Mail mit kompletten Zugangsdaten nach Forum Einrichtung

  • Seite 1 von 3
07.04.2015 20:24 (zuletzt bearbeitet: 07.04.2015 20:25)
avatar  Mike48
#1 Mail mit kompletten Zugangsdaten nach Forum Einrichtung
avatar
Mitglied

Ich bekam nach erfolgreicher Einrichtung eines neuen Forum eine E-Mail mit den kompletten Zugangsdaten, bestehend aus Nickname und Passwort.
Das kann doch wohl nicht wahr sein!
Dann kann ich ja mein Passwort gleich ans schwarze Brett nageln.

Ich schlage vor, diese Standard Mail dahingehend zu ändern, dass nur der Nickname mitgeteilt wird.
Auf keinen fall das Passwort, zumal es sogar das Passwort vom Admin ist.


Bei meinem vorhanden Forum habé ich in alle Benachrichtungen das Passwort entfernt, ausser bei Passwort vergessen, da dort nur ein vorläufiges mit begrenzter Haltbarkeit gesendet wird.

Ich sehe ansonsten eine große Sicherheitslücke.

Mike


www.friends-of-xobor.de (621181 - Template kann wechsel bei Pluin Tests)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)

 Antworten

 Beitrag melden
08.04.2015 10:52
#2 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
avatar
Mitglied

Hallo Mike,

aber die Mail bekommt man überall, nicht nur bei Xobor, die brauchst Du und gehört zu den Unterlagen. Die bekommst ja auch nur Du als Foreninhaber und Admin, sieht also keiner. Die Mitglieder bekommen auch eine, wenn sie sich registrieren, die siehst Du auch nicht. Es ist normal, das man seine Zugangsdaten so bekommt.

Das ist doch keine Sicherheitslücke, das Passwort wird mitgeteilt, damit Du das findest, wenn Du es aus welchen Gründen auch immer verlegst. Das ist auch so, wenn Du einen neuen Anbieter für Deine Mails nimmst, dann bekommst auch den Benutzernamen und das Passwort mitgeteilt.

Mit freundlichen Grüssen
Gabriella

http://www.musengarten.com/
http://www.garten-der-poesie.de/

Layout: Business

 Antworten

 Beitrag melden
08.04.2015 11:06 (zuletzt bearbeitet: 08.04.2015 11:07)
avatar  Ingmar
#3 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
avatar
Technik

Zitat
Ich sehe ansonsten eine große Sicherheitslücke.



Ist es aber nicht

Die Email wird direkt bei der Foren-Erstellung aus den von dir eingegebenen Daten erzeugt. In der Datenbank wird ein Hash-Wert dazu abgelegt.
Wir speichern zu keiner Zeit dein Passwort im Klartext.

Unsicher kann das Ganze also an 2 Stellen sein:
1) Der Übertragungsweg
Da das Forum nicht über eine verschlüsselte Verbindung aufgerufen wird, könnte ein Dritter unter Umständen den gesamten Datenverkehr mitlesen und dabei auch das Passwort erfahren. Das trifft allerdings ganz allgemein für jeden Aufruf eine nicht per SSL gesicherten Webseite zu. Auch hat es mit der Forenerstellung oder dem Emailverssand recht wenig zu tun. Auch der Login im Forum könnte ja mitgelesen werden.
Ganz vermeiden könntem an diese vermeindliche Unsicherheit nur durch ein durchgehend per SSL geschützen Aufruf des Forums - so lange SSL Zertifikate für jede Domain einzeln erstellt und bezahlt werden müssen ist das keine praktikable Lösung. Für professionelle Foren mit entpsrechend erhötem Sicheerheitsbedarf bieten wir eine solche Option auf Anfrage an.

2) Das Email-Konto.
Sollte ein unbefugter Zugriff auf das Konto und somit die Mail mit den Zugangsdaten bekommen ist das natürlich blöd - dann hätte der selbe Unbefugte aber auch über die "Passwort vergessen" Funktion Zugang zum Forum - das Passwort im Klartext ändert dann auch nichts am Ergebnis.

Viele Grüße,
Ingmar


 Technik · Homepagemodules.de · Miranus GmbH

 Antworten

 Beitrag melden
08.04.2015 11:06 (zuletzt bearbeitet: 08.04.2015 11:08)
avatar  .BiL.
#4 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
avatar
Mitglied

Also in Ordnung finde ich das auch nicht, wenn mein Passwort in Klarschrift per E-Mail zu mir kommt. (Es gab hier auch schon Meldungen dazu). Wir wissen ja alle, dass das kein absolut sicherer Übertragungsweg ist.

