• Dieses Forum dient dem Erfahrungsaustausch und nicht dem (kommerziellen) Anbieten von Incentives zum Abschluss einer neuen Kreditkarte.

    Wer sich werben lassen möchte, kann gerne ein entsprechendes Thema im Bereich "Marketplace" starten.
    Wer neue Karteninhaber werben möchte, ist hier fehl am Platz. Das Forum braucht keinen Spam zur Anwerbung neuer Kreditkarteninhaber.

    Beiträge, bei denen neue Kreditkarteninhaber geworben werden sollen, werden ohne gesonderte Nachricht in beiden Foren entfernt.

    User, die sich zum Werben neuer Kreditkarteninhaber neu anmelden, werden wegen Spam direkt dauerhaft gesperrt. User, die an anderer Stelle im Forum mitdiskutieren, sich aber nicht an diese Regeln halten, müssen mit mindestens 7 Tagen Forenurlaub rechnen.

LH Online Portal neugestaltet

ANZEIGE
bizzel

bizzel

Erfahrenes Mitglied
28.12.2009
510
9
Rheinhessen/Rhein-Main
Bei mir ist diese neue Seite schon seit etwa einer Woche aktiv. Jedoch öffnet sich nach dem Login ein neues Fenster: Hier handelt es sich dann wiederum um die alte Webseite. Die neue Webseite bleibt im Hintergrund geöffnet, dort bin ich allerdings nicht eingeloggt. :confused:
Aber so lang es funktioniert... :)
 
Wombert

Wombert

Erfahrenes Mitglied
20.03.2010
3.770
7
MUC
Sicherheitstechnisch ist das neue Portal katastrophal.

  1. Es gab keine Benachrichtigung von LH, dass sich die Domain ändern wird
  2. Die Domain lässt wie "kartenabrechnung.de" keinen Schluss darauf zu, dass LH sie wirklich kontrolliert. Wieso nicht cc.miles-and-more.com oder sowas?
  3. Die Umleitung erfolgt auf http://, nicht auf https://, so dass das Loginformular über eine ungeschützte Seite ausgeliefert wird. Man kann nicht sicher sein, dass der Login auch bei LH landet und nicht woanders, wenn z.B. in nem offenen WLAN jemand mit minimalem Aufwand die Verbindung mitschneidet und verändert
  4. Das SSL-Zertifikat ist *nicht* auf die LH oder eine andere Organisation ausgestellt, sondern nur auf die Domain (irgendwas für 20 Euro statt ein gescheites für 500 Euro). Unfassbar!

Werde morgen mal bei der Hotline anrufen und Dampf machen. Das ist echt nicht zu glauben. So eine verfluchte Stümperei. Da fehlen mir komplett die Worte.
 
W

wizzard

Erfahrenes Mitglied
09.03.2009
8.735
2.274
Wombert meinte:
Sicherheitstechnisch ist das neue Portal katastrophal.

  1. Es gab keine Benachrichtigung von LH, dass sich die Domain ändern wird
  2. Die Domain lässt wie "kartenabrechnung.de" keinen Schluss darauf zu, dass LH sie wirklich kontrolliert. Wieso nicht cc.miles-and-more.com oder sowas?
  3. Die Umleitung erfolgt auf http://, nicht auf https://, so dass das Loginformular über eine ungeschützte Seite ausgeliefert wird. Man kann nicht sicher sein, dass der Login auch bei LH landet und nicht woanders, wenn z.B. in nem offenen WLAN jemand mit minimalem Aufwand die Verbindung mitschneidet und verändert
  4. Das SSL-Zertifikat ist *nicht* auf die LH oder eine andere Organisation ausgestellt, sondern nur auf die Domain (irgendwas für 20 Euro statt ein gescheites für 500 Euro). Unfassbar!

Werde morgen mal bei der Hotline anrufen und Dampf machen. Das ist echt nicht zu glauben. So eine verfluchte Stümperei. Da fehlen mir komplett die Worte.
Zum Vergrößern anklicken....

Ich verstehe ja nicht viel davon. Ich weiß nur, dass ich mich immer unter
https://www.miles-and-more.kartenabrechnung.de/
angemeldet habe und sich daran nichts geändert hat. Über was sollte mich LH informieren, wenn alles wie immer ist? ;)
Und das "miles-and-more" das du forderst, steht doch da. Vielleicht habe ich aber einfach zu wenig Ahnung von der Materie, um dein Problem zu verstehen.
 
Xexor

Xexor

Erfahrenes Mitglied
08.09.2009
1.893
2
MUC
wizzard meinte:
Ich verstehe ja nicht viel davon. Ich weiß nur, dass ich mich immer unter
https://www.miles-and-more.kartenabrechnung.de/
angemeldet habe und sich daran nichts geändert hat. Über was sollte mich LH informieren, wenn alles wie immer ist? ;)
Und das "miles-and-more" das du forderst, steht doch da. Vielleicht habe ich aber einfach zu wenig Ahnung von der Materie, um dein Problem zu verstehen.
Zum Vergrößern anklicken....

Bei https://www.miles-and-more.kartenabrechnung.de handelt es sich um die Domain kartenabrechnung.de das miles-and-more am Anfang gibt eine Subdomain an. kartenabrechnung.de deutet ja nicht direkt auf die LH hin.

