mikrocontroller.net

Forum: www.mikrocontroller.net Sicherheitslücke: Änderung der E-Mail-Adresse eines existierenden Accounts.


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
Autor: Magnus M. (magnetus) Benutzerseite
Datum:
Angehängte Dateien:

Bewertung
0 lesenswert
nicht lesenswert
Hallo Andreas,
hallo Moderatoren,

ich habe soeben in den "Einstellungen" 
(https://www.mikrocontroller.net/user/edit) meine neue E-Mail-Adresse 
eingetragen und netter Weise bereits nach einer Minute eine E-Mail über 
meine neue Adresse mit einem Bestätigungslink erhalten. Durch den Aufruf 
dieses Links wird die neue Adresse DIREKT (also ohne weitere 
Sicherheitsabfrage) freigeschaltet.

Zitat der E-Mail:

> Sie haben die E-Mail-Adresse Ihres Foren-Accounts auf folgende
> Adresse geaendert:
> aaaa.bbbb@muster.de
{von mir "zensiert" ;)}
> Um diese Aenderung zu bestaetigen, klicken Sie bitte den
> folgenden Link an:
> https://www.mikrocontroller.net/user/confirm_email/....
{ebenfalls von mir "zensiert" ;)}


Meine Kritik an diesem Prozedere:

Da die neue Adresse nur einmal eingegeben werden muss, und somit 
Tippfehler nicht abgefangen werden, kann dies dazu führen dass eine 
dritte Person, welche die Adresse mit dem Tippfehler besitzt, nach 
Aufruf des Bestätigungslinks "meine" Benachrichtigungen incl. PM's 
erhält. Natürlich würde ich mich nach einer gewissen Zeit fragen warum 
ich immer noch keine Mail zur Bestätigung erhalten habe, aber in dieser 
Zeit hätte der Dritte auf jeden Fall Zugriff auf alle eingehenden 
Benachrichtigungen.


Was man aus meiner Sicht ändern könnte:

a) Die neue E-Mail-Adresse sollte zweimal eingegeben werden müssen. Bei 
nicht identischen Eingaben sind diese zu verwerfen und ein deutlicher 
Warnhinweis auszugeben.

b) Der simple Aufruf des Bestätigungslinks darf nicht direkt zur 
Gültigkeit der neuen Adresse führen. Statt dessen sollte wenigstens 
nochmals der Benutzername abgefragt werden (die Abfrage eines Passwortes 
kann man natürlich nicht erwarten - Phishing-Mails gibt's ja schon 
genug).

LG
Magnus

Autor: Teo D. (teoderix)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wow und welchem Risiko sieht du dich dadurch ausgesetzt?

Autor: Magnus M. (magnetus) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Teo D. schrieb:
> Wow und welchem Risiko sieht du dich dadurch ausgesetzt?

Hmmm... dem Risiko dass sich ein Fremder mit Dir über Nachtdreharbeiten 
unterhalten könnte? 😁

Beitrag "Re: Probleme Schweißhelme"

Autor: Teo D. (teoderix)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Magnus M. schrieb:
> Hmmm... dem Risiko dass sich ein Fremder mit Dir über Nachtdreharbeiten
> unterhalten könnte? 😁

Ich bin Schockiert... Schokolatiert... oder bin ich der Weinachtmann.... 
Sche.. CokaCola Erfindung. Ich will meinen Weihnachtsengel wieder 
haben... sabber, lechts... :P

Autor: Magnus M. (magnetus) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich vergaß zu erwähnen dass ich es witzig finde dass ausgerechnet DU als 
erster in diesem Thread geschrieben hast.  Meine alte Adresse ist schon 
seit 4 Monaten tot und ich habe extra für den oben verlinkten Beitrag 
meine Adresse aktualisiert 😆😆😆

Autor: Teo D. (teoderix)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Und welch Verschwörungstheorie vermutest du nun dahinter?-O

Autor: Magnus M. (magnetus) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Gar keine. Verschwörungstheorien wurden von Spinnern für Spinner 
erfunden.

Es ist mittlerweile auch für mich recht spät geworden... deshalb: "gut's 
Nächtle".

Autor: Horst (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Das klingt sehr nach 'Ihr müßt verhindern daß ich Fehler mache'
Wenn Du die Adresse geändert hast und keine Bestätigungsmail bekommst, 
mußt Du nochmal nachsehen. Warum reicht das nicht?