Ich habe also für einige Foren die PW-Variable aus den automatischen Texten herausgenommen. Ich schreibe stattdesse: "das Passwort, das Sie gewählt haben ..."

Ansonsten wird man in anderen Systemen aufgefordert, das übermittelte Startpasswort sofort zu ändern. Wer das nicht tut, ist dann selbst dafür verantwortlich.

.
Viele Grüße .BiL.
Friends of Xobor

Fragen zu Plugins und Pluginideen bitte nicht per PN, sondern öffentlich oder im FoXum stellen.

 Antworten

 Beitrag melden
08.04.2015 12:25
avatar  Mike48
#5 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
avatar
Mitglied

Ich halte die Versendung von Passwörtern per Mail grundsätzlich für falsch und gfährlich.
Es ist auch nicht erforderlich das zu tun. Wenn ich ein Forum erstelle notiere ich mir die nötigen Daten.
Wenn bei meinen Foren sich ein neues Mitglied registriert, bekommt es eine Mail mit seinem Nicknamen, aber ohne Passort.
Bei der Funktion "Passwort vergessen" wird von xobor aus Sicherheit ein vorläufiges Passwort versendet welches eine Verfallszeit hat, in der das Mitglied sein Passwort ändern muss.
Ich plädiere also dafür, entweder bekommt der Admin ein vorläufiges Passwort zugesandt welches er beim ersten Login ändern muss, oder das Passwort wird nicht in der Bestätigungs-Mail gesendet.
Wie schon erwähnt, habe ich bei allen Benachrichtigungen die Passwort-Varible entfernt und rate jedem Admin, das ebenfalls zu tun.

Bei anderen Einrichtigungen wie Banken, Shops, Kundenportale usw ist das in der Regel auch so gelöst.


@Shogun
Ohne dir nahetreten zu wollen, dein Verständis für Sicherheit werde ich mir nicht zum Masstab machen.

Gruß Mike


www.friends-of-xobor.de (621181 - Template kann wechsel bei Pluin Tests)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)

 Antworten

 Beitrag melden
08.04.2015 12:46
#6 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
avatar
Mitglied

Zitat
Bei anderen Einrichtigungen wie Banken, Shops, Kundenportale usw ist das in der Regel auch so gelöst.



Ja dort, nicht aber bei Forensoftware!


Zitat
@Shogun
Ohne dir nahetreten zu wollen, dein Verständis für Sicherheit werde ich mir nicht zum Masstab machen.



Was heisst hier mein Verständnis zur Sicherheit? Wie schon gesagt, das was Du bekommst, kann eh keiner lesen und ich glaube kaum, dass jemand Daten von einem Forum ausliest. Da gibt es schliesslich kein Geld zu holen. Und das Du es weisst, ich bin auch mal auf eine Spam reingefallen, als ich es noch nicht besser wusste. Da hat mich der Sicherheitsbeauftragte meiner Karte aufmerksam gemacht. Jemand aus Deutschland hatte mir bereits über CHF 700.- von der Karte abgehoben. Ich bekam dann die Liste zur Kontrolle, abgehoben für Boxkämpfe und so ne Sch..... Ich hatte Glück, weil der Sicherheitsbeauftragte wusste, dass ich diese Karte nur für Spiele, Benzin und Forentarife benutze. Darum wurde mir auch das ganze Geld zurückerstattet. Wenn Du auch nur 1 Mal bei Miranus per Pay Pal oder so, den Forentarif bezahlst, hast Du wochenlang danach Spam von Abzockern. Soviel zum Thema, andere Einrichtungen. Diese Spams sind heute so gut gemacht, dass man fast keine Unterschiede sieht, wenn es heisst verifizieren sie Ihre Karte.

Nun die Idee von Dir ist gut, mal schauen, vielleicht setzt sie Xobor ja um.

Mit freundlichen Grüssen
Gabriella

http://www.musengarten.com/
http://www.garten-der-poesie.de/

Layout: Business

 Antworten

 Beitrag melden
08.04.2015 12:57 (zuletzt bearbeitet: 08.04.2015 13:12)
avatar  Mike48
#7 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
avatar
Mitglied

Nochmal kurz und bündig:
für mich ist nicht wichtig ob Einer es tut, sondern ob Einer es kann, nämlich in der Mail mein Passwort zu lesen um es anschliessend zu benutzen.

