Fragen zur Freischaltung

Antworten
#1
09.09.2024 20:56 (zuletzt bearbeitet: 10.09.2024 13:52)
avatar  schmerztablette
#1 Fragen zur Freischaltung
sc
schmerztablette
Mitglied

Hallo,
Wir haben eine Sicherheitslücke gefunden. Wie kann das sein?

Das ist harmlos, aber nicht gut.

Jetzt zum eigentlichen. Wie kann es sein das sich irgendwelche Personen anmelden können ohne die E-Mail zu bestätigen?
Ich hab es probiert mit einer nicht existenten Mail Addi (Jens Idiot@g.mail.ochs)
sowie mit meiner zweiten existenten Mail Addi (schmerztablette@magenta.de)
In beiden Fällen wird uns angezeigt das die Mail Addi bestätigt werden muß und genau das ist in beiden Fällen nicht geschehen und trotzdem können wir diese Mitglieder freischalten bzw. kann man sich einloggen.
[[File:02.jpg|none|auto]]
Edit: Bild aus Datenschutzgründen vom Support entfernt.

Was ist da falsch?
Danke Andre


 Antworten

 Beitrag melden
#2
09.09.2024 21:34 (zuletzt bearbeitet: 09.09.2024 21:45)
avatar  Franz-Jupp
#2 RE: Sicherheitslücke
avatar
Franz-Jupp
Mitglied

Zum ersten Teil mit der Meldung beim Login kann ich eigentlich nichts 100%iges beisteuern.
Wenn es um diese Website geht

http://www.trimocl.de/

kann ich nur empfehlen, unter Admin > Einstellungen > Sicherheit auf HTTPS umzustellen.
Vielleicht verschwindet dann diese Warnmeldung.
Kann aber etwas dauern, bis die Umstellung auf HTTPS erfolgt ist.

Zum zweiten Anliegen, manuelle Freischaltung ist auch zu einem Zeitpunkt durch den Admin möglich, wenn die Email-Bestätigung noch nicht erfolgt ist.

____________________________________________________________
es grüßt Franz-Jupp

https://www.zur-blende.de/ = Board-Nr, 854674
nutzt Template V3

 Antworten

 Beitrag melden
#3
09.09.2024 22:02
avatar  Mike48
#3 RE: Sicherheitslücke
avatar
Mike48
Mitglied

Das ist keine Sicherheitslücke sondern eine Einstellung des Administrator der das Forum nicht sicher eingestellt hat. Auf https umschalten und das Forum ist sicher.

Der Administrator Andre N hat die neuen Mitglieder freigeschaltet. Das ist keine Sicherheitslücke sondern Absicht.

www.friends-of-xobor.de (621181 - Template kann wechsel bei Pluin Tests)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)

 Antworten

 Beitrag melden
#4
10.09.2024 13:35 (zuletzt bearbeitet: 10.09.2024 13:37)
avatar  old-smokey
#4 RE: Sicherheitslücke
ol
old-smokey
Mitglied

Zitat von schmerztablette im Beitrag #1
In beiden Fällen wird uns angezeigt das die Mail Addi bestätigt werden muß und genau das ist in beiden Fällen nicht geschehen und trotzdem können wir diese Mitglieder freischalten bzw. kann man sich einloggen.
Die Sicherheitslücke bei der Freischaltung liegt bei dem Admin, der einen User freischaltet, obwohl der noch nicht die Bestätigungsmail genutzt hat. In der Admin wird doch angezeigt, ob bestätigt oder noch nicht und solange da kein "Ja" angezeigt wird, unterlässt man als Admin die Freischaltung und löscht diese Anmeldung nach Zeit x.

Nebenbei noch der dringende Hinweis, lösch das in deinem Post gezeigte Bild mit dem Adminbereich umgehend raus. Darin sind Userdaten deines Forum mit deren eMail-Adressen zu sehen und das darf nicht sein


 Antworten

 Beitrag melden
#5
10.09.2024 13:55
avatar  Ingmar
#5 RE: Sicherheitslücke
avatar
Ingmar
Technik

Vielleicht noch zur Ergänzung: Es gibt immer mal wieder Gründe, warum ein Admin ein Mitglied freischalten möchte, obwohl die Mail nicht bestätigt ist.
Vielleicht gibt es gerade Probleme mit der Zustellung, oder es wurde versehentlich eine falsche Adresse angegeben. Oder das Neumitglied ist persönlich bekannt und der Admin verzichtet daher auf eine Bestätigung in diesem Fall.

Es ist daher wie meine Vorredner schon schreiben eine gewollte Option, die Mitglieder auch ohne Mail-Bestätigung freischalten zu können.

Viele Grüße,
Ingmar
 Technik · Homepagemodules.de · Miranus GmbH

 Antworten

 Beitrag melden
#6
10.09.2024 18:23
avatar  schmerztablette
#6 RE: Sicherheitslücke
sc
schmerztablette
Mitglied

Hallo und vielen Dank,
okay verstanden und noch nicht ganz.

Wenn man sich anmeldet mit einer Fake E Mail Addi die es nirgends auf der Welt gibt, wie in dem Beispiel:

Jens Idiot konnte freigeschalten werden mit der Mail Addi: Jens.Idiot@hornline.ochs

und ich konnte mich unter dem Usernamen auch anmelden nach der freischaltung. Die IP gab Aufschluß, das ich das bin. Das war ja auch nur ein Test.
Aber Ihr habt mir weiter geholfen und THX für das löschen des Bildes. Da hab ich wieder mal im Eifer des Gefechts nicht dran gedacht.

LG Andre


 Antworten

 Beitrag melden
#7
10.09.2024 18:35
avatar  Mike48
#7 RE: Sicherheitslücke
avatar
Mike48
Mitglied

Zitat von schmerztablette im Beitrag #6
Wenn man sich anmeldet mit einer Fake E Mail Addi die es nirgends auf der Welt gibt, wie in dem Beispiel:

Jens Idiot konnte freigeschalten werden mit der Mail Addi: Jens.Idiot@hornline.ochs


Also einfach mit dem freischalten warten bis die E-Mail Adresse bestätigt wurde.
Es ist einfach zu viel verlangt, dass bei der Registrierung auch noch die Mail Adressen automatisch überprüft werden.
Dafür ist die Option automatisch per E-Mail bestätigen lassen ja extra da.

www.friends-of-xobor.de (621181 - Template kann wechsel bei Pluin Tests)
www.seniorenclub-sel-koeln.de (578865 - V6 Template)

 Antworten

 Beitrag melden
Antworten
Bereits Mitglied?
Jetzt anmelden!
Mitglied werden?
Jetzt registrieren!