{"id":187395,"date":"2017-02-12T01:31:00","date_gmt":"2017-02-12T00:31:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=187395"},"modified":"2022-09-16T09:21:00","modified_gmt":"2022-09-16T07:21:00","slug":"merkwrdigkeiten-bei-microsofts-office-aktivierungsseite-fr-mobilgerte","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2017\/02\/12\/merkwrdigkeiten-bei-microsofts-office-aktivierungsseite-fr-mobilgerte\/","title":{"rendered":"Merkw&uuml;rdigkeiten bei Microsofts Office-Aktivierungsseite f&uuml;r Mobilger&auml;te"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2012\/07\/Office1.jpg\" width=\"55\" height=\"60\" align=\"left\" \/>Microsoft verlangt, dass seine Produkte nach der Installation aktiviert werden. Da es bei der telefonischen Aktivierung von Microsoft Office momentan Probleme gibt, hat ein Leser eine alternative Webseite zur Telefonaktivierung im Blog gepostet. Ich habe mir diese Seite mal genauer angeschaut und bin auf weitere \"Merkw\u00fcrdigkeiten\" bei der Aktivierung \u00fcber Mobilger\u00e4te gesto\u00dfen, f\u00fcr die ich momentan keine wirkliche Erkl\u00e4rung habe. Dr\u00fccken wir es so aus: Das ganze stellt sich f\u00fcr mich obskur bis unprofessionell dar. Hier ein paar Informationen, was mir aufgefallen ist.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/1735b9100a844429ab6fd08930f937b4\" alt=\"\" width=\"1\" height=\"1\" \/>Irgendwie scheint Microsoft (zumindest von mir gef\u00fchlt) den \u00dcberblick zu verlieren, was die Aktivit\u00e4ten hinsichtlich der Produktaktivierung betrifft. Bei Windows 7 fallen mir in Microsoft Answers immer wieder Nutzer auf, denen die Aktivierung eines Systems verweigert wird. Das Ganze ausschlie\u00dflich auf \"Raubkopien\" zu schieben, erscheint mir etwas zu einfach. Aber da habe ich nichts belastbares an Details (und Hinweise aus anonymen Kan\u00e4len mag ich nicht publizieren, speziell, wenn nichts verifizierbar ist). Leider gibt es auch bei Microsoft Office Ungereimtheiten, die mich hier im Blog bereits ein paar Tage besch\u00e4ftigen. Nun kommt eine neue Erkenntnis hinzu.<\/p>\n<h3>Zum Hintergrund: Telefonische Office-Aktivierung scheitert<\/h3>\n<p>Ich hatte bereits Anfang Januar 2017, nach einem Leserhinweis, im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2017\/01\/06\/office-2010-telefonaktivierung-eingestellt-merkwrdigkeit-ii\/\">Office 2010: Telefonaktivierung eingestellt? \u2013 Merkw\u00fcrdigkeit II<\/a> auf das Problem hingewiesen. Wer Microsoft Office 2010 neu installieren muss, erh\u00e4lt bei der telefonischen Aktivierung den Hinweis \u201eDie telefonische Aktivierung wird f\u00fcr dieses Produkt nicht mehr unterst\u00fctzt\".<\/p>\n<p><a href=\"https:\/\/web.archive.org\/web\/20170214231612\/https:\/\/s55.imgup.net\/Aktivierun9fec.jpg\"><img loading=\"lazy\" decoding=\"async\" title=\"Office 2010-Aktivierungs-Assistent\" src=\"https:\/\/web.archive.org\/web\/20170214231612\/https:\/\/s55.imgup.net\/Aktivierun9fec.jpg\" alt=\"Office 2010-Aktivierungs-Assistent\" width=\"578\" height=\"439\" \/><\/a><\/p>\n<p>Der Artikel hat etwas Wellen geschlagen und wurde zwischenzeitlich fast 10.000 Mal abgerufen. Es scheint also nicht nur ein Nutzer betroffen zu sein \u2013 und scheinbar tritt das Problem auch bei Microsoft Office 2013 und 2016 auf. Mittlerweile hat Microsoft