AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Delphi-PRAXiS - Lounge Fragen / Anregungen zur DP Bitte Passwort bei Registrierung nicht per EMail verschicken
Thema durchsuchen
Ansicht
Themen-Optionen

Bitte Passwort bei Registrierung nicht per EMail verschicken

Ein Thema von dp_bertel · begonnen am 21. Sep 2006 · letzter Beitrag vom 22. Sep 2006
Antwort Antwort
Steve9825679

Registriert seit: 21. Jun 2005
Ort: Gmunden
24 Beiträge
 
Delphi 2010 Professional
 
#1

Re: Bitte Passwort bei Registrierung nicht per EMail verschi

  Alt 22. Sep 2006, 06:54
Morgen!

Die LogIn-Daten per e.mail zu versenden, fällt eigentlich schon unter ein Sicherheitsleck. Ist ja schon angesprochen worden: e.mails werden im Klartext übertragen, und es dürfte nicht sonderlich schwer sein, sich diese z.B. über einen Proxy zu beschaffen. Allerdings stellt sich immer die Frage nach dem Kosten-Nutzen - was hat jemand davon, sich bei der DP unter einem fremden Account einzuloggen? Man kann höchstens ein paar Spaßpostings rauschicken...
Abgesehen davon werden bei jedem Anmelden die LogIn-Daten auch im Klartext im HTTP-Header gesendet, wenn kein HTTPS-Protokoll verwendet wird.

Viel gefährlicher sind da schon AutoLogins, vor allem, wenn man sie z.B. für Seiten zum Online-Banking verwendet. Hier werden die LogIn-Daten automatisch gesendet.
Diese Zugangsdaten werden im "Passwortsafe" auf der Festplatte gespeichert, und dort - weil sie ja wieder ausgelesen werden müssen - natürlich auch im Klartext (auch wenn im Passwortfeld ein ******* erscheint).
Findet dann jemand ein XSS-Problem in einer Webanwendung, kann er dich über einen präparierten Link auf die entsprechende LogIn-Seite lenken und per injiziertem Javascript und dem DOM deine LogIn-Daten abfangen.

Die Idee mit dem Passwort-sofort-ändern ist für Sicherheitsfanatiker ergo richtig, es kommt einem temporären Registrierungspasswort gleich, dass nur eine gewisse Zeitspanne gültig ist und man nach einem Klick auf den im e.mail verschickten Bestätigungslink sofort ändern muss.

LGs Steve

P.S.: Noch dümmer sind die Passwort-Erinnerungsfragen der Art "Was ist dein Lieblingshaustier", ... . Diese sind meist leichter zu beantworten als die richtigen Passwörter. Meistens reicht ein bisschen googlen... "Social Engeneering"
Man strahlt hier nicht in Wien,
denn bald strahlt es aus Temmelin
  Mit Zitat antworten Zitat
Antwort Antwort


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 13:33 Uhr.
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024-2025 by Thomas Breitkreuz