Not logged in. · Lost password · Register
Forum: Support Ideas and suggestions RSS
Registrierungsarten
Page:  1  2  next 
Avatar
dieweltist 2007-03-17, 19:56 #1
User title: Prediger des Irrsinns
Member since Sep 2006 · 291 posts · Location: Thüringen / Deutschland
Group memberships: Members
Show profile · Link to this post
Subject: Registrierungsarten
Die Zusendung eines zufallsgenerierten Passwortes wäre sicherer als die Bestätigung einer E-Mail-Adresse durch Klick auf den Aktivierungslink, weil ein bösartiger User auf die Idee kommen könnte, sich bspw. 100 mal mit jeweils fremden E-Mail-Adressen zu registrieren, in der Hoffnung, dass doch irgendein Idiot auf den Aktivierungslink klickt.
Eigenes Unterforum mit Moderationsrechten und eigene Homepage im Forum erstellen – www.forumtreff.de.tt
Avatar
Yves (Administrator) 2007-03-17, 19:58 #2
User title: UNB developer & webmaster
Member since Jan 2004 · 3818 posts · Location: Erlangen, Germany
Group memberships: Administrators, Members
Show profile · Link to this post
Genau das wurde hier schon ein paar mal gesagt, wenn ich mich nicht täusche. Ist aber mit der derzeitigen Architektur nicht ganz einfach und daher schaut's schlecht aus, dass das im UNB1 noch Platz findet.
♪ ...nanananah, all in all we’re just brilliant thieves, nanananah... ♪♬
Avatar
dieweltist 2007-05-24, 17:31 #3
User title: Prediger des Irrsinns
Member since Sep 2006 · 291 posts · Location: Thüringen / Deutschland
Group memberships: Members
Show profile · Link to this post
Das System, wie man ein vergessenes Passwort ordern kann, scheint wirklich sehr sicher zu sein. Man bekommt erst einen Aktivierungslink, dann man anklicken muss; und dann bekommt man sein zufallsgeneriertes Passwort zugeschickt.

Wenn das bei der (Erst-) Registrierung auch so ablaufen würde, wäre das optimal. Vielleicht bedarf es dazu keiner sehr umfangreichen Änderung des Systems; keine Ahnung.
Eigenes Unterforum mit Moderationsrechten und eigene Homepage im Forum erstellen – www.forumtreff.de.tt
Avatar
Yves (Administrator) 2007-05-24, 22:11 #4
User title: UNB developer & webmaster
Member since Jan 2004 · 3818 posts · Location: Erlangen, Germany
Group memberships: Administrators, Members
Show profile · Link to this post
Und wenn der ahnungslose Benutzer dann auf 2. Aktivierungslinks klicken muss, wird das Verfahren sicherer? Wie gesagt, das Zusenden des Kennworts per E-Mail geht nicht ohne Weiteres, da eine erneute Anforderung dieser E-Mail nicht mehr möglich wäre. Oder zumindest wäre sie genauso spam-anfällig, wie alles andere. Es ist spät. Und verdammt warm hier...
♪ ...nanananah, all in all we’re just brilliant thieves, nanananah... ♪♬
Avatar
dieweltist 2008-06-01, 21:21 #5
User title: Prediger des Irrsinns
Member since Sep 2006 · 291 posts · Location: Thüringen / Deutschland
Group memberships: Members
Show profile · Link to this post
Das E-Mail mit dem Aktivierungslink könnte einen falschen Empfänger zugestellt werden, wie es leider ziemlich oft passiert. Jedenfalls ich bekomme ziemlich oft E-Mails, die nicht an mich gerichtet sind. Da könnte es dann passieren, dass so ein Empfänger so ein fehlgeleitetes E-Mail missbraucht, um sich mit falscher E-Mail-Adresse im Forum zu registrieren.

Eine andere Gefahr ist, dass ein User sich mit falscher Angabe einer E-Mail-Adresse extrem  viele male registrieren würde, in der Hoffnung, dass einer der Empfänger dummerweise doch auf den Aktivierungslink drücken würde; und der erste User das dann ausnutzt, um in diesem Forum mit falscher E-Mail-Adresse tätig zu werden.

Wenn es so wäre, dass absolut nie E-Mails den falschen Empfänger erreichen würden, wäre das System schon völlig sicher, so wie es jetzt ist. Aber weil das leider nicht so ist, habe ich mir eben 2 Minuten Zeit genommen, um mir was auszudenken, wie der Registrierungsvorgang bspw. ablaufen müsste, um die dadurch entstehende (wenn auch nur sehr kleine) Sicherheitslücke zu schließen.

