Registrierung unsicher

dieweltist · Beitrag von **dieweltist** » 07.06.2007 14:05

Der Aktivierungslink soll eigentlich bewirken, dass sich keiner mit einer falschen E-Mail registrieren kann und dadurch zum anonymen User wird. Aber genau das kann passieren, wenn ein User sich mit allen möglichen E-Mailadressen versucht zu registrieren, in der Hoffnung, dass irgendein User so doof ist und auf den Aktivierungslink klickt.

Aber eine zweite Sache ist mir aufgefallen. Der Aktivierungslink enthält schön den Namen des Boards, den Benutzernamen und, ich bin entsetzt, sogar das Passwort. Das ist zwar sehr praktisch für den sich registrierenden User, aber leider kommt es manchmal vor, dass E-Mails versehentlich an die falsche Adresse geschickt werden.

Folge: Der Empfänger bekommt quasi eine komplette Registrierung geschenkt. Er muss nur auf den Aktivierungslink klicken, der zum allen Überfluss auch noch das für ihn bisher unbekannte Board aufruft und sich dann mit den zugeschickten Accound-Angaben dort einloggen.

Der eigentliche User wundert sich dann zwar, dass er keine E-Mail erhielt; freut sich aber dann doch, dass sein Accound wie durch ein Wunder aktiviert ist. Er weiß aber noch nicht, dass er seinen Accound mit einem Unbekannten teilen muss.

Besser wäre es, wenn die zugeschickte E-Mail außer dem Aktivierungslink keine weiteren Angaben enthalten würde. Damit wäre aber das zuerst erwähnte Problem immer noch nicht gelöst.

Vielleicht wäre es besser, wenn der User anstatt des Aktivierungslinkes ein zufallsgeneriertes Passwort zugeschickt bekäme; natürlich ohne weitere Angaben, die sonst bei Fehlzustellung der falsche Empfänger missbrauchen könnte. Der könnte dann nämlich ein anonymer User sein.

Beitrag von **bantu** » 07.06.2007 15:52

dieweltist hat geschrieben:Aber eine zweite Sache ist mir aufgefallen. Der Aktivierungslink enthält schön den Namen des Boards, den Benutzernamen und, ich bin entsetzt, sogar das Passwort. Das ist zwar sehr praktisch für den sich registrierenden User, aber leider kommt es manchmal vor, dass E-Mails versehentlich an die falsche Adresse geschickt werden.

Das kann ich mir leider überhaupt nicht vorstellen.

dieweltist hat geschrieben:Folge: Der Empfänger bekommt quasi eine komplette Registrierung geschenkt. Er muss nur auf den Aktivierungslink klicken, der zum allen Überfluss auch noch das für ihn bisher unbekannte Board aufruft und sich dann mit den zugeschickten Accound-Angaben dort einloggen.

Das Kennwort muss bei der Registierung verschickt werden, da es danach in der Datenbank nur verschlüsselt gespeichert wird.
Es gibt also keinen anderen Zeitpunkt das Passwort zu verschicken.

dieweltist hat geschrieben:Der eigentliche User wundert sich dann zwar, dass er keine E-Mail erhielt; freut sich aber dann doch, dass sein Accound wie durch ein Wunder aktiviert ist. Er weiß aber noch nicht, dass er seinen Accound mit einem Unbekannten teilen muss.

Das kann nur passieren, wenn der User wirklich die eMail-Adresse von jemand anderem angibt.
Ein Vertippen ist fast nicht möglich, da die eMail-Addrese bei der Registrierung bestätigt werden muss.

dieweltist hat geschrieben:Besser wäre es, wenn die zugeschickte E-Mail außer dem Aktivierungslink keine weiteren Angaben enthalten würde. Damit wäre aber das zuerst erwähnte Problem immer noch nicht gelöst.

Vielleicht wäre es besser, wenn der User anstatt des Aktivierungslinkes ein zufallsgeneriertes Passwort zugeschickt bekäme; natürlich ohne weitere Angaben, die sonst bei Fehlzustellung der falsche Empfänger missbrauchen könnte. Der könnte dann nämlich ein anonymer User sein.

Ich könnte mir vorstellen, dass das leicht zu ändern ist.

dieweltist · Beitrag von **dieweltist** » 07.06.2007 16:06

Zu 1.: Auch wenn Du Dir das nicht vorstellen kannst; ich bspw. erhalte oft E-Mails, die nicht an meine E-Mail-Adresse gerichtet sind.

Zu 2.: Das Passwort, das der User selbst gewählt hat, muss überhaupt nicht verschickt werden, denn der User kennt es doch.

