Bitte geben Sie einen Grund für die Verwarnung an
Der Grund erscheint unter dem Beitrag.Bei einer weiteren Verwarnung wird das Mitglied automatisch gesperrt.
Mail mit kompletten Zugangsdaten nach Forum Einrichtung
#16 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
Danke für die schnelle Antwort.
Ok, das beruhigt mich "etwas" :-)
Bleibt ab Ende noch der erste Punkt, dass es per Email zugesendet wird.
Was auch immer noch schlimm ist und absolut unnötig erscheint, wenn es ja parallel einen anderen Mechanismus für "Passwort vergessen" gibt.
PS: Ich hoffe, dass solche Hinweise hier nicht als "nörgeln", sondern als besorgte Anfrage verstanden werden. Es sollte ein leichtes sein, den Prozess ohne Komfortverlust für den Anmelder so umzustellen, dass nie das Kennwort plain auftaucht. Dann gibt es auch kein Aufschrecken, Nachfragen und Besorgtsein mehr. Wenn man besorgten Benutzern die Umstände über die er zu Recht stolpert erklären muss, kostet das ja nur alle Beteiligten Zeit und Nerven...
Viele Grüße
Daniel
Zitat von Springwald im Beitrag #16
kostet das ja nur alle Beteiligten Zeit und Nerven...
Ja, und wenn die User dann mal die entsprechenden Threads nachlesen und die Gelassenheit der Admins sehen, die hier schon jahrelang damit umgehen, dann wird auch denen irgendwann klar, dass es keinen Grund zur Aufregung gibt.
Aber es ist auch immer wieder gut, sich die Dinge vor Augen zu halten - kann man alles mal wieder überdenken.
Liebe Grüße
River
(
gelöscht
)
#18 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
.. es wurde , wenn ich nicht irre, in diesem Thema bereits über die Möglichkeit geschrieben, die Benachrichtigungstexte zu ändern. Warum tut Ihr das nicht einfach ?
Auch in Bezug auf die Erstbenachrichtung bei Foreneröffnung wurde bereits die Möglichkeit der sofortigen Passwortänderung nach Zugang in Klarschrift erwähnt. Ich mag das Problem nicht verstehen, welches hier diskutiert wird.
#19 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
Das Problem ist eigentlich ganz einfach.
Wenn das Neuregistrierte Mitglied eine Mail mit den Zugangsdaten bekäme mit einem provisorichen Passwort welches nur für eine bestimmte Zeit Gültigkeit hätte (wie bei Passwort vergessen), sähe ich da kein Problem.
Der neue User gibt seine Zugangsdaten ein (Nickname und Passwort) ohne den Hinweis, bei der ersten Anmeldung sein Passwort zu ändern und wird es aus Unwissenheit auch nicht tun.
Bei einer Registrierung, bei der ich mein Passwort aus Sicherheitsgründen wiederholen muss, werde ich dieses Passwort sicher aufbewaren, weil mir klar wird, dass ich es nicht wieder bekomme, wenn ich es vergessen habe. Die einzige Möglichkeit bleibt über "Passwort vergessen".
Was spricht denn dagegen, die Varible für das Passwort aus der automatischen Mail für die erfolgrieche Registrierung heraus zunehmen, und jedem das Gefühl einer sicheren Registrierung zu geben. Ich habe das in meinem Forum so gemacht. Die bekommen in der Mail mit ihrem Nicknamen mitgeteilt und den Hinweis ihr Passwort von der Registrierung zu benutzen.
www.friends-of-xobor.de (621181 - Template kann wechsel bei Pluin Tests)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)
(
gelöscht
)
#20 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
...genau das meinte ich ja. Text in der Form ändern , dass das Passwort nicht gesendet wird. Die Möglichkeit hat doch jeder.
Zudem bestünde die Möglichkeit im TPE Registrierung eine Textänderung vorzunehmen, die das potentielle Mitglied darauf hinweist, sein Passwort in der ersten -forenanmeldung zu ändern. Also alles da.
Hallo @River
die Gelassenheit der Admins trägt nicht unbedingt zu meiner Bruhigung bei.
Da haben die Ansprüche an Sicherheit und Datenschutz unter den Admins mit Sicherheit eine enorme Bandbreite.
www.friends-of-xobor.de (621181 - Template kann wechsel bei Pluin Tests)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)
Zitat von Mike48 im Beitrag #21
Hallo @River
die Gelassenheit der Admins trägt nicht unbedingt zu meiner Bruhigung bei.
