannemers’ aanbieden.
Zodra het mogelijk is om ‘alles’ in eigen huis te doen,
wordt het ook makkelijker om gebruikers ook op dit vlak vrijheid te bieden.

( zie ik een parallel? Jouw eigen apparatuur mag ook ‘van alles’ wezen,
als het maar contact kan maken op het net. Ook hier zijn geen directe veiligheidseisen, toch? )

Bij mijn weten zit, althans tot vorig jaar cq nu, niets vertragend in.
Ik weet niet of/en wat achter de schermen daarin wordt gemonitord.
Ik ga dat niet uitproberen met mijn Freedom account.

  • Ik zie wel op een account pagina dat iets tussen 21dec24 en vandaag, geen idee wie/wat/waar/uit, mijn webmail inmiddels ruim 421x heeft gepoogd te benaderen.
    En dan bedenken dat ik dat zelf zeker niet (of extern) gebruik en nog gewoon inloggen.

Ik zou dan bv weer willen dat ik van die fouten bij zeg meer dan 5 of 10, tenminste een waarschuwend mailje krijg.

  • Helaas is er geen API en mijn wannabe poging zelf wat (stabiels) te frĂśbelen met websockets en daarvoor ruim 10MB aan ongepolijste “MijnFreedom” code door te akkeren om dat datahaakje te zetten, is hooguit zinnig als oefening.
    Goed bericht daarin is dat die MijnFreedom client-code (scripts) grotendeels lijkt te bestaan uit OpenSource (copies) modules.
    Ik wil mij wel weer voorstellen dat met wat eenvoudige resources, het mogelijk lijkt om met bv een zelfverbouwde webbrowser dan gestaag te gaan bruteforcen.
    Eenmaal binnen op het account en de UUID structuur daarvan te doorgrondend, zal veel mogelijk zijn.
    Bruteforcen van smtp/imap is natuurlijk envoudiger omdat het daarin volstaat om via mailprotocol binnen te treden.