Forum > Klartextpasswort in Emails, Email-Adressvalidierung & TLS-Support
|
|
Clan: Grandma Death Postings: 1174 NEW |
 da es mir gerade mal wieder aufgefallen ist: DotLAN verschickt bei Passwortänderung (ob via "Passwort vergessen"-Funktion oder anders) ungefragt und ohne Vorwarnung das frei wählbare Passwort im Klartext! Kann man das irgendwie abstellen? Den Registrierungs-Prozess entlang, bei der Accountaktivierung ja sogar noch beim Anfang der "Passwort vergessen"-Funktionalität wird konsequent vermieden, das postenkartenartig per Email zu verschicken, wo es jeder lesen kann... und dann auf einmal kriegt man es direkt nach der Änderung im Klartext zugemailt? Das kommt so... unerwartet. Dabei fiel mir auch auf, dass gültige Email-Adressen abgelehnt werden. DotLAN ist Plus-Hater-Software. (username+verwendungszweck@gmail.com -> no go. Mehr Infos hier.) Ich weiß, dass DotLAN mehr oder weniger Closed-Source-Software ist, ihr da also vermutlich nicht all zu viel machen könnt, aber vielleicht gibt es ja zumindest für ersteres Verhalten eine Option... oder habt ihr evtl. die Möglichkeit, das an die Entwickler weiter zu geben? Dann noch letztens: Was haltet ihr davon, die Seite zumindest optional per TLS/HTTPS anzubieten? Man kann hier immerhin Passwörter eingeben und (wenn auch nur indirekt) mit Kosten verbundene Dinge tun. Ich bin in im Zusammenspinnen von Angriffsszenarien nicht besonders kreativ (Angreifer meldet jemanden, der schon bezahlt hat wieder ab?), aber angesichts des geringen Aufwands, den TLS heutzutage bedeutet, streng ich mich da jetzt auch nicht groß an. ;-) SSL-Zertifikate, die in jedem Browser erkannt werden und trotzdem nichts kosten bietet StartSSL an (die ich nicht nur aus diesem Grund nur wärmstens empfehlen kann). Punkt 1 wollte ich dringend erwähnen, da das einfach eine unnötige Sache ist. Punkt 2 ist eher so'n kleines Nervding, als wirklich schlimm. Beide fallen wohl unter "DotLAN halt, no source, no fun"... Punkt 3 ist nicht wirklich komplex, da könnte ich auch bei Fragen auch gerne mit helfen. Gruß Christian =) P.S.: Ich hab's extra mit einem neuen Account getestet, aber demjenigen, der sich heute ursprünglich drüber gewundert hat, wurde das Passwort sogar tatsächlich schon während der Registrierung im Klartext zugemailt. o_o [Editiert von Hat2 / 8tImER am 05.Jun.2012 um 00:45] __________________ Quis custōdiet ipsōs custōdēs? -- Decimus Iunius Iuvenalis |
 Clan: Gamesession Hannover Postings: 3072 NEW |
 Haben wir gestern geändert, nachdem uns ein anderer User per Mail noch einmal darauf hingewiesen hat. Beim Passwort vergessen wird, kein Passwort mit versandt (wurde auch noch nie)! Beim Passwort ändern wurde das neue Passwort noch einmal zugeschickt, habe ich nun geändert. Die Frage ist eben, wie groß die Gefahr wirklich ist. Denn man müsste dafür auch an das jeweilige Mailkonto ran. Und es wird ja wohl niemand überall das gleiche Passwort eingesetzt haben, oder??  __________________ ## Meine Definition von Glück? Keine Termine und leicht einen sitzen *H. J.* ## |
|
Clan: Gamesession Hannover Postings: 3072 NEW |
Ich gucke mal, wo da die Limitierungen sind.