Nicht die Gelassenheit anderer Admins, sondern die technischen Erklärungen auf der ersten Seite dieses Themas sollten dich beruhigen!
Aber ich schreibs dir gerne auch nochmal, falls dich das beruhigt:
Der Login im Forum wird nicht "sicherer" wenn dieses Passwort nicht versendet wird. Das ist ein Trugschluss!
Dein gesamtes Panik-Szenario bezieht sich darauf, dass die Email "abgefangen" und mitgelesen werden könnte. Wäre jemand dazu in der Lage (was passieren könnte, wenn du zB. ein manipuliertes freies WLAN verwendest), könnte er aber genausogut einfach den Datenverkehr beim Login im Forum mitlesen und käme zum identischen Ergebnis. Diese einmalig beim Erstellen des Accounts versendete Mail ist dann das kleinere Problem. Wenn jemand deinen gesamten Netzwerkverkehr mitlesen kann hast du sowiso ganz andere Sorgen.
Und auch nochmal für Springwald:
Wie King Kurt bereits schrieb speichern wir dein Passwort selbstverständlich nicht im Klartext. Das Passwort aus der Email wird direkt aus der Anmeldemaske übernommen und danach verschlüsselt in der Datenbank gespeichert.
#23 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
Zitat von Ingmar im Beitrag #22
[quote="Mike48"|p7275778]
Der Login im Forum wird nicht "sicherer" wenn dieses Passwort nicht versendet wird. Das ist ein Trugschluss!
Diese Argumentation basiert darauf, Schwachstelle mit einem noch schwächeren Glied der Kette zu "begründen". So nach dem Prinzip "Es ist kein Problem, die Hintertür nicht abzuschließen, wenn die Haustür eh kaputt ist".
Auf *jeder* Website wo man ein Passwort eingeben muss, gehört heute zur Pflicht, wenn man zeitgemäße Sicherheit anwenden will:
1. SSL beim Login Formular
2. Speichern des Kennwortes als Hash mit Salt(!)
3. Kein Versenden des Kennwortes per Email
Weil 1. bereits fehlt, heisst das nicht, dass das Fehlen von 3. legitim sein kann. Im Gegenteil: Wenn man SSL (aus reinen Kostengründen) scheut, sollte man mindestens auf das Klartextversenden von Kennworten verzichten - das gibt es kostenfrei ;-)
Sorry, wenn ich da so drauf rumreite, aber das ganze gibt nicht meine persönliche Meinung, sondern zeitgemäße, aktuelle Mindestregeln für Sicherheit wieder. Natürlich ist es unangenehm, darauf hingewiesen zu werden, denn es kostet Zeit und Arbeit, das umzusetzen. Vor allem, wenn "bisher nichts passiert ist".
Ich habe auch durchaus Verständnis für diese Sichtweise - mit ging es 2012 genauso: Auf meiner Website www.gaitobot.de gab es damals noch kein SSL aber ein Login. Dann habe ich die oben genannte Podcastfolge zum Thema gemacht und festgestellt: eieieiei, das ist aber eine heiße Sache, da muss du unbedingt ran.
Vielleicht lasst ihr das einfach mal sacken ;-) ... Falls Interesse geweckt wurde und die Beweggründe und Probleme dahinter interessieren - die Podcastfolge zum Thema erklähr das ausführlich und ist (hoffentlich ;-) gut nebenbei oder im Auto zu hören. ;-)))
Falls die Sorge ist: "Die Foren laufen doch unter zig Domains, wie sollen dafür alles SSL Zertifikate gekauft werden?" Man kann das Registrieren und Login ja auch über eine zentrale Domain laufen lassen und dann wieder zum Forum redirekten. Im Hintergrund bekommt das Forum auf der frei gewählten Domain dann Server-to-Server die Infos des Benutzers.
Dann könnten natürlich immer noch die Cookies abgesnifft werden, aber es wäre zumindest alles wieder einen Schritt sicherer und nie würde ein Kennwort offen übertragen.
In diesem Szenario braucht ihr nichtmal ein Wildcart-Zertifikat, sondern nur eine (preisgünstiges) für eine Subdomain, meinetwegen login.xobor.de oder so...
Zitat von Ingmar im Beitrag #22
[quote="Mike48"|p7275778]
Wie King Kurt bereits schrieb speichern wir dein Passwort selbstverständlich nicht im Klartext.
