Hallo Andreas, hallo Moderatoren, ich habe soeben in den "Einstellungen" (https://www.mikrocontroller.net/user/edit) meine neue E-Mail-Adresse eingetragen und netter Weise bereits nach einer Minute eine E-Mail über meine neue Adresse mit einem Bestätigungslink erhalten. Durch den Aufruf dieses Links wird die neue Adresse DIREKT (also ohne weitere Sicherheitsabfrage) freigeschaltet. Zitat der E-Mail: > Sie haben die E-Mail-Adresse Ihres Foren-Accounts auf folgende > Adresse geaendert: > aaaa.bbbb@muster.de {von mir "zensiert" ;)} > Um diese Aenderung zu bestaetigen, klicken Sie bitte den > folgenden Link an: > https://www.mikrocontroller.net/user/confirm_email/.... {ebenfalls von mir "zensiert" ;)} Meine Kritik an diesem Prozedere: Da die neue Adresse nur einmal eingegeben werden muss, und somit Tippfehler nicht abgefangen werden, kann dies dazu führen dass eine dritte Person, welche die Adresse mit dem Tippfehler besitzt, nach Aufruf des Bestätigungslinks "meine" Benachrichtigungen incl. PM's erhält. Natürlich würde ich mich nach einer gewissen Zeit fragen warum ich immer noch keine Mail zur Bestätigung erhalten habe, aber in dieser Zeit hätte der Dritte auf jeden Fall Zugriff auf alle eingehenden Benachrichtigungen. Was man aus meiner Sicht ändern könnte: a) Die neue E-Mail-Adresse sollte zweimal eingegeben werden müssen. Bei nicht identischen Eingaben sind diese zu verwerfen und ein deutlicher Warnhinweis auszugeben. b) Der simple Aufruf des Bestätigungslinks darf nicht direkt zur Gültigkeit der neuen Adresse führen. Statt dessen sollte wenigstens nochmals der Benutzername abgefragt werden (die Abfrage eines Passwortes kann man natürlich nicht erwarten - Phishing-Mails gibt's ja schon genug). LG Magnus
Angehängte Dateien:
Wow und welchem Risiko sieht du dich dadurch ausgesetzt?
Teo D. schrieb: > Wow und welchem Risiko sieht du dich dadurch ausgesetzt? Hmmm... dem Risiko dass sich ein Fremder mit Dir über Nachtdreharbeiten unterhalten könnte? ? Beitrag "Re: Probleme Schweißhelme"
Magnus M. schrieb: > Hmmm... dem Risiko dass sich ein Fremder mit Dir über Nachtdreharbeiten > unterhalten könnte? ? Ich bin Schockiert... Schokolatiert... oder bin ich der Weinachtmann.... Sche.. CokaCola Erfindung. Ich will meinen Weihnachtsengel wieder haben... sabber, lechts... :P
Ich vergaß zu erwähnen dass ich es witzig finde dass ausgerechnet DU als erster in diesem Thread geschrieben hast. Meine alte Adresse ist schon seit 4 Monaten tot und ich habe extra für den oben verlinkten Beitrag meine Adresse aktualisiert ???
Und welch Verschwörungstheorie vermutest du nun dahinter?-O
Gar keine. Verschwörungstheorien wurden von Spinnern für Spinner erfunden. Es ist mittlerweile auch für mich recht spät geworden... deshalb: "gut's Nächtle".
Das klingt sehr nach 'Ihr müßt verhindern daß ich Fehler mache' Wenn Du die Adresse geändert hast und keine Bestätigungsmail bekommst, mußt Du nochmal nachsehen. Warum reicht das nicht?
Das als "Sicherheitslücke" zu bezeichnen, halte ich für sehr weit hergeholt, schließlich liegt hier der Fehler beim Anwender. Ein Sicherheitsgurt kann auch nicht verhindern, dass ich mit 200 km/h gegen eine Wand fahre. Wenn ich irgendwo ein zweites Mal eine E-Mail-Adresse eingeben muss, dann empfinde ich das lediglich als lästig. Deshalb verwende ich hier grundsätzlich Copy&Paste, falls das nicht durch Javascript verhindert wird. Was macht man mit denjenigen, die sich auch beim zweiten Mal vertippen? Die meisten werden nämlich stumpfsinnig ohne Nachdenken nochmal denselben Wortlaut abtippen, also denselben Fehler noch einmal machen. Hier bringt eine zweite Eingabe gar nichts. Vielleicht sollte man die E-Mail-Adresse besser noch ein drittes Mal abfragen? Und solange die vorherigen Eingaben unsichtbar machen, damit man sie nicht dumpf abtippen kann? ;-) Oder noch besser: Man lässt den User die Eingabe solange wiederholen, bis die E-Mail-Adressen unterschiedlich sind. Dann lässt man ihn von vorn beginnen. Das ist absolute Sicherheit! Denn er wird nie fertig werden ;-)
:
Bearbeitet durch Moderator
Man könnte jeweils eine Bestätigung an die alte und neue Adresse schicken und erst wenn von beiden akzeptiert wurde, wird die neue übernommen, so ähnlich ist es auf PayPal.
Ich habe das Prozedere jetzt nicht eigens ausprobiert, weiss daher nicht, wie es hier konkret aussieht. Daher allgemein: Eine Mail mit Bestätigungslink sollte nicht allein durch den Klick auf den Link in der Mail bereits die Bestätigung auslösen, sondern einen weiteren Klick auf der so erhaltenen Seite erfordern. Manche Firewalls/Mailscanner verfolgen enthaltene Links automatisch, um zu sehen, was dabei passiert. Wird dabei bereits die Bestätigung ausgelöst, gibts ein potentielles Problem. Abradolf L. schrieb: > Man könnte jeweils eine Bestätigung an die alte und neue Adresse > schicken und erst wenn von beiden akzeptiert wurde, wird die neue > übernommen, so ähnlich ist es auf PayPal. Was ist, wenn die alte Adresse nicht mehr funktioniert, bzw man darauf keinen Zugriff mehr hat?
:
Bearbeitet durch User
Beitrag #5657788 wurde vom Autor gelöscht.
Wie wäre es einen Token an die neue Mailadresse zu senden, der im Account eingegeben werden muss? Sowas als keine Sicherheitslücke zu bezeichnen finde ich übrigens fast dreist. Frei nach dem Motto: "it's not a bug, it's a Feature". :D Wenn wirklich sofort die falsche E-Mail Adresse gültig wird, kann derjenige der die Mail bekommen hat ja auch sofort das Passwort ändern und ist damit Besitzer des Accounts. Das ist imho schon als kritisch anzusehen. Auch wenn es in so einem Account jetzt nicht wirklich viel zu holen gibt.
Magnus M. schrieb: > a) Die neue E-Mail-Adresse sollte zweimal eingegeben werden müssen. Bei > nicht identischen Eingaben sind diese zu verwerfen und ein deutlicher > Warnhinweis auszugeben. NEIN! Wenn mich etwas schon seit Jahrzehnten ankotzt, dann, dass ich an allen möglichen Stellen meine e-Mailadresse doppelt eingeben muss. Alleine im Bundestag ...
A. K. schrieb: > Was ist, wenn die alte Adresse nicht mehr funktioniert, bzw man darauf > keinen Zugriff mehr hat? Dann darfst du dich mit dem Paypal-Kundendienst auseinander setzen.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.