einger\u00e4umt, dass ein Problem mit der telefonischen Aktivierung besteht und dass man an der Bearbeitung arbeitet (siehe mein Nachtrag im Artikel <a href=\"https:\/\/borncity.com\/blog\/2017\/02\/09\/neues-zur-office-2010-telefonaktivierung\/\">Neues zur Office 2010-2016-Telefonaktivierung<\/a>), Auf der Webseite <a href=\"https:\/\/support.office.com\/de-de\/article\/Aktivieren-von-Office-365-Office-2016-oder-Office-2013-1144e0de-e849-496e-8e33-ed6fb1b34202?ui=de-DE&amp;rs=de-DE&amp;ad=DE\" target=\"_blank\" rel=\"noopener noreferrer\">Aktivieren von Office 365, Office 2016 oder Office 2013<\/a> ist der Hinweis auch zu finden und es sind die Schritte zur Aktivierung beschrieben. Aber die Geschichte geht noch weiter.<\/p>\n<h3>Da gab es den Leser-Tipp: Mobilger\u00e4te-Aktivierungsseite hilft \u2026<\/h3>\n<p>In den Kommentaren zum Office-Aktivierungsartikel wurde von Benutzer <em>JaDz<\/em> dankenswerter Weise ein Link zur Webseite http:\u00a0 \/\/\u00a0 bit.ly\/ 2cQPMCb gepostet. Der verk\u00fcrzte Bit.ly-Link verweist auf die Webseite<\/p>\n<p><em>https: \/\/ microsoft.gointeract.io\/mobileweb\/\u2026<\/em><\/p>\n<p>auf der sich Microsoft-Produkte nach wie vor per Mobilger\u00e4t aktivieren lassen. Hier ist ein Screenshot der betreffenden Seite.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/1QmlEbD.jpg\" \/><\/p>\n<p>Tippt man auf einen der Eintr\u00e4ge, erscheint im Aktivierungsfenster ein Ziffernfeld, \u00fcber welches man die Installations-ID eintragen kann (siehe folgender Screenshot). Dann bekommt man den Aktivierungscode angezeigt. Die Webseite gibt auch Hilfestellung bei der Aktivierung von Windows 10 und kann wohl verschiedene Produkte an Hand der Produkt-ID aktivieren. Die R\u00fcckmeldungen in den Kommentaren zeigen, dass das Ganze funktioniert.<\/p>\n<h3>Merkw\u00fcrdigkeiten und eine Warnung von mir<\/h3>\n<p>Ich hatte den obigen Link, der vom Benutzer gepostet wurde, nicht weiter beachtet. Im Rahmen der Nachbearbeitung f\u00fcr den Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2017\/02\/09\/neues-zur-office-2010-telefonaktivierung\/\">Neues zur Office 2010-2016-Telefonaktivierung<\/a> wurde ich erneut auf den Link aufmerksam und habe die Seite angesehen. Die Webseite ist zwar in Deutsch (kann aber wohl auch in anderen Sprachen abgerufen werden) und kommt sogar mit SSL-Verschl\u00fcsselung daher. Wie oben erw\u00e4hnt, best\u00e4tigen R\u00fcckmeldungen anderer Benutzer auch, dass die Aktivierung von Microsoft Office \u00fcber die Webseite funktioniert.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/web.archive.org\/web\/20170216120415\/https:\/\/m82.imgup.net\/MobileAkti5a05.jpg\" \/><\/p>\n<p>Aber die Webseite \u201eSelf Service for Mobile\" (siehe obiger Screenshot) wird im Google Chrome-Browser als unsicher ausgewiesen. Das hat nat\u00fcrlich meine Aufmerksamkeit geweckt und ich habe genauer nachgeschaut. Was ich dann gefunden habe, verursachte mehr als Stirnrunzeln.<\/p>\n<p><a href=\"https:\/\/web.archive.org\/web\/20170214231612\/https:\/\/p73.imgup.net\/MobileAktibc4f.jpg\" target=\"_blank\" rel=\"noopener noreferrer\"><img decoding=\"async\" src=\"https:\/\/web.archive.org\/web\/20170214231612\/https:\/\/p73.imgup.net\/MobileAktibc4f.jpg\" \/><\/a><\/p>\n<ul>\n<li>Als erstes f\u00e4llt auf, dass es sich nicht um eine Webseite der Domain <em>microsoft.com <\/em>handelt \u2013 h\u00e4tte ich bei einer Aktivierungsseite erwartet.