Das System versendet die E-Mail mit dem Aktivierungslink. Wenn der Empfänger auf diesen Link klickt, müsste das Forum aufgerufen werden, wo er sich dann innerhalb der nächsten Minuten einloggen müsste, damit die Aktivierung wirksam wird. Dazu müsste er aber seinen Usernamen und das von ihm gewählte Passwort wissen. Wenn er dazu aber nicht in der Lage ist, wäre die Aktivierung nicht abgeschlossen und somit unwirksam. Genial, oder (ist das schon jetzt so)?
Eigenes Unterforum mit Moderationsrechten und eigene Homepage im Forum erstellen – www.forumtreff.de.tt
This post was edited on 2008-06-01, 21:28 by dieweltist.
MoleHillRocker 2008-06-23, 22:50 #6
Member since Apr 2008 · 8 posts
Group memberships: Members
Show profile · Link to this post
Quote by dieweltist on 2008-06-01, 21:21:
Eine andere Gefahr ist, dass ein User sich mit falscher Angabe einer E-Mail-Adresse extrem  viele male registrieren würde, in der Hoffnung, dass einer der Empfänger dummerweise doch auf den Aktivierungslink drücken würde; und der erste User das dann ausnutzt, um in diesem Forum mit falscher E-Mail-Adresse tätig zu werden.

Wie soll der "böse" User denn mitbekommen dass ein Opfer auf den Link geklickt hat? Das würde ja nur funktionieren wenn er ständig à la BruteForce versucht sich in das Forum einzuloggen. Wenn einer der diese E-Mail bekommt den Link angeklickt hat funktioniert es, ansonsten nicht.

a) Wer klickt auf Links in E-Mails von unbekannten Absendern?
b) Wer versucht auf diese Weise Zutritt zu einem Forum zu erhalten? Da gibt es andere Wege...
Avatar
dieweltist 2008-06-23, 23:10 #7
User title: Prediger des Irrsinns
Member since Sep 2006 · 291 posts · Location: Thüringen / Deutschland
Group memberships: Members
Show profile · Link to this post
Es ist mir alles völlig unverständlich, was du uns überhaupt mitteilen möchtest. Es ist alles unsinnig, merkst Du das nicht? Wieso sollte der User ständig versuchen, sich einzuloggen? Er kann das auch alle paar Stunden oder Tage tun. Und er kriegt es dann ggf. dadurch mit, indem er dann mit einem mal Beiträge schreiben kann. Zuvor hatte er nur Gastrecht.

Das ist mir natürlich auch klar, dass das nur funktioniert, wenn einer auf diesen Aktivierungslink klickt. Deswegen registriert er sich doch auch so viele male, in der Hoffnung, dass einer von den Empfängern das tut. Willst Du mich veralbern?

Ob vielleicht insbesondere Internet-Anfänger auf einen Aktivierungslink klicken können aus Neugier beispielsweise? Denen aufgrund fehlendem Wissen in dem Moment die Gefahr nicht bewusst ist? Links sind im Allgemeinen ja grundsätzlich dazu da, dass man auf diese klickt.

Wenn es andere Wege gibt, Zutritt zu einem Forum zu erhalten, sollte man diese auch nutzen. Das Problem ist nur, dass manche sich auf nichtlegale Weise Zutritt verschaffen wollen, um dann mit falscher E-Mail-Adresse tätig zu werden im Forum.
Eigenes Unterforum mit Moderationsrechten und eigene Homepage im Forum erstellen – www.forumtreff.de.tt
MoleHillRocker 2008-06-24, 12:20 #8
Member since Apr 2008 · 8 posts
Group memberships: Members
Show profile · Link to this post
Quote by dieweltist:
Wieso sollte der User ständig versuchen, sich einzuloggen? Er kann das auch alle paar Stunden oder Tage tun. Und er kriegt es dann ggf. dadurch mit, indem er dann mit einem mal Beiträge schreiben kann. Zuvor hatte er nur Gastrecht.
Das mag schon sein, aber ich denke einfach jemand der einem Forum schaden möchte geht anders vor. (effizienter)
Ich halte diese Vorgehensweise prinzipiell für möglich, aber trotzdem für ziemlich unwahrscheinlich.

Quote by dieweltist:
Ob vielleicht insbesondere Internet-Anfänger auf einen Aktivierungslink klicken können aus Neugier beispielsweise? Denen aufgrund fehlendem Wissen in dem Moment die Gefahr nicht bewusst ist? Links sind im Allgemeinen ja grundsätzlich dazu da, dass man auf diese klickt.
Da muss ich dir Recht geben. Das habe ich nicht bedacht, ich ging von mir und meinem Umfeld aus. ;-)

Quote by dieweltist:
Wenn es andere Wege gibt, Zutritt zu einem Forum zu erhalten, sollte man diese auch nutzen. Das Problem ist nur, dass manche sich auf nichtlegale Weise Zutritt verschaffen wollen, um dann mit falscher E-Mail-Adresse tätig zu werden im Forum.
Identitätsdiebstahl ist aber auch illegal...

