Passwort der Nutzer einsehbar
Verfasst: 28.11.2006 23:16
Hi,
also folgendes: Ein Bekannter hat sich auf dem Forum mit einer scheinbar ungültigen Mail registriert, denn kurze Zeit später hatte ich in meinem Posteingang die Nachricht, dass die Willkommensnachricht an den User nicht abgeschickt werden konnte, mit der originalmail im Anhang. Ich guck da rein und was seh ich? Den Benutzernamen und Passwort. Jetzt ist ja davon auszugehen, dass der Benutzer das selbe Passwort auch in dem Forum verwendet, in dem ich ihn kennengelernt habe. Wäre ich ein böser Mensch könnte ich nun ne ganze Reihe Mist bauen. Ich wollte nur mal auf diese Problematik aufmerksam machen, es ist doch wirklich nicht nötig, dass das Passwort in der Mail nochmal unverschlüsselt drinsteht, man selbst kennt es doch. Es kann ja auch mal passieren, dass ein Kumpel danebensteht während man die Mail liest und zack kennt er das eigene PW. Irgendwie blöd... Und da die Mails ja über meinen Server verschickt werden könnte ich theoretisch ja sogar alle Mails einsehen, die nicht wieder zurück kommen, sondern planmäßig angekommen sind. Das kann doch egtl nich der Sinn der Sache sein, oder?
also folgendes: Ein Bekannter hat sich auf dem Forum mit einer scheinbar ungültigen Mail registriert, denn kurze Zeit später hatte ich in meinem Posteingang die Nachricht, dass die Willkommensnachricht an den User nicht abgeschickt werden konnte, mit der originalmail im Anhang. Ich guck da rein und was seh ich? Den Benutzernamen und Passwort. Jetzt ist ja davon auszugehen, dass der Benutzer das selbe Passwort auch in dem Forum verwendet, in dem ich ihn kennengelernt habe. Wäre ich ein böser Mensch könnte ich nun ne ganze Reihe Mist bauen. Ich wollte nur mal auf diese Problematik aufmerksam machen, es ist doch wirklich nicht nötig, dass das Passwort in der Mail nochmal unverschlüsselt drinsteht, man selbst kennt es doch. Es kann ja auch mal passieren, dass ein Kumpel danebensteht während man die Mail liest und zack kennt er das eigene PW. Irgendwie blöd... Und da die Mails ja über meinen Server verschickt werden könnte ich theoretisch ja sogar alle Mails einsehen, die nicht wieder zurück kommen, sondern planmäßig angekommen sind. Das kann doch egtl nich der Sinn der Sache sein, oder?