<\/li>\n<li>Die Site enth\u00e4lt mixed Content (Bilder werden unverschl\u00fcsselt \u00fcbertragen) und der Inhalt wird \u00fcber Cloudflare ausgeliefert (soll wohl sicherstellen, dass auch h\u00f6here Aufrufzahlen gestemmt werden k\u00f6nnen).<\/li>\n<li>Das bem\u00e4ngelte Bild ist das Microsoft-Logo, welches im Kopf der Seite eingeblendet wird. Dieses wird unverschl\u00fcsselt von einer Microsoft-Seite in die Mobilger\u00e4te-Aktivierungsseite eingebunden \u2013 daher der mixed Content.<\/li>\n<li>Das Zertifikat ist von Go Daddy (US-Hoster) ausgestellt und l\u00e4uft aktuell im M\u00e4rz 2017 aus \u2013 d\u00fcrfte aber verl\u00e4ngert werden.<\/li>\n<\/ul>\n<p>Das alleine lie\u00df bei mir alle Alarmglocken schrillen \u2013 kenne ich diese Ans\u00e4tze doch von Phishing-Sites. Speziell das Einbinden von Logos aus Unternehmenswebseiten wird typischerweise beim Phishing verwendet. Auch Go Daddy ist mir in diesem Zusammenhang schon mal negativ aufgefallen, da dort kompromittierte Server gehostet wurden und Go Daddy auf meine Takedown-Hinweise nicht reagierte. Ich habe dann weiter gegraben:<\/p>\n<ul>\n<li>Da gibt es eine Subdomain <em>microsoft<\/em>, die aber nicht auf eine Microsoft-Domain sondern auf\u00a0<em>gointeract.io <\/em>verweist. Mysteri\u00f6s, bis zum geht nicht mehr.<\/li>\n<li>\u00dcber den Domain-Besitzer von <em>gointeract.io <\/em>bekommt man keine Details bei einer WhoIs-Abfrage. Ich habe verschiedene Seiten bem\u00fcht und folgendes angezeigt bekommen.<\/li>\n<\/ul>\n<pre>Domain : gointeract.io\r\nStatus : Live\r\nExpiry : 2021-03-14\r\n\r\nNS 1   : ns-887.awsdns-46.net\r\nNS 2   : ns-1211.awsdns-23.org\r\nNS 3   : ns-127.awsdns-15.com\r\nNS 4   : ns-1980.awsdns-55.co.uk\r\n\r\nOwner OrgName : Jacada\r\n\r\nCheck for 'gointeract.sh' --- \r\nCheck for 'gointeract.ac' ---<\/pre>\n<p>Immerhin ist die Domain bis 2021 registriert. Aber der Owner OrgName <em>Jacada<\/em> sagte mir gar nichts und eine reine Suche nach dem Namen f\u00f6rderte beim ersten Versuch auch wenig Belastbares zu Tage (Details dazu weiter unten). Auch sonst sieht die Mobilger\u00e4te-Aktivierungseite recht \u201ewindig aus\". In der linken unteren Ecke des Browserfenster gibt es einen nicht lesbaren Text. Klickt man auf den betreffenden Hyperlink, wird man zu Microsoft Frankreich weiter geleitet.Auf der englischsprachigen Seite geht es zu Microsoft USA.<\/p>\n<p>Bei mir kam dann der Verdacht auf, dass es (wegen der Subdomain <em>microsoft.***<\/em>) eine Phishing-Site sein k\u00f6nnte, die nur die Keys abgreifen soll. Daher habe ich <a href=\"https:\/\/borncity.com\/blog\/2017\/01\/06\/office-2010-telefonaktivierung-eingestellt-merkwrdigkeit-ii\/#comment-40685\">diesen Kommentar<\/a> mit einer Warnung, der Webseite nicht zu trauen, verfasst. Sp\u00e4ter kam mir der Verdacht, dass die Site inoffiziell von franz\u00f6sischen Microsoft Mitarbeitern aufgesetzt wurde, um das Aktivierungsproblem zu l\u00f6sen.<\/p>\n<p>Das sind dann so Tage, wo Du dich als Blogger fragst \"Mist, hast Du was \u00fcbersehen und Leute in eine Falle gelockt\". Also habe ich ich den Ersteller <a href=\"https:\/\/borncity.com\/blog\/2017\/01\/06\/office-2010-telefonaktivierung-eingestellt-merkwrdigkeit-ii\/#comment-39509\">dieses Kommentars<\/a> per Mail \u00fcber meinen Kommentarnachtrag informiert und gleichzeitig den Bit.ly-Link inaktiv gesetzt (als Webmaster kann ich das und auch Kommentare so einpflegen, dass sie an der richtigen Stelle einsortiert werden).