[TYPO3-german] Newloginbox Passwort vergessen: Sicherheit?

Bernd Hückstädt akademie at joytopia.net
Sat Feb 3 20:12:02 CET 2007 

Hallo Elmar,

danke für Deine ausführliche Antwort!
Das klingt beruhigend.

Viele Grüße
Bernd

Am 03.02.2007 um 19:58 schrieb Elmar Hinz:

>>
>> Doch jetzt kommt ein viel gravierendes Problem:
>> Jeder x-beliebige kann eine ihm bekannte E-Mail-Adresse angeben und
>> damit das Passwort eines FE-Users überschreiben lassen.
>> Er muss nicht einmal den Usernamen kennen!
>>
>> Gibt es da keine sichereren Methoden?
>> Abfrage des Usernamens, Mitgliedsnummer, Geburtsdatum o.ä.?
>
> Hi Bernd,
>
> das Problem mag existieren, bislang scheint es aber noch für niemanden
> gravierend geworden zu sein. Es ist auch kein Sicherheitsproblem.
>
> a) Wird einmal das Passwort von jemandem überschrieben, so bekommt er
> sozusagen im gleichen Augenblick schon das neue zugestellt, so daß
> dadurch kein ernsthafter Schaden enstehen kann.
>
> b) Niemand kann einen Vorteil dadurch erzielen, daß er das Passwort
> von jemandem anderen überschreibt, weil er dadurch selbst keine neuen
> Rechte bekommt.
>
> c) Du könntest maximal jemanden dadurch ärgern, daß Du ihm dutzende  
> von
> Passwortänderungen zukommen läßt. Da könntest Du ihn aber auch direkt
> zuspammen, was wohl einfacher zu bewerkstelligen wäre.
>
> d) Um den Ruf des Plattformbetreibers durch eine solche Aktion zu
> beeinträchtigen, müßtest Du zuvor große Mengen von Email Adressen
> herausfinden, ein zu hoher Aufwand im Vergleich zur geringen Wirkung.
>
> Ich denke das sind die Gründe, warum daraus offenbar keine ernstes
> Problem erwächst, auch wenn es die theoretische Möglichkeit gäbe.  
> Damit
> ist abzuwägen, ob es gerechtfertigt wäre, das System wegen einer
> theoretischen Mißbrauchsmöglichkeit praktisch schwerer bedienbar zu
> machen. Ich denke man kann zuwarten, was in der Praxis passiert und  
> dann
> bei Bedarf reagieren.
>
> Eine Angriffsmöglichkeit entstünde, wenn Du zugriff auf den  
> Mailverkehr
> selbst bekommst. Aber das Problem liegt dann eigentlich auf einer  
> anderen
> Ebene, dem unverschlüsselten Mailverkehr. Zum Schutz kritischer  
> Daten ist
> das TYPO3 Frontend Login sicherlich das falsche System.
>
>
> Grüße
>
> Elmar
>
>
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.netfielders.de
> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german
>

More information about the TYPO3-german mailing list