| dieweltist |   
|
|---|
Group: User
Level: treuer Poster
Posts: 177
Joined: 3/18/2008
IP-Address: saved
|
Beim Registrieren erhält man eine E-Mail mit dem Aktivierungslink. Ich finde es nicht gut, dass ich in dieser mit meinem Nicknamen angesprochen wurde. Wäre diese E-Mail an die falsche Adresse geraten, hätte dieser User meinen Account freischalten und missbrauchen können, falls es diesem auch gelungen wäre, das Passwort zu erraten.
Ich schlage deswegen vor, dass der Nickname nicht genannt wird in der E-Mail zur Aktivierung. Abgesehen davon fände ich es sicherer, wenn dem User anstatt eines Aktivierungslinks das Passwort ohne weitere Angaben zugeschickt werden würde.
Das hätte den Vorteil, dass bei Falschversendung der Empfänger außer einem Passwort, mit dem er absolut nichts anfangen könnte, keinerlei weitere Angeben hätte.
Es wäre ausgeschlossen, dass ein User sich ein leicht zu knackendes und somit unsicheres Passwort aussucht. Auch wäre es eine Arbeit weniger, die ein User bei der Registrierung zu tun hätte.
Auch wäre ausgeschlossen, dass ein User sich mit falscher Angabe einer E-Mail-Adresse extrem viele male registrieren würde, in der Hoffnung, dass einer der Empfänger dummerweise doch auf den Aktivierungslink drücken würde.
|
| 3/18/2008 8:46:57 PM |    |
|---|
| Cyberlord |
|
|---|
Group: Administrator
Level: heavy Spammer
Posts: 3610
Joined: 3/11/2004
IP-Address: saved
|
Hallo,
wenn er ein Passwort erraten kann, dann kann das bei jedem vorhandenen User passieren unabhängig von der Anmelde-Methode.
Passwörter schickt man normalerweise aus Sicherheitsgründen nie zu.
Falls ein Mailserver mal down ist und die Mail deshalb zurückgesendet wird, hat schon ein Fremder das Passwort in der Hand.
Wenn er ein Passwort hat, dann ist das schon sehr unsicher. Denn Benutzernamen kann man idR. viel leichter herausfinden, da dieser meistens der Name der Person ist.
Wenn er so viel Glück hat, dann sollte er auch Lotto spielen. :)
Danke für deine Vorschläge und Gedanken. Finde aber, daß es wie es jetzt ist passt.
lg
|
| 3/19/2008 9:59:55 AM |  |
|---|
| dieweltist |
|
|---|
Group: User
Level: treuer Poster
Posts: 177
Joined: 3/18/2008
IP-Address: saved
|
Hallo,
stimmt; Du hast recht, daran hatte ich gar nicht gedacht. Trotzdem wäre es doch sicherer, wenn diese E-Mail nicht den Benutzernamen enthalten würde. Denn, was hält Dich davon ab, das so einzurichten? Anstatt mit "Hallo xyz", könnte der neue Admin einfach nur mit "Hallo neuer Forumsadministrator" angesprochen werden. Deswegen bleibe ich in diesem Punkt bei meiner Meinung.
Wenn es so wäre, dass absolut nie E-Mails den falschen Empfänger erreichen würden, wäre das System schon völlig sicher, so wie es jetzt ist. Aber weil das leider nicht so ist, habe ich mir eben 2 Minuten Zeit genommen, um mir was auszudenken, wie der Registrierungsvorgang bspw. ablaufen müsste, um die dadurch entstehende (wenn auch nur sehr kleine) Sicherheitslücke zu schließen.
Das System versendet die E-Mail mit dem Aktivierungslink. Wenn der Empfänger auf diesen Link klickt, müsste das Forum aufgerufen werden, wo er sich dann innerhalb der nächsten Minuten einloggen müsste, damit die Aktivierung wirksam wird. Dazu müsste er aber seinen Usernamen und das von ihm gewählte Passwort wissen. Wenn er dazu aber nicht in der Lage ist, wäre die Aktivierung nicht abgeschlossen und somit unwirksam. Genial, oder (ist das schon jetzt so)?
|
| 3/20/2008 11:07:11 AM | |
|---|
| Brigitta |
|
|---|
Group: User
Level: leichter Spammer
Posts: 69
Joined: 2/3/2008
IP-Address: saved
|
meine Frage!
es haben sich zwei neue Mitglieder in meinen Beisein neu regestriert, und als ich dann zu Hause freischalten wollte, war keine Regestrierug in meinen Postfach?
Was kann denn da sein?
Danke glg Brigitta
|
| 3/24/2008 3:26:40 AM | |
|---|
| Alex |
|
|---|
Group: User
Level: treuer Poster
Posts: 278
Joined: 12/19/2006
IP-Address: saved
|
Worauf hast du den in der Adminzentrale im Setup den Registrations-Modus stehen???
Das hier meine ich:
|
| 3/24/2008 8:42:11 AM | |
|---|
|
|
|---|
Search 
Calendar 
Gallery
Auctions 
Global 
Top
Members 
Stats
Chat (0) new 
send Password 
Register