Gruß Mike


www.friends-of-xobor.de (621181 - Template kann wechsel bei Pluin Tests)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)

 Antworten

 Beitrag melden
08.04.2015 13:20 (zuletzt bearbeitet: 08.04.2015 13:20)
avatar  TripleM
#8 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
avatar
Mitglied

Mike nix für ungut hier mal meine Bescheidene Meinung. Da es sich um einen Verbesserungsvorschlag handelt möchte ich mein Contra einbringen. Ich kann deine Bedenken in keinster Weise nachempfinden. Mal davon ab, du kannst umgehend nach der Registrierung eines neuen Forums, in das Forum gehen als Admin und das Passwort ändern. Weil du nun sagst man kann da eventuell etwas auslesen muss Xobor nachbessern? Sorry sehe ich nicht so denn du hast die Möglichkeit dein PW sofort zu ändern.
Hat nun ein Admin das Forum neu muss er sich doch auch darum Kümmern um es sicher zu machen. Bissel gehört schon zu den Aufgaben eines Admins.

Und dann diese Fordernde Formulierung. Wenn es dich stört Xobor macht das gerne für dich als Auftragsarbeit.

Diese Vorgehensweise ist nicht ungewöhnlich egal wo ich mich anmelde, außer bei Banken, bekomme ich meine Zugangsdaten zugeschickt per Mail und dann kann man doch erwarten das derjenige Online geht und das PW ändert.

Ich sehe es daher als Nutzlose Zeit Investierung eines Technikers an wo er sich um andere Dinge kümmern kann.


 Antworten

 Beitrag melden
08.04.2015 14:25 (zuletzt bearbeitet: 08.04.2015 14:25)
avatar  Ingmar
#9 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
avatar
Technik

Zitat
Ich halte die Versendung von Passwörtern per Mail grundsätzlich für falsch und gfährlich.


Ist es aber schlicht nicht - oder wenigstens ist es nicht "gefährlicher" als der Login im Forum.


Zitat
Es ist auch nicht erforderlich das zu tun. Wenn ich ein Forum erstelle notiere ich mir die nötigen Daten.


Du darfst nicht von dir auf unseren durchschnittlichen Kunden schließen




Um es noch einmal von unserer Seite auf den Punkt zu bringen:
Es ist völlig irrelevant, ob das Passwort versendet wird oder nicht, so lange der Zugang zum Forum nicht durchgehend per SSL/https geschützt wird!
Eine "Man in the Middle"-Attack - die ja auch für das Abgreifen der Email nötig wäre - wäre auch beim ganz normalen Foren-Login erfolgreich, da muss nicht unbedingt der Zeitpunkt der Foren-Erstellung abgepasst werden. Eine solche https/ssl--Sicherung wäre aber sehr ressourcen- und kostenintensiv (da SSL Zertifikate für JEDE Subdomain einzeln erstellt und bezahlt werden müssen) und kann daher nicht für alle Foren angeboten werden. Foren mit speziellen Sicherheitsanforderungen, die auch bereit sind dafür entsprechend den Aufpreis zu übernehmen können sich gerne bei uns für eine individuelle Lösung melden.

Zitat
Bei anderen Einrichtigungen wie Banken, Shops, Kundenportale usw ist das in der Regel auch so gelöst


Bei Banken/Paypal und zum Glück auch den meisten Webshops hast du natürlich https gesicherte Login-Vorgänge - hier würde das Verseden der Klartext-Passwörter tatsächllich ein Sicherheitsrisiko bedeuten. Mit dem Forum vergleichen lässt sich das aber schwer.

Viele Grüße,
Ingmar


 Technik · Homepagemodules.de · Miranus GmbH

 Antworten

 Beitrag melden
08.04.2015 15:16 (zuletzt bearbeitet: 08.04.2015 15:17)
avatar  Mike48
#10 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
avatar
Mitglied

OK ich habs kapiert.
Ingmar, von mir aus kannst Du das Thema zu machen.
Ich weis wie es geht und weis was ich tuen muss.

Gruß Mike


www.friends-of-xobor.de (621181 - Template kann wechsel bei Pluin Tests)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)

 Antworten

 Beitrag melden
08.04.2015 15:24
#11 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
se
Mitglied

Bei Forumieren ist es so, das man im Adminbereich zwecks Sicherheit es so einstellen kann, das Moderatoren und Admins KEINE Passwortanfrage starten kann, wenn sie dieses verlegt haben. Das wäre zum Beispiel gut, wenn es Idioten gibt die Mailadressen hacken .