Ich persönlich finde den Registrierungsmechanismus schon relativ sicher im Gegensatz zu anderer Forensoftware, da man sich dort oft einfach nur mit Username und Passwort anmelden kann, ohne eine E-Mail mit Aktivierungslink zu bekommen.
Ich behaupte mal dass es sowieso komplett unmöglich ist, diesen Mechanismus 100%ig sicher zu gestalten, da es immer Mittel und Wege geben wird, ihn zu umgehen. Ein großes Problem hierbei stellen häufig die User da, die leider oftmals ihr Hirn ausschalten und auf alles klicken was sich da so auf dem Bildschirm tummelt.

PS: Falls du meinen vorherigen Beitrag als persönlichen Angriff aufgefasst hast, so möchte ich mich entschuldigen! Das war nicht meine Absicht.
MoleHillRocker 2008-06-24, 13:04 #9
Member since Apr 2008 · 8 posts
Group memberships: Members
Show profile · Link to this post
Achja was ich ganz vergessen habe zu erwähnen:
Ich habe in meinem Forum die E-Mail abgeändert, die verschickt wird wenn sich ein neues Mitglied registriert, in welcher ausdrücklich steht dass er/sie nur bei einer tatsächlich angeforderten E-Mail auf den Link klicken soll. Ansonsten soll die E-Mail einfach ignoriert und gelöscht werden. Bisher hat das einwandfrei funktioniert.

(Änderung in Datei /unb_lib/lang/LANGUAGECODE/mail.php)
This post was edited on 2008-06-24, 13:11 by MoleHillRocker.
Avatar
dieweltist 2008-06-24, 15:33 #10
User title: Prediger des Irrsinns
Member since Sep 2006 · 291 posts · Location: Thüringen / Deutschland
Group memberships: Members
Show profile · Link to this post
Sorry; mein letzter Satz war leider missverständlich ausgedrückt, deswegen nehme ich diesen hiermit zurück. Mit den anderen Wegen meinte ich ausschließlich legale Wege. Dass bspw. der Admin einen Accound registriert und dann die Anmeldedaten übergibt, oder dass sich der neue User selbst normal registriert.

Grundsätzlich wird sich bspw. völlig zurecht über Microsoft wegen Sicherheitslücken aufgeregt, aber die vielen kleineren Programmierer machen es oftmals auch nicht besser. Diese Art der Registrierung ist aus den von mir dargelegten Gründen völlig unsicher. Und wie diese sehr viel sicherer bzw. ausreichend sicher wäre, hatte ich bereits in diesem Thread geschrieben: Klick!.
Eigenes Unterforum mit Moderationsrechten und eigene Homepage im Forum erstellen – www.forumtreff.de.tt
Avatar
Yves (Administrator) 2008-06-25, 20:32 #11
User title: UNB developer & webmaster
Member since Jan 2004 · 3818 posts · Location: Erlangen, Germany
Group memberships: Administrators, Members
Show profile · Link to this post
In reply to post #9
Quote by MoleHillRocker on 2008-06-24, 13:04:
Ich habe in meinem Forum die E-Mail abgeändert, die verschickt wird wenn sich ein neues Mitglied registriert, in welcher ausdrücklich steht dass er/sie nur bei einer tatsächlich angeforderten E-Mail auf den Link klicken soll. Ansonsten soll die E-Mail einfach ignoriert und gelöscht werden. Bisher hat das einwandfrei funktioniert.

Wär ne Idee, da könnte ich nochmal drüberschauen. Bei Gelegenheit muss ich mir auch über die vorgegebenen Nutzungsbedingungen Gedanken machen. (Das hatte ich schon länger vor...) Die sind nämlich auch nicht mehr ganz zeitgemäß. </ot>
♪ ...nanananah, all in all we’re just brilliant thieves, nanananah... ♪♬
Avatar
dieweltist 2008-06-25, 22:07 #12
User title: Prediger des Irrsinns
Member since Sep 2006 · 291 posts · Location: Thüringen / Deutschland
Group memberships: Members
Show profile · Link to this post
Ach was; die Nutzungsbedingungen kann doch jeder selbst so gestalten, wie er möchte. Schließlich bist Du Informatiker und nicht Jurist. Ich würde diese deswegen vielleicht am besten einfach völlig entfernen, sodass jeder diese selbst in die entsprechende Datei schreiben kann bzw. muss.