<\/p>\n<h3>Ein Benutzerhinweis: Der Link kommt von \"Microsoft\" \u2026<\/h3>\n<p>Benutzer JaDz hat sich sofort gemeldet und wies in einem <a href=\"https:\/\/borncity.com\/blog\/2017\/01\/06\/office-2010-telefonaktivierung-eingestellt-merkwrdigkeit-ii\/#comment-40696\">weiteren Kommentar<\/a> darauf hin, dass man die per Bit.ly verk\u00fcrzte URL per SMS zugesandt bekomme, wenn man bei der Telefonaktivierung von Microsoft Office angibt, dass man per Mobilger\u00e4t aktivieren m\u00f6chte. An dieser Stelle mein ausdr\u00fccklicher Dank f\u00fcr die schnelle Reaktion \u2013 das mit der SMS hatte ich so nicht mitbekommen. Es ist also etwas \"offizielles\" von Microsoft, was da \u00fcber Bande \u00fcber die Website <em>microsoft.gointeract.io <\/em>abgewickelt wird.<\/p>\n<p><!--EndFragment--><\/p>\n<h3>Noch ein wenig weiter gegraben<\/h3>\n<p>An dieser Stelle war mir irgendwie klar, dass da kein Phisher hinter steckt, sondern irgend etwas von Microsoft an Funktionalit\u00e4t eingebracht wird. Da ich schon mal begonnen hatte, ein paar Zeilen f\u00fcr einen Blog-Beitrag zusammen zu tragen, habe ich nochmals meine Nase in die Materie gesteckt.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/web.archive.org\/web\/20170214231613\/https:\/\/k21.imgup.net\/Jacadac7c1.jpg\" \/><\/p>\n<p>Der Owner OrgName <em>Jacada<\/em> hatte mir bei der ersten Suche nichts vern\u00fcnftiges ausgeworfen. Also habe ich das Web mal nach <em>Jacada<\/em> und <em>Microsoft <\/em>befragt und wurde sofort mit einem scheinbar passenden Treffer f\u00fcndig. Die Site jacada.com (siehe obiger Screenshot) geh\u00f6rt offenbar einen Dienstleister, der f\u00fcr diverse Kunden aktiv ist.<\/p>\n<p>Ich habe dann mal geschaut, aber Microsoft nicht als Kunden gefunden. Aber der Name wird von der Google Suche sofort in Verbindung mit Microsoft ausgeworfen. An dieser Stelle muss ich jetzt ein wenig Phantasie spielen lassen. Es ist bekannt, dass Microsoft seit einiger Zeit nachgelagerte Dienstleistungen an externe Firmen auslagert.<\/p>\n<p>Ich gehe nun davon aus (m\u00f6glicherweise liege ich daneben), dass da im Umfeld von Jacada jemand die Mobilger\u00e4te-Aktivierungsseite aufgesetzt hat. \u00dcber Ajax werden wohl die Microsoft Aktivierungsserver angesprochen und die Aktivierung wird abgewickelt. Und wer bei einer Aktivierung angibt, ein Mobilger\u00e4t zu verwenden, bekommt den Link zur oben genannten Webseite per SMS \u00fcbermittelt. So weit so schlecht.<\/p>\n<h3>Garagenklitsche oder Weltfirma?<\/h3>\n<p>Bleibt die finale Betrachtung der ganzen Angelegenheit. Mal Hand aufs Herz: wir reden bei Microsoft \u00fcber einen Weltkonzern, der hochsichere Cloud-Infrastrukturen betreiben will. Da ist es schon nicht sch\u00f6n, wenn deren Aktivierungskette f\u00fcr Office-Produkte bricht. Ein zahlender Kunde, der sein Office regul\u00e4r gekauft hat, ist mit Recht sauer, wenn er die Meldung erh\u00e4lt, dass die telefonische Aktivierung eingestellt wurde.<\/p>\n<p>Die bisherigen Erl\u00e4uterungen auf Microsofts Webseiten, dass sich die Aktivierungsprobleme auf Office 2016 beziehen, sind ebenfalls inkonsistent (die Probleme gibt es auch bei anderen Office-Versionen).