Prima :-)
Viele Grüße
Daniel
#24 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
Ich kann deine Argumentation schon nachvollziehen - allerdings ist "SSL beim Login Formular" unserer Ansicht nach absolut KEIN Standard im Bereich der privaten / nicht kommerziellen Foren. Um genau zu sein würde mir kein Forenhoster einfallen, bei dem das zum Standard-Angebot gehört. Wie du ja bereits festgestellt hast ist es auch mit zusätzlichen Kosten verbunden und spätestens bei den tausenden Foren mit eigener Domain klappt dein Weg über eine Subdomain auch nicht mehr.
Letztendlich entstehen dabei also Kosten und Arbeit - und das müsste dann ja wiederum auf die Preise bzw. das Angebot umgelegt werden.
Für 99% unserer Foren denke ich nicht, dass diese gerne mehr bezahlen möchten für ein solches Feature.
Für einige Business-Foren mag das anders sein - da haben wir in der Vergangenheit auch schon Sonderlösungen für einzelne Foren gefunden.
Wenn es endlich kostenlose SSL-Zertifikate gibt (was ja hoffentlich in absehbarer Zeit passiert) werden wir uns nochmal mit dieser Problematik beschäftigen, vorher sehe ich wenig Sinn darin.
PS: auch von einem salt-wert haben wir schon gehört und ich kann dir versichern dass auch wir nach aktuellen Standards verschlüsseln
PS2: Das mit Abstand größte Sicherheitsproblem im Forum (und das wird sich vermutlich auch nie ändern) sind einfach zu erratende Passwörter. In 17 Jahren Foren-Hosting war dies bisher jedes einzelne Mal die Ursache, wenn ein (Zugriffs-)Problem auftrat. Von einem Fall, bei dem die fehlende SSL-Absicherung ausgenutzt worden wäre haben wir dagegen noch nie gehört.
#25 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
Hi,
das mit der Subdomain ist möglicherweise ein Missverständnis:
Ich meinte , dass Ihr kein Zertifikat für *.domain.de kaufen müsstet, sondern nur für login.domain.de. Darüber lasst ihr *alle* Anmeldungen laufen.
Beispiel: Mein Forum bei Euch wird auf eigener Domain Forum.MeineDomain.de betrieben. Zum Login geht es aber dann immer an login.EureDomain.de und dann wieder zurück. Jaja - dann sieht der Benutzer eine andere Domain und ist verwirrt. Nö - muss er nicht. Du kannst in Forum.MeineDomain.de ein Formular einbinden, welches als Action auf https://login.euredomain.de geht und dann bei Erfolg direkt zurück leitet an forum.meinedomain.de. Im Hintergrund übergeben sich die Server dann die Userdaten. Machen viele Firmen so, die mehrere Domains mit einem Login übergreifend zugänglich machen wollen.
Das ist natürlich nur ein Anriss des Prozesses - bei der Programmierung gibt es noch 1-2 kleine weitere Fragen, welche aber auch zu lösen sind.
Zum Thema kommerziell / privat habe ich eine ganz andere Meinung und ich befürchte, da kommen wir auch nicht überein ;-)
Auch hier ist meiner Ansicht nach wieder ein Argumentations-Problem:
Mag sein, dass jemand bei Euch einen privaten Blog anlegt. Aber er läuft bei Euch und ihr seid kommerziell. Es ist Euer kommerzielles Angebot, welches ein Login-Formular bereit stellt - und eurer kommerzielles Produkt hat halt kein SSL. Wenn ich also bei Ebay einen privaten Shop anlege, muss Ebay als kommerzieller Anbieter dennoch ein sicheres Login bereitstellen. Zumal ich denke, dass 99% Eurer Nutzer keine Ahnung davon haben und es somit Eure Pflicht als kommerzieller Anbieter ist, sie proaktiv entsprechend zu beschützen.
Wie gesagt, ich will nicht streiten, sondern fände nur prima, wenn ein Bewusstsein dafür entsteht. Einfach mal sacken lassen ;-) Würde mich freuen, wenn vielleicht in 1-2 Wochen doch noch Interesse keimt.
Viele Grüße
Daniel
Ich denke auch nicht, dass wir hier auf einen gemeinsamen Nenner kommen.
Deine Login-Lösung über die Subdomain hilft nichts, da danach der Cookie unverschlüsselt übertragen wird und somit der gesamte Besuch SSL-gesichert werden müsste.