Und die Idee, dass der Empfänger ausdrücklich darauf aufmerksam gemacht wird, dass es ein Aktivierungslink ist, ist zwar gut gemeint. Wird aber ggf. nicht viel nützen, denn ein böswilliger User könnte ausländische E-Mail-Adressen verwenden, bspw. chinesische. Und die Empfänger können das dann gar nicht verstehen und klicken dann nur so aus Neugier drauf.
Eigenes Unterforum mit Moderationsrechten und eigene Homepage im Forum erstellen – www.forumtreff.de.tt
Avatar
Yves (Administrator) 2008-06-26, 18:44 #13
User title: UNB developer & webmaster
Member since Jan 2004 · 3818 posts · Location: Erlangen, Germany
Group memberships: Administrators, Members
Show profile · Link to this post
Na dann aktualisiere ich eben die Nutzungsbedingungen für meine beiden (bald vllt. nur noch eins, Studentenleben ist vorbei) Foren und lass dann alle anderen Board-Admins daran teilhaben. Wär das akzeptabel für dich?

Zeig mir doch bitte mal die belastbaren Studien, die zeigen, dass eine signifikante Menge Deutscher (oder Europäer) einfach mal so aus Neugier auf Links in E-Mails klickt, die in chinesischer/russischer/hebräischer Sprache verfasst sind und die sie nicht verstehen. Wenn du mich mit nachprüfbaren Argumenten davon überzeugen kannst, dass es sich hierbei um ein tatsächliches Problem handelt, könnte ich mir u.U. vorstellen, etwas Zeit da reinzustecken.
♪ ...nanananah, all in all we’re just brilliant thieves, nanananah... ♪♬
Avatar
dieweltist 2008-06-26, 19:25 #14
User title: Prediger des Irrsinns
Member since Sep 2006 · 291 posts · Location: Thüringen / Deutschland
Group memberships: Members
Show profile · Link to this post
Den ersten Absatz kann ich nicht verstehen. Ich meinte übrigens die Nutzungsbedingungen des Freeware-Forensystems, dass Du zum Download anbietest, damit kein Missverständnis entsteht.

Freilich ist zwar schon was dran, an dem Argument, dass kaum jemand auf einen Link klicken würde, wenn er die Sprache des E-Mails nicht versteht. Und ich muss nicht zeigen, anhand belastbarer Studien, dass eine signifikante Menge Deutscher (oder Europäer) einfach mal so aus Neugier auf Links in E-Mails klicken würden, die in chinesischer/russischer/hebräischer Sprache verfasst sind. Sondern Du müsstest anhand belastbarer Studien zeigen, dass bspw. kein Chinese auf einen Link klicken würde, der die deutsche Sprache nicht verstehen kann.

Anstatt zu versuchen, Dich irgendwie herauszureden, würde ich an Deiner Stelle doch einfach die Methodik der Registrierung so ändern, dass sie sicher wäre. Wie diese Methodik bspw. sein könnte, hatte ich doch hier geschrieben. Aber das in PHP umsetzen, kann ich leider nicht; weil ich kein PHP beherrsche. Nur zu einem bissel Mod Rewrite und Vim-Syntax habe ich es bis jetzt gebracht.
Eigenes Unterforum mit Moderationsrechten und eigene Homepage im Forum erstellen – www.forumtreff.de.tt
Avatar
Yves (Administrator) 2008-06-26, 22:42 #15
User title: UNB developer & webmaster
Member since Jan 2004 · 3818 posts · Location: Erlangen, Germany
Group memberships: Administrators, Members
Show profile · Link to this post
Bitte, nur zu. Du kannst das Programm gerne und jederzeit nach deinen Belieben verändern. Du kannst den Code dann auch veröffentlichen. Und wenn er mir gefällt, könnte ich ihn evtl. in meine Version des UNB aufnehmen. Bis auf weiteres hab ich jetzt aber selbst leider keine Lust (mehr), das zu implementieren. (Von der Zeit mal ganz abgesehen.) Ich seh da keinen Bedarf für. Wenn du ihn siehst, steht es dir frei, Abhilfe zu schaffen. So funktioniert freie Software.
♪ ...nanananah, all in all we’re just brilliant thieves, nanananah... ♪♬
Close Smaller – Larger + Reply to this post:
Verification code: VeriCode Please enter the word from the image into the text field below. (Type the letters only, lower case is okay.)
Smileys: :-) ;-) :-D :-p :blush: :cool: :rolleyes: :huh: :-/ <_< :-( :'( :#: :scared: 8-( :nuts: :-O
Special characters:
Page:  1  2  next 

Go to forum
This board is powered by the Unclassified NewsBoard software, 20110527-dev, © 2003-2011 by Yves Goergen
Page created in 217 ms (151 ms) · 135 database queries in 95.3 ms
Current time: 2012-05-21, 18:59:48 (UTC +02:00)