<\/p>\n<p>Was in meinen Augen aber gar nicht geht (sofern die Aktivierungsseite von Microsoft stammt): Die Art, wie die Webseite zur Produktaktivierung per Mobilger\u00e4t aufgesetzt wurde. Wir reden von einer Webseite, in der sensitive Informationen wie eine Installations-ID zur Aktivierung eingetragen werden soll und \u00fcber die ein Aktivierungscode zur\u00fcckgemeldet wird. Da m\u00fcssten eigentlich h\u00f6chste Sicherheitsstandards gelten. Eine von einem Drittanbieter gehostete Webseite, die zudem noch mixed Content bereitstellt, ist ein Fall von \"h\u00f6chst obskur\" bis \"geht gar nicht\".<\/p>\n<p>Momentan lasse ich das Ganze einfach mal so, wie hier beschrieben, im Raum stehen und wundere mich lediglich. M\u00f6glicherweise habe ich ja einen Denkfehler gemacht und etwas \u00fcbersehen \u2013 dann k\u00f6nnte ihr ja einen Kommentar hinterlassen. Ich werde auch mal bei Microsoft Deutschland nachfragen, was das Ganze zu bedeuten hat.<\/p>\n<blockquote><p><strong>Addendum:<\/strong>\u00a0Der urspr\u00fcngliche Link ist inzwischen gebrochen. Ein englischsprachiger Blog-Leser hat mir einen neuen Link ) gepostet. Der Link zeigt auf eine Webseite, wo man \u00fcber <em>Product Activation\u00a0sein Microsoft Office aktivieren kann.\u00a0<\/em><\/p><\/blockquote>\n<p><strong>\u00c4hnliche Artikel<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/01\/06\/windows-10-reboot-unvollstndig-merkwrdigkeit-i\/\">Windows 10: Reboot unvollst\u00e4ndig? \u2013 Merkw\u00fcrdigkeit I<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/01\/06\/office-2010-telefonaktivierung-eingestellt-merkwrdigkeit-ii\/\">Office 2010: Telefonaktivierung eingestellt? \u2013 Merkw\u00fcrdigkeit II<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/01\/06\/windows-78-1-treiberaktualisierung-killt-system-merkwrdigkeit-iii\/\">Windows 7\/8.1: Treiberaktualisierung killt System \u2013 Merkw\u00fcrdigkeit III<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2017\/02\/09\/neues-zur-office-2010-telefonaktivierung\/\">Neues zur Office 2010-2016-Telefonaktivierung<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft verlangt, dass seine Produkte nach der Installation aktiviert werden. Da es bei der telefonischen Aktivierung von Microsoft Office momentan Probleme gibt, hat ein Leser eine alternative Webseite zur Telefonaktivierung im Blog gepostet. Ich habe mir diese Seite mal genauer &hellip; <a href=\"https:\/\/borncity.com\/blog\/2017\/02\/12\/merkwrdigkeiten-bei-microsofts-office-aktivierungsseite-fr-mobilgerte\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,3694],"tags":[114,5922,4322,4378],"class_list":["post-187395","post","type-post","status-publish","format-standard","hentry","category-office","category-windows-10","tag-aktivierung","tag-mobilegeraete","tag-office","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187395","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=187395"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/187395\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=187395"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=187395"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=187395"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}