ASP-FastBoard - Demo/Support-Forum
Forum anmelden / register Board
SearchSearch CalendarCalendar GalleryGalleryAuction-PortalAuctions GlobalGlobal Top-ListTopMembersMembers StatisticsStats
get your RSS-Feed
Language/Sprache:  Admin  
 Login: ChatChat (0) new User-MapUser-Mapsend Passwordsend Password RegisterRegister

Forum Overview » Homepagetools - Support » Fehler » Aktivierung per E-Mail
Pages: (1) [1] »
Registration necessaryRegistration necessary
Aktivierung per E-Mail
dieweltistno Access no Access first Post cannot be deleted -> delete the whole Topic 
Group: User
Level: treuer Poster


Posts: 177
Joined: 3/18/2008
IP-Address: saved
offline


Beim Registrieren erhält man eine E-Mail mit dem Aktivierungslink. Ich finde es nicht gut, dass ich in dieser mit meinem Nicknamen angesprochen wurde. Wäre diese E-Mail an die falsche Adresse geraten, hätte dieser User meinen Account freischalten und missbrauchen können, falls es diesem auch gelungen wäre, das Passwort zu erraten.

Ich schlage deswegen vor, dass der Nickname nicht genannt wird in der E-Mail zur Aktivierung. Abgesehen davon fände ich es sicherer, wenn dem User anstatt eines Aktivierungslinks das Passwort ohne weitere Angaben zugeschickt werden würde.

Das hätte den Vorteil, dass bei Falschversendung der Empfänger außer einem Passwort, mit dem er absolut nichts anfangen könnte, keinerlei weitere Angeben hätte.

Es wäre ausgeschlossen, dass ein User sich ein leicht zu knackendes und somit unsicheres Passwort aussucht. Auch wäre es eine Arbeit weniger, die ein User bei der Registrierung zu tun hätte.

Auch wäre ausgeschlossen, dass ein User sich mit falscher Angabe einer E-Mail-Adresse extrem viele male registrieren würde, in der Hoffnung, dass einer der Empfänger dummerweise doch auf den Aktivierungslink drücken würde.


edited by dieweltist on 6/1/2008 9:33:03 PM
Wie man einen Herzinfarkt ohne Arzt und Not-OP überleben und heilen kann
3/18/2008 8:46:57 PM   
Cyberlordno Access no Access no Access 
Group: Administrator
Level: heavy Spammer


Posts: 3610
Joined: 3/11/2004
IP-Address: saved
offline


Hallo,

wenn er ein Passwort erraten kann, dann kann das bei jedem vorhandenen User passieren unabhängig von der Anmelde-Methode.

Passwörter schickt man normalerweise aus Sicherheitsgründen nie zu.
Falls ein Mailserver mal down ist und die Mail deshalb zurückgesendet wird, hat schon ein Fremder das Passwort in der Hand.

Wenn er ein Passwort hat, dann ist das schon sehr unsicher. Denn Benutzernamen kann man idR. viel leichter herausfinden, da dieser meistens der Name der Person ist.

Wenn er so viel Glück hat, dann sollte er auch Lotto spielen. :)


Danke für deine Vorschläge und Gedanken. Finde aber, daß es wie es jetzt ist passt.

lg


Forum-Changelog || zu unseren Angeboten
3/19/2008 9:59:55 AM    
dieweltistno Access no Access no Access 
Group: User
Level: treuer Poster


Posts: 177
Joined: 3/18/2008
IP-Address: saved
offline


Hallo,

stimmt; Du hast recht, daran hatte ich gar nicht gedacht. Trotzdem wäre es doch sicherer, wenn diese E-Mail nicht den Benutzernamen enthalten würde. Denn, was hält Dich davon ab, das so einzurichten? Anstatt mit "Hallo xyz", könnte der neue Admin einfach nur mit "Hallo neuer Forumsadministrator" angesprochen werden. Deswegen bleibe ich in diesem Punkt bei meiner Meinung.

Wenn es so wäre, dass absolut nie E-Mails den falschen Empfänger erreichen würden, wäre das System schon völlig sicher, so wie es jetzt ist. Aber weil das leider nicht so ist, habe ich mir eben 2 Minuten Zeit genommen, um mir was auszudenken, wie der Registrierungsvorgang bspw. ablaufen müsste, um die dadurch entstehende (wenn auch nur sehr kleine) Sicherheitslücke zu schließen.

Das System versendet die E-Mail mit dem Aktivierungslink. Wenn der Empfänger auf diesen Link klickt, müsste das Forum aufgerufen werden, wo er sich dann innerhalb der nächsten Minuten einloggen müsste, damit die Aktivierung wirksam wird. Dazu müsste er aber seinen Usernamen und das von ihm gewählte Passwort wissen. Wenn er dazu aber nicht in der Lage ist, wäre die Aktivierung nicht abgeschlossen und somit unwirksam. Genial, oder (ist das schon jetzt so)?


edited by dieweltist on 3/20/2008 12:21:42 PM
Wie man einen Herzinfarkt ohne Arzt und Not-OP überleben und heilen kann
3/20/2008 11:07:11 AM   
Brigittano Access no Access no Access 
Group: User
Level: leichter Spammer


Posts: 69
Joined: 2/3/2008
IP-Address: saved
offline


meine Frage!
es haben sich zwei neue Mitglieder in meinen Beisein neu regestriert, und als ich dann zu Hause freischalten wollte, war keine Regestrierug in meinen Postfach?
Was kann denn da sein?


Danke glg BrigittaDurcheinander!


3/24/2008 3:26:40 AM    
Alexno Access no Access no Access 
Group: User
Level: treuer Poster


Posts: 278
Joined: 12/19/2006
IP-Address: saved
offline


Worauf hast du den in der Adminzentrale im Setup den Registrations-Modus stehen???

Das hier meine ich:




Unsere neue Internet Präsenz:
http://patchworkforum.net
3/24/2008 8:42:11 AM    
Registration necessaryRegistration necessary
Pages: (1) [1] »
all Times are GMT +1:00
Thread-Info
AccessModerators
Reading: all
Writing: all
Group: general
Cyberlord
Forum Overview » Homepagetools - Support » Fehler » Aktivierung per E-Mail

.: Script-Time: 0.172 || SQL-Queries: 6 || Active-Users: 2,563 :.
Powered by ASP-FastBoard HE v0.8, hosted by cyberlord.at