Autor: Frank M. (ukw) (Moderator) Benutzerseite
Datum:

Bewertung
3 lesenswert
nicht lesenswert
Das als "Sicherheitslücke" zu bezeichnen, halte ich für sehr weit 
hergeholt, schließlich liegt hier der Fehler beim Anwender. Ein 
Sicherheitsgurt kann auch nicht verhindern, dass ich mit 200 km/h gegen 
eine Wand fahre.

Wenn ich irgendwo ein zweites Mal eine E-Mail-Adresse eingeben muss, 
dann empfinde ich das lediglich als lästig. Deshalb verwende ich hier 
grundsätzlich Copy&Paste, falls das nicht durch Javascript verhindert 
wird.

Was macht man mit denjenigen, die sich auch beim zweiten Mal vertippen? 
Die meisten werden nämlich stumpfsinnig ohne Nachdenken nochmal 
denselben Wortlaut abtippen, also denselben Fehler noch einmal machen. 
Hier bringt eine zweite Eingabe gar nichts.

Vielleicht sollte man die E-Mail-Adresse besser noch ein drittes Mal 
abfragen? Und solange die vorherigen Eingaben unsichtbar machen, damit 
man sie nicht dumpf abtippen kann? ;-)

Oder noch besser: Man lässt den User die Eingabe solange wiederholen, 
bis die E-Mail-Adressen unterschiedlich sind. Dann lässt man ihn von 
vorn beginnen. Das ist absolute Sicherheit! Denn er wird nie fertig 
werden ;-)

: Bearbeitet durch Moderator
Autor: Cyblord -. (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Man könnte jeweils eine Bestätigung an die alte und neue Adresse 
schicken und erst wenn von beiden akzeptiert wurde, wird die neue 
übernommen, so ähnlich ist es auf PayPal.

Autor: A. K. (prx)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Ich habe das Prozedere jetzt nicht eigens ausprobiert, weiss daher 
nicht, wie es hier konkret aussieht. Daher allgemein:

Eine Mail mit Bestätigungslink sollte nicht allein durch den Klick auf 
den Link in der Mail bereits die Bestätigung auslösen, sondern einen 
weiteren Klick auf der so erhaltenen Seite erfordern. Manche 
Firewalls/Mailscanner verfolgen enthaltene Links automatisch, um zu 
sehen, was dabei passiert. Wird dabei bereits die Bestätigung ausgelöst, 
gibts ein potentielles Problem.

Abradolf L. schrieb:
> Man könnte jeweils eine Bestätigung an die alte und neue Adresse
> schicken und erst wenn von beiden akzeptiert wurde, wird die neue
> übernommen, so ähnlich ist es auf PayPal.

Was ist, wenn die alte Adresse nicht mehr funktioniert, bzw man darauf 
keinen Zugriff mehr hat?

: Bearbeitet durch User
Beitrag #5657788 wurde vom Autor gelöscht.
Autor: Gerd (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wie wäre es einen Token an die neue Mailadresse zu senden, der im 
Account eingegeben werden muss?

Sowas als keine Sicherheitslücke zu bezeichnen finde ich übrigens fast 
dreist. Frei nach dem Motto: "it's not a bug, it's a Feature". :D
Wenn wirklich sofort die falsche E-Mail Adresse gültig wird, kann 
derjenige der die Mail bekommen hat ja auch sofort das Passwort ändern 
und ist damit Besitzer des Accounts.
Das ist imho schon als kritisch anzusehen. Auch wenn es in so einem 
Account jetzt nicht wirklich viel zu holen gibt.

Autor: Angela (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Magnus M. schrieb:
> a) Die neue E-Mail-Adresse sollte zweimal eingegeben werden müssen. Bei
> nicht identischen Eingaben sind diese zu verwerfen und ein deutlicher
> Warnhinweis auszugeben.

NEIN! Wenn mich etwas schon seit Jahrzehnten ankotzt, dann, dass ich an 
allen möglichen Stellen  meine e-Mailadresse doppelt eingeben muss. 
Alleine im Bundestag ...

Autor: Cyblord -. (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
A. K. schrieb:
> Was ist, wenn die alte Adresse nicht mehr funktioniert, bzw man darauf
> keinen Zugriff mehr hat?

Dann darfst du dich mit dem Paypal-Kundendienst auseinander setzen.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.