Wir sind nicht ebay oder amazon - wenn du daws vergleichen willst tue das bitte mit anderen Forenhostern. Da wirst du feststellen, dass SSL NICHT zum Standard gehört.
Zitat
Wie gesagt, ich will nicht streiten, sondern fände nur prima, wenn ein Bewusstsein dafür entsteht.
Das Bewusstsein ist bei uns durchaus vorhanden - nur wäre das aktuell schlicht nicht mit vertretbarem Aufwand/Kosten umzusetzen.
Wir verfolgen z.B. die Entwicklung hier sehr genau und hoffen, dass dieser Dienst eine Lösung für unser Problem bietet.
#27 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
Der Vergleich "ebay" war von mir selbstverständlich nicht aufgrund von Größe und Finanzvolumen des Unternehmens, sondern nur aufgrund inhaltlicher Bekanntheit des Beispieles "kommerziell <→ privat" gewählt. So gesehen: Touché, das hast Du natürlich korrekter Weise direkt aufgegriffen ;-)
Ich kann hier zig Firmenseiten von teiweise Einmann-Firmen mit zum Teil sehr überschaubarem Umsatz aufzählen, welche Login angemessen sauber implementieren, wenn es um das Thema "Unmöglichkeit für kleine Firmen" geht.
Dass andere Anbieter ebenfalls nicht machen, ist aus meiner Sicht auch keine schöne Begründung. Oder anderes: Wenn in einer Branche alle Fahrzeuge nicht sicher sind, ist jedes Fahrzeug für sich halt: unsicher. Da hilft es auch nichts, auf die Konkurrenz zu verweisen. Jetzt gibt es zwar für Webseiten-Seriösität keinen TÜV - aber Sicherheitsprobleme bleiben ebensolche.
Ansonsten kippt jedes System letztendlich in die Entropie, sobald der erste weniger tut, als er tun könnte oder sollte und sich alle darauf berufen. Oder anders gesagt: Warum nicht in einen positiven USP für Eure Foren investieren? Vielleicht sind Eure Kunden nach Snowden usw. gar nicht sooo uninteressiert am Thema, wie Du annimmst ;-)
Wenn die Positionen unvereinbar sind - kann man sich natürlich tot diskutieren. Jeder findet in deinem seinem lokalen Kontext heraus immer Begründungen, warum die globalen Erkenntnisse nicht gelten und warum er oder seine Branche eine begründete Ausnahme darstellt. Viele Leute rauchen, gehen ohne Kondom fremd, fahren in Gefahrbereichen mit überhöhter Geschwindigkeit, sichern ihre Fotos und Dateien nicht etc. und können das auf Nachfrage hervorragend begründen. Im besten Fall damit, dass der Nachbar Heinz es auch seit Jahren so macht ;-)))
So, ich bin aber jetzt raus - ich denke, "hilfreicheres" als das bisherige kann ich nicht mehr hinzufügen.
Viele Grüße
Daniel
#28 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
Auch von mir eine letzte Antwort dazu:
Zitat
Ich kann hier zig Firmenseiten von teiweise Einmann-Firmen mit zum Teil sehr überschaubarem Umsatz aufzählen, welche Login angemessen sauber implementieren, wenn es um das Thema "Unmöglichkeit für kleine Firmen" geht.
Du hast mich falsch verstanden - es geht überhaupt nicht um die Größe der Firma. sondern um das Angebot. Für uns als Foren-Hoster mit tausenden Subdomains und ebenso tausenden eigenen Domains ist SSL etwas komplizierter (und teurer) zu realisieren als für eine einzelne Domain.
Aktuell wäre es schlicht nicht möglich, SSL für alle Foren ohne spürbare Mehrkosten zu realisieren.
Wie bei allem was wir tun, müssen wir immer abschätzen, ob sich der Aufwand bzw die Investitionen für uns und unsere Kunden auch lohnen.
Momentan sehen wir nicht, dass das der Fall wäre. Die große Mehrheit der Foren hat von diesem Feature nichts und müsste dennoch für die Mehrkosten aufkommen.
Sollten SSL-Zertifikate in absehbarer Zeit auch kostenlos zu haben sein sieht das schon wieder ganz anders aus.
#29 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
Wie von Ingmar beschrieben wäre eine reine Login-Lösung über SSL oder Javascript-Verschlüsselung nur eine trügerische Hilfe und würde so am Ende niemanden helfen.
