Einzelnen Beitrag anzeigen

Steve9825679

Registriert seit: 21. Jun 2005
Ort: Gmunden
24 Beiträge
 
Delphi 2010 Professional
 
#9

Re: Bitte Passwort bei Registrierung nicht per EMail verschi

  Alt 22. Sep 2006, 07:54
Morgen!

Die LogIn-Daten per e.mail zu versenden, fällt eigentlich schon unter ein Sicherheitsleck. Ist ja schon angesprochen worden: e.mails werden im Klartext übertragen, und es dürfte nicht sonderlich schwer sein, sich diese z.B. über einen Proxy zu beschaffen. Allerdings stellt sich immer die Frage nach dem Kosten-Nutzen - was hat jemand davon, sich bei der DP unter einem fremden Account einzuloggen? Man kann höchstens ein paar Spaßpostings rauschicken...
Abgesehen davon werden bei jedem Anmelden die LogIn-Daten auch im Klartext im HTTP-Header gesendet, wenn kein HTTPS-Protokoll verwendet wird.

Viel gefährlicher sind da schon AutoLogins, vor allem, wenn man sie z.B. für Seiten zum Online-Banking verwendet. Hier werden die LogIn-Daten automatisch gesendet.
Diese Zugangsdaten werden im "Passwortsafe" auf der Festplatte gespeichert, und dort - weil sie ja wieder ausgelesen werden müssen - natürlich auch im Klartext (auch wenn im Passwortfeld ein ******* erscheint).
Findet dann jemand ein XSS-Problem in einer Webanwendung, kann er dich über einen präparierten Link auf die entsprechende LogIn-Seite lenken und per injiziertem Javascript und dem DOM deine LogIn-Daten abfangen.

Die Idee mit dem Passwort-sofort-ändern ist für Sicherheitsfanatiker ergo richtig, es kommt einem temporären Registrierungspasswort gleich, dass nur eine gewisse Zeitspanne gültig ist und man nach einem Klick auf den im e.mail verschickten Bestätigungslink sofort ändern muss.

LGs Steve

P.S.: Noch dümmer sind die Passwort-Erinnerungsfragen der Art "Was ist dein Lieblingshaustier", ... . Diese sind meist leichter zu beantworten als die richtigen Passwörter. Meistens reicht ein bisschen googlen... "Social Engeneering"
Man strahlt hier nicht in Wien,
denn bald strahlt es aus Temmelin
  Mit Zitat antworten Zitat