Wobei es sich bei cc.miles-and-more.com um um die Domain miles-and-more.com handeln würde mit der Subdomain cc.
Jeder würde auf den ersten Blick sehen das es sich dabei um die miles-and-more seite handelt.
 
W

wizzard

Erfahrenes Mitglied
09.03.2009
8.735
2.274
Xexor meinte:
Jeder würde auf den ersten Blick sehen das es sich dabei um die miles-and-more seite handelt.
Zum Vergrößern anklicken....

Ich kapiere das Problem immer noch nicht. Bei https://www.miles-and-more.kartenabrechnung.de/ sehe ich doch auch, dass es sich um die richtige Seite handelt. Diesen Link habe ich nach Mitteilung von LH abgespeichert. LH hat mir doch bei Kontoeröffnung mitgeteilt, dass die Domain kartenabrechnung.de korrekt ist. Ich sehe das Risiko, irgend wo anders hinzukommen, nicht. Wegen mir könnten sie die Domain allesbanane.de für die Kartenabrechnung nehmen, solange ich vorher mitgeteilt bekommen habe, dass es die richtige Domain ist. Ich rufe für Finanzgeschäfte ja nur Seiten auf, von deren Echtheit ich mich vorher überzeugt und die ich unter Favoriten abgespeichert habe.
 
ckruetze

ckruetze

Erfahrenes Mitglied
09.07.2009
638
0
EDXK
Die Domain kartenabrechnung.de steht doch auch auf Lufthansa Flyern, auf der Miles & More homepage und weiteren Seiten.

Wem das nicht reicht, der könnte auch noch bei Denic nachsehen. Dort findet man für kartenabrechnung.de

Code: 
Domaininhaber:  Lufthansa AirPlus Servicekarten GmbH
Adresse:	Hans-Boeckler-Strasse 7
PLZ: 	        63263
Ort: 	        Neu-Isenburg
Land:     	DE

Und weitere Informationen wie Namen, Telefonnummern und E-Mail Adressen.
 
flysurfer

flysurfer

Gründungsmitglied
Teammitglied
06.03.2009
26.000
36
www.vielfliegertreff.de
wizzard meinte:
Ich kapiere das Problem immer noch nicht.
Zum Vergrößern anklicken....

Ich kapiere weder das Problem noch das Thema. Denn bei mir hat sich überhaupt nichts geändert. Nichts wurde neu gestaltet. Alles ist genau wie immer, sieht aus wie immer und findet sich unter der seit Jahren abgespeichterten Adresse. Auch der Link im OP, der angeblich auf eine neue Seite führen soll, führt zur altbekannten Site. Was mache ich falsch? :cry:
 
Xexor

Xexor

Erfahrenes Mitglied
08.09.2009
1.893
2
MUC
wizzard meinte:
Ich kapiere das Problem immer noch nicht. Bei https://www.miles-and-more.kartenabrechnung.de/ sehe ich doch auch, dass es sich um die richtige Seite handelt. Diesen Link habe ich nach Mitteilung von LH abgespeichert. LH hat mir doch bei Kontoeröffnung mitgeteilt, dass die Domain kartenabrechnung.de korrekt ist. Ich sehe das Risiko, irgend wo anders hinzukommen, nicht. Wegen mir könnten sie die Domain allesbanane.de für die Kartenabrechnung nehmen, solange ich vorher mitgeteilt bekommen habe, dass es die richtige Domain ist. Ich rufe für Finanzgeschäfte ja nur Seiten auf, von deren Echtheit ich mich vorher überzeugt und die ich unter Favoriten abgespeichert habe.
Zum Vergrößern anklicken....

Ich wollte Dir auch nur erklären was Wombert versuchte damit zu erklären. Mir ist es auch total egal wie die Domain im Endeffekt heißt.
 
Wombert

Wombert

Erfahrenes Mitglied
20.03.2010
3.770
7
MUC
Ich habs nochmal in einem Blog-Post zusammengefasst und Lufthansa per Twitter draufgeschubst. Sie haben auch schon reagiert, und zumindest das ungesicherte Login-Formular auf der Startseite entfernt. Schonmal super. Jetzt noch das Zertifikat austauschen, und ich bin zufrieden.

Nachzulesen hier: Lufthansa Credit Card Online Security Issues at The Hero Dies in This One

-edit-

Wenn ihr fragen habt, auch zu Details aus dem Artikel, beantworte ich sie hier gerne. Das ist echt ein extrem wichtiges Thema. Wir reisen alle viel, sind in offenen WLANs unterwegs und so weiter. Da ist ein Login auf ungesicherten Seiten echt fatal, weil es wirklich trivial für Angreifer ist, die Daten abzufangen. Das gilt auch für miles-and-more.com. Ich ändere vor dem Login z.B. immer die URL manuell so, dass sie mit "https://" anfängt. Was hier im VFT übrigens nicht geht, der Server kann kein HTTPS, drum ist es wichtig, für seinen Account hier ein Passwort zu nehmen, das man nicht auch fürs Online-Banking oder so etwas verwendet.
 
Zuletzt bearbeitet:
P

peter42

Moderator
Teammitglied
09.03.2009
13.204
1.024
ANZEIGE
Hatte auch gesehen, dass der Login eine Zeitlang ohne https war.
 
Zuletzt bearbeitet:
Um antworten zu können musst
du eingeloggt sein.
Oben Unten