2FA und Apple Online Store

[echo.park]

Hi,

ich habe für meine Apple ID die "neue" 2FA aktiviert.

Nun konnte ich eben über den Apple Online Store eine Bestellung ohne Code-Abfrage durchführen. Ist das denn normal?

Mir ist aufgefallen, dass alles was auf dieser Seite unter "Bestellung" gelistet ist ohne Code funktioniert und alles unter dem Überbegriff "Account" aber dann doch einen Code benötigt.

Kann das jemand bestätigen, einfach nur, damit ich beruhigt bin und sicher sein kann, dass mein Account korrekt funktioniert und nicht wieder irgendwelche Merkwürdigkeiten auftreten? Ich hatte da schon die dollsten Dinger, deswegen werde ich da immer hellhörig, wenn etwas nicht ganz nach meinen Vorstellungen abläuft.

 

[saw]

Mal im Browser alle Daten gelöscht, wie Cookies, Verlauf etc.?
Solange ich die nicht lösche, komme ich auch sofort zu meinem Warenkorb.

 

[echo.park]

Ja.

// Edit:
Sag mir doch lieber, wie es ist, wenn DU alle Daten gelöscht hast und DU auf der von mir verlinkten Seite deine Bestellungen einsehen willst.

 

[saw]

Da muss ich mich neu einloggen wenn alles gelöscht ist

Mir ist aufgefallen, dass alles was auf dieser Seite unter "Bestellung" gelistet ist ohne Code funktioniert

Zu meinen Bestellungen komme ich dann alleine mit meiner Apple ID und Kennwort, also wie bei dir.

alles unter dem Überbegriff "Account" aber dann doch einen Code benötigt.

Zu meinen Daten nur wenn ich zus. noch den Code eingebe der mir dann geschickt wird, also auch wie bei dir.

 

[echo.park]

Ich danke dir für deinen Test. Jetzt bin ich beruhigt, liegt nicht an mir.

Also kann man quasi prima shoppen gehen mit einem fremden Account, trotz 2FA. Wiedermal typisch Apple.

 

[NorbertM]

Also kann man quasi prima shoppen gehen mit einem fremden Account, trotz 2FA. Wiedermal typisch Apple.

Nein.

 

[echo.park]

Nein.

Wieso "nein"? Habe ich doch gestern gemacht.

Einloggen, Bestellung aufgeben, Empfängeradresse eingeben und Zahlungsart festlegen. Ging alles ohne Code-Abfrage.

Also was soll dein "nein"? Und warum führst du kein Argument an? Soll ich deinen Post ignorieren? Sowas regt mich auf, echt.

 

[NorbertM]

Habe ich doch gestern gemacht.

Mit einem fremden Account, verrätst du uns den Trick?

 

[echo.park]

Mit einem fremden Account, verrätst du uns den Trick?

Erbsenzähler, was?

Nein. Natürlich mit dem eigenen Account. Spielt aber auch keine Rolle. Mit einem jungfräulichen Browser ist das Verfahren ja wohl absolut identisch. Passwort ist bekannt, 2FA greift an dieser Stelle nicht.

Jetzt weiß ich aber immer noch nicht, was dein "nein" zu bedeuten hat...

 

[Macbeatnik]

Für mich stellt sich jetzt erst einmal die Frage, ob du bereits dieses Gerät als vertrauenswürdig angemeldet hast, wenn ja, dann erscheint mir da kein Fehler vorzuliegen.

 

[echo.park]

Ein Gerät als vertrauenswürdig zu markieren hat erstmal nichts mit dem Browser zu tun. Sondern lediglich mit dem geräteeigenen Login bei iCloud und iTunes und so.

Den Browser als vertrauenswürdig zu markieren, beim erstmaligen Login auf einer Webseite von Apple, kann maximal als temporär bezeichnet werden. Nämlich nur solange, bis der Browser zurückgesetzt wird, oder die Cookies und Tokens anderweitig verloren gehen oder ihre Berechtigung verlieren. Zum Beispiel wenn man auswählt "Bei allen Browsern abmelden" unter icloud.com.

Und ja, mein Browser war nie als vertrauenswürdig markiert und wurde zudem noch zurückgesetzt, was garnicht nötig gewesen wäre.

Und noch was: An manchen Punkten werde ich ja nach dem Code gefragt, wie in meinem Eingangspost beschrieben. Gleicher Browser, gleiche Session. Und an anderen Stellen eben nicht. Damit sollte doch dann alles klar sein. Wäre mein Browser als vertrauenswürdig eingestuft würde nie nach einem Code gefragt werden, darum geht es ja.

Apple hat aus irgendeinem Grund darauf verzichtet alles per Code-Abfrage abzuschotten, oder es wurde eben geschlampt.

Fakt ist und bleibt: Der Account ist nicht vollständig abgeriegelt. Jemand im Besitz des Passwortes kann trotz 2FA bei Apple Bestellungen aufgeben.