Zu 3.: Das kann nicht passieren? Eben doch, wenn nämlich eine E-Mail durch technisches Versagen den falschen Empfänger erreicht, wie ich schon schrieb.

Tommy100 · Beitrag von **Tommy100** » 12.06.2007 14:34

Insbesondere der Punkt, dass das Passwort im Klartext per Mail verschickt wird und dies weder vom Admin noch von dem entsprechenden User verhindert werden kann, stört mich hier auch. Der User sollte wissen, welches Passwort er vergeben hat, Vertipper sind unwahrscheinlich, da er es 2 Mal eingeben muss und falls er es nicht mehr weiß, kann er sich ja über die "Passwort vergessen"-Funktion ein neues Passwort holen.

Daneben werden Emails doch meist im Klartext verschickt, während es beim Forum zumindest die Möglichkeit gibt, die Übertragung per SSL zu verschlüsseln.

Beitrag von **Dr.Death** » 12.06.2007 14:48

Wer das nicht möchte kann die entsprechenden Email Vorlage selbst ändern:

language\en\email
language\de\email

admin_welcome_inactive.txt
coppa_welcome_inactive.txt
installed.txt
user_activate_passwd.txt
user_welcome.txt
user_welcome_inactive.txt

Beitrag von **bantu** » 12.06.2007 15:04

Tommy100 hat geschrieben:Daneben werden Emails doch meist im Klartext verschickt, während es beim Forum zumindest die Möglichkeit gibt, die Übertragung per SSL zu verschlüsseln.

Wenn du dir das nochmal durch den Kopf gehen lässt, müsstest du die "Passwort vergessen"-Funktion auch ausschalten.

Ihr könnt das ja auch gerne mal als Bug melden. Wäre gespannt was die Entwickler drauf antworten.

Tommy100 · Beitrag von **Tommy100** » 12.06.2007 15:17

bantu hat geschrieben:
Tommy100 hat geschrieben:Daneben werden Emails doch meist im Klartext verschickt, während es beim Forum zumindest die Möglichkeit gibt, die Übertragung per SSL zu verschlüsseln.
Wenn du dir das nochmal durch den Kopf gehen lässt, müsstest du die "Passwort vergessen"-Funktion auch ausschalten.

Ihr könnt das ja auch gerne mal als Bug melden. Wäre gespannt was die Entwickler drauf antworten.

Während ich die "Passwort vergessen"-Funktion nur brauche, wenn ich mein Passwort nicht mehr brauche und vor allem selber anfordere, dass mir das Passwort per Mail verschickt wird (wenn ich auf Nummer sicher gehen will, änder ich es danach im Forum wieder), wird das Passwort hier bei jedem User und in jedem Fall verschickt, ohne das ich als User etwas dagegen machen könnte.

Beitrag von **bantu** » 12.06.2007 15:29

Tommy100 hat geschrieben:Während ich die "Passwort vergessen"-Funktion nur brauche, wenn ich mein Passwort nicht mehr brauche und vor allem selber anfordere, dass mir das Passwort per Mail verschickt wird (wenn ich auf Nummer sicher gehen will, änder ich es danach im Forum wieder), wird das Passwort hier bei jedem User und in jedem Fall verschickt, ohne das ich als User etwas dagegen machen könnte.

Jemand fremdes kann das Passwort anfordern. Es wird unverschlüsselt versendet. Die Mail könnte genauso wie bei der von dir beschriebenen Methode abgefangen werden und das Passwort könnte somit in falsche Hände geraten.

Tommy100 · Beitrag von **Tommy100** » 12.06.2007 15:45

bantu hat geschrieben:Jemand fremdes kann das Passwort anfordern. Es wird unverschlüsselt versendet. Die Mail könnte genauso wie bei der von dir beschriebenen Methode abgefangen werden und das Passwort könnte somit in falsche Hände geraten.

Dazu müsste aber dieser jemand meine Email-Adresse kennen. Und das Anzeigen dieser Adresse kann ich im Profil verhindern.

Tommy100 · Beitrag von **Tommy100** » 12.06.2007 15:50

Dr.Death hat geschrieben:Wer das nicht möchte kann die entsprechenden Email Vorlage selbst ändern:

language\en\email
language\de\email

admin_welcome_inactive.txt
coppa_welcome_inactive.txt
installed.txt
user_activate_passwd.txt
user_welcome.txt
user_welcome_inactive.txt

Danke für den Hinweis.

Code: Alles auswählen

user_activate_passwd.txt

sollte man aber nicht verändern, da sonst der User nicht weiß, wie sein neues Passwort lautet.

phpBB.de

Registrierung unsicher

Registrierung unsicher

Re: Registrierung unsicher