Wäre das nicht auch eine Option?

Nachteil, man darf sein PW nicht verlegen.


Nur mal mein Gedanke dazu.

(Business Template)

 Antworten

 Beitrag melden
08.04.2015 16:43
avatar  Ingmar
#12 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
avatar
Technik

Zitat von seelenwind im Beitrag #11
Nachteil, man darf sein PW nicht verlegen.


Joa, das wird glaube ich recht schwer zu vermitteln...

Admin: Ich habe mein Passwort verlegt, wie komme ich nun in mein Forum
Support: Das ist aus Sicherheitsgründen nicht möglich, wir müssen das Forum leider löschen

Viele Grüße,
Ingmar


 Technik · Homepagemodules.de · Miranus GmbH

 Antworten

 Beitrag melden
08.04.2015 17:16
avatar  Olaf
#13 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
Ol
Mitglied

Es werden hier wieder Probleme gewälzt,die gar keine sind.
Wenn mir ein Passwort zugesendet wird,dann kann ich das gleich wieder ändern.
Natürlich über die gleiche unverschlüsselte Leitung,wie die eMail...

Ich kenne das auch nur,das ,wenn man sich in ein Forum anmeldet, mir gleich die kompletten Anmeldedaten zugesendet werden.
Das natürlich nicht nur bei HPM....

Gruß
Olaf

__________________________

http://138600.homepagemodules.de/

 Antworten

 Beitrag melden
01.09.2015 23:02
#14 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
Sp
Mitglied

Hi,

sorry, wenn ich mich als Neuling hier direkt einmische, aber ich befürchte, die Tragweite des Problems ist hier gar nicht klar geworden:

Ja, das Versenden von Kennworten per Email kann abgefangen werden. Das ist in der Tat schlimm.

Aber: Wenn mir eine Website mein eigenes Passwort zusendet, bedeutet das, dass sie das Kennwort rekonstruieren kann.

Das darf definitiv nicht sein, denn es heißt, dass bei einem Hack der Website die Kennworte vom Einbrecher ermittelt werden können.

Nach aktuellem Sicherheitsverständis zwingend ist daher, nicht das Kennwort, sondern nur einen Hash (=eine Art Prüfsumme) zu speichern und beim nächsten Mal zu schauen, ob die Eingabe zum selben Hash führt.

Falls jetzt die Frage kommt "Was tun, wenn Kennwort vergessen, dann kann ich ja keine hilfreiche Mail bekommen?": Natürlich wird dann ein Link zum zurücksetzen des Kennworts zugesendet. So wie es alle aktuellen Internet-Seiten machen.

Das ist leider wirklich "heiß" und sollte schnellstmöglich umgestellt werden.

Wen die Details interessieren:

Schnelle Version:
http://helmbold.de/artikel/passwoerter-sicher-speichern

Ausführlichere Version als Podcast:
http://radio.springwald.de/Sendung/Sendu...it-Thomas-Smits

Viele Grüße
Daniel


 Antworten

 Beitrag melden
01.09.2015 23:15 (zuletzt bearbeitet: 01.09.2015 23:18)
avatar  King Kurt ( gelöscht )
#15 RE: Mail mit kompletten Zugangsdaten nach Forum Einrichtung
Ki
King Kurt ( gelöscht )

Zitat von Springwald im Beitrag #14


Nach aktuellem Sicherheitsverständis zwingend ist daher, nicht das Kennwort, sondern nur einen Hash (=eine Art Prüfsumme) zu speichern und beim nächsten Mal zu schauen, ob die Eingabe zum selben Hash führt.




Da hast du hier wohl nicht gründlich genug gelesen, die Passwörter werden in der Datenbank als Hash gespeichert und sind nicht rekonstruierbar.

In meinem Forum hat sich übrigens auch mal ein Nutzer beschwert, dass ihm die Zugangsdaten unverschlüsselt zugegangen seien und er gelangte zu der irrigen Überzeugung, dass der Admin sein Passwort dann auch einsehen könne. Tja, er ließ sich nicht von seiner Meinung abbringen und hat sein Benutzerkonto löschen lassen.


 Antworten

 Beitrag melden
Bereits Mitglied?
Jetzt anmelden!
Mitglied werden?
Jetzt registrieren!