Die einzige Lösung in diesem Kontext ist die https/ssl Verschlüsselung.
Hier sind wir momentan nun einmal noch bei sehr hohen Kosten pro Kunde. Das liegt z.B. an den kostenpflichtigen SSL Zertifikaten, welche immer für 1 oder mehrere Jahre im voraus je Domain registriert werden müssen und entsprechend verwaltet/verlängert werden müssen. Auch muss mit höherer Auslastung der Server gerechnet werden.
Allein nur die Kosten der Zertifikate ohne Server/Verwaltungskosten würden schon im 5-stelligen Bereich liegen. Verwaltung/Support/Server kommen da noch hinzu.
Wie bereits beschrieben warten wir noch die Entwicklung in diesem Bereich ab und werden gegen Ende des Jahres hier eventuell etwas anbieten können. Bevor sich beim SSL-Zertifikate Markt jedoch nichts ändert, sind uns hier noch die Hände gebunden.
Einzellösungen sind natürlich immer möglich - als Addon zum Business Tarif.
Joh. Voß
xobor.de · Miranus GmbH · Wir helfen gerne - Unterstützen Sie Xobor durch die Buchung eines Premium Tarifs.
#30 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
Sorry - ihr habt das leider nicht verstanden :-/
Es wäre kein Javascript beteiligt, es gäbe keine zig Zertifikate für zig Domains zu bestellen.
Nur *eine* Domain wie z.B. login.xobor.de braucht ssl.
Ablauf:
1. www.DanielsForum.de zeigt ein Loginform mit action auf https://login.xobor.de an
2. Beim Absenden gehen die Eingaben direkt an die SSL Domain https://login.xobor.de - ohne der der Kunde das als Irritation sieht.
3. Bei erfolgreichem Login leitet https://login.xobor.de per 307er an www.DanielsForum.de weiter und gibt in einem (verschlüsstelten) URL-Parameter eine Login-ID mit.
4. www.DanielsForum.de nimmt die Login-ID entgegen fragt per Webservice bei https://login.xobor.de an, welche Benutzerdaten für die erhaltene Login-ID hinterlegt sind
4. www.DanielsForum.de und meldet den Benutzer per Session(!) Cookie an.
Funktioniert alles prima , ist alles bereits praxis erprobt. Kostet für das SSL somit nur knapp 100EUR im Jahr(!)
Ja, am Ende bleibt noch, dass man möglichweise für eine einzelne Sitzung den Session-Cookie übernehmen könnte. Aber das ist weit entfernt von dem jetzigen Zustand.
Und auch ja, das ist nur ein schneller Überblick. Auch Wiedererkennung per langfristigem Cookie klappt, wenn am Anfang kurz auf https://login.xobor.de redirected wird und dann wieder an www.DanielsForum.de zurück redirected (bei wieder erkanntem Cookie dann mit dem neuen Login-ID Parameter.)
Klar muss man Details ausarbeiten wie Gültigkeitsdauer und Verfall der Login-ID, etc...
Aber ich werde ja auch nicht bezahlt, Eure Konzepte auszuarbeiten ;-)))
Daher bin ich jetzt aber endgültig raus.
Viele Grüße
Daniel
- Informationen
- Aktuelle News
- Forum Tutorials - Tipps und Anleitungen
- SEO / Werbung fürs Forum
- Verwaltung
- Extras
- Design
- Plugin(system)
- Eure Fragen zu Tutorials
- Forum Support
- Fragen und Antworten
- Pluginsystem
- Plugins
- Templates & Sprachen
- Bugreport
- Verbesserungsvorschläge
- Sponsoren gesucht
- Das neue Xobor Business-Template
- News und Updates
- Bugreport
- Allgemeines Feedback
- Verbesserungsvorschläge
- Sonstiges
- Kaffeeklatsch
- Lob & Kritik
- Verbesserungsvorschläge
- Allgemeine Fragen
- Fehlermeldungen
- Verbesserungsvorschläge Responsive Design
- Bugreport Responsive Design
- Archiv - Alter Betatest
- Responsive Design - Verbesserungsvorschläge
- Responsive Design - Bugreport
- Fragen zum neuen Template
- Neue Administration Beta Test
- Bugreport Neue Administration
- Allgemeines Fragen & Feedback
- Verbesserungsvorschläge zur neuen Administration
- Shoutbox
Ähnliche Themen
Jetzt anmelden!
Jetzt registrieren!
© 2017 Xobor | Forum-Software