Ich hatte in der Vergangenheit dubiose Probleme mit meiner Apple ID und der 2FA, die hier nicht näher erläutert werden, es tut nichts zur Sache, deshalb wollte ich eben, dass das Verhalten von jemand anderem reproduziert wird. Und das hat @saw getan, danke dafür. Jetzt weiß ich, dass bei mir alles korrekt gelaufen ist und es eben so funktioniert, auch bei anderen. Gefallen tuts mir nicht.

 

[Macbeatnik]

Man kann nicht von einem fremden Gerät mit deinem Passwort etwas bestellen.

 

[NorbertM]

Mab müsste ja auch die Account-Daten ändern, sonst erhält der "Bestohlene" eine Mail mit den Bestelldaten und kann aktiv werden - das geht vermutlich nicht ohne Code.

Ich möchte jedenfalls nicht bei jedem Kauf mit der Code-Abfrage belästigt werden.

 

[Macbeatnik]

Zumal dieses dann auch erfordert, mindestens 2 vertrauenswürdige Geräte immer greifbar zu haben.
Nochmal der Hinweis, das Gerät ist vertrauenswürdig, nicht der Browser oder irgendein Programm.

 

[echo.park]

Nochmal der Hinweis, das Gerät ist vertrauenswürdig, nicht der Browser oder irgendein Programm.

Ach, und warum werde ich dann an manchen Punkten nach dem Code gefragt? Und auch die Option "Diesem Browser vertrauen" (oder so ähnlich) steht dann beim Login zur Verfügung. Klicke ich das nicht an, werde ich beim nächsten Mal wieder gefragt. Und das alles auf einem Gerät, das als vertrauenswürdig gilt und auch die Codes selbst erhalten kann.

// Edit:

Man kann nicht von einem fremden Gerät mit deinem Passwort etwas bestellen.

Das habe ich doch oben widerlegt.

Mab müsste ja auch die Account-Daten ändern, sonst erhält der "Bestohlene" eine Mail mit den Bestelldaten und kann aktiv werden - das geht vermutlich nicht ohne Code.

Die Mail-Adresse für die Bestellbestätigung kann während des Bestellens geändert werden, ich habe extra darauf geachtet. Kann geändert werden wie so ziemlich alles... Adresse, Zahlungsdaten usw..

Vielleicht kann ja @Fresh_Prince etwas dazu sagen, quasi als Apple-Supporter.

 

[Fresh_Prince]

Nein. Wusste ich bisher auch nicht. Da hilft es nur per Feedbackseite darauf hin zu weisen.

Ich habe aber mal etwas rum probiert. Wenn ich auf www.apple.de gehe und dort oben rechts auf die Einkaufstasche klicke, dann kann mich mich ja anmelden. Das geht ohne Code. Wenn ich jedoch dort dann auf Account klicke und dort etwas an meinen Accountdaten ändern will (Adresse usw.) dann kommt sofort die Codeanforderung und die Erwähnung ob ich diesem Browser vertrauen will.
Wie das jetzt beim Bestellen ist weiß ich nicht. Ich habe bisher noch nichts im Apple Online Store gekauft.


EDIT:

Ich bin mal so weit gegangen das ich mich beim Bestellprozess anmelden muss. Ja, es kommt keine Codeanfrage. Das verwirrt mich, denn ich finde, dass das genauso dazu gehört wie alle anderen Dinge wo die 2FA Codeabfrage kommt.

Wie gesagt würde ich da die Feedbackseite bemühen und Webseitenfeedback geben.


PS:

Ich werde aber auch mal versuchen das morgen weiterzugeben und ob das auch intern weiter gereicht werden kann. So wie ich Zeit habe. Davon gibts momentan nicht so viel.

 

[echo.park]

Ah! Endlich noch jemand der mich versteht und den das genauso stört wie mich.

Finde ich klasse, dass du das mal weitergeben willst.

Ich kann dir sagen, dass der Bestellprozess genauso abläuft wie das nachträgliche Einsehen und Ändern von Bestellungen. Eben ohne Code-Abfrage. Und während dessen können auch Daten geändert werden. Lieferadresse, Zahlungsart und Mail-Adresse für Bestellbestätigung.

Die Code-Abfrage kommt nur, will man dauerhaft etwas am Account ändern. Was ja erstmal gut so ist. Es hindert aber eben niemanden daran eine Bestellung an eine fremde Adresse zu tätigen.

Und ich wiederhole mich noch mal: All das hat nicht das Geringste damit zu tun, ob das Gerät per Apple ID als vertrauenswürdig gilt oder nicht. Ich könnte auch von jedem Internetcafe aus mit meinem Account etwas bestellen, ohne Code-Abfrage.

Nochmal danke an @saw und @Fresh_Prince für euer Feedback. Ich danke auch den Anderen. Nur leider wurde das Problem nicht erkannt oder schlicht nicht für möglich gehalten, trotz aller Argumente und von mir vorgebrachten Erfahrungen.