Werden wir in naher Zukunft nicht umsetzen, da Dotlan closed-source ist und wir nicht abschätzen können, wie sich das Cookie- und Session-Handling verhält. [Editiert von Sorehead am 05.Jun.2012 um 06:37] __________________ ## Meine Definition von Glück? Keine Termine und leicht einen sitzen *H. J.* ## |
|
Clan: Gamesession Hannover Postings: 3072 NEW |
Hehe, wir sind ja zum Glück nicht die einzigen, die damit Probleme haben. Ich hoffe du bist nicht böse, wenn wir dem erstmal keine so hohe Priorität beimessen...  __________________ ## Meine Definition von Glück? Keine Termine und leicht einen sitzen *H. J.* ## |
|
Clan: Grandma Death Postings: 1174 NEW |
Passwörter: Hmm, dann habt ihr das wohl abgestellt zwischen "oh Schreck, wieso krieg ich hier mein Passwort zugemailt?" und meinem Post/Testaccount. TLS: Hm, im Prinzip (Realität vs. Theorie und so  ) sollte das eigentlich keinen Unterschied machen - HTTPS abschalten könnte da schon eher Nebeneffekte haben, wenn Cookies mit "secure"-Attribut gesetzt werden.Man muss das ja auch nicht als einzige Zugriffsmethode anbieten, zusätzlich wäre ja auch schon interessant. Bisher hab ich hauptsächlich als Problem angetroffen, dass Anwendungen selbst Umleitungen generieren, die das Protokoll hart verdrahtet haben und dann ständig von HTTPS auf HTTP umleiten. Naja, sind ja nur Anregungen, dass die Closed-Source-Sache da im Weg stehen würde, war mir ja mehr oder weniger schon vorher klar. ^^ __________________ Quis custōdiet ipsōs custōdēs? -- Decimus Iunius Iuvenalis |
|
Clan: Kein Clan Postings: 2800 NEW |
 |
|
Clan: Postings: 0 NEW |
Sollte ich das richtig mitbekommen haben, wird DOTLAN nicht mehr weiter entwickelt!? Korrigiert mich, wenn ich da falsch liege :P |
|
Clan: Kein Clan Postings: 2800 NEW |
http://intranet.dotlan.net/de/news/28.html |
|
Clan: Grandma Death Postings: 1174 NEW |
Kommt drauf an, wie man's strickt: Fall 1: Wenn man das nur optional macht, entfällt das ganze Problem eigentlich sowieso, da dann keine Zwangsredirects (von http://x.y/z nach https://x.y/z) erfolgen. Fall 2: Wenn man tatsächlich irgendwo redirecten wollte, dann könnte man drauf achten, den/die Webserver/DNS/Scripte so zu konfigurieren, dass die alle immer erst zu http://www.gsh-lan.com weiterleiten und die Seite dann automatisch auf https://www.gsh-lan.com wechselt). Fall 3: Man könnte auch jeder letzten Domain ein SSL-Zertifikat ausstellen. Wenn man ausreichend IPs hat, gibt's damit 0 Probleme (klassisches "nur 1 Domain pro IP bei TLS"-Szenario). Aber auch mit TLS SNI, wo man wie bei non-TLS mehr als eine Domain pro IP haben kann, käme man an's Ziel. Allerdings sperrt man dann IE-Benutzer unter WinXP und Android < 3 aus. Eigentlich sollte sowas nie zu Problemen führen, wenn Name im HTTP-Header und Name im ausgelieferten Zertifikat übereinstimmen. Wenn jemand natürlich mutwillig aus http://andere-seite.auf-der-selben.ip https:// macht, dann würde er vermutlich tatsächlich das "falsche" Zertifikat + dem entsprechend 'ne Warnung kriegen. Wobei TLS SNI das sogar vermeiden würde als netten Nebeneffekt, weil der Server "GTFO" sagen könnte. Müsste ich glatt mal ausprobieren, wie gut das als Idiotenschutz fungieren kann. Naja, wir bewegen uns schon in Bastlerterritorium, dringend nötig ist das alles ja nicht, aber vielleicht spricht es ja bei jemandem den inneren Nerd an. __________________ Quis custōdiet ipsōs custōdēs? -- Decimus Iunius Iuvenalis |
|
Clan: Kein Clan Postings: 2800 NEW |
|
|
Clan: Postings: 0 NEW |
Gut, das Update ist aber auch schon 7 Monate alt o.0 Viel tut sich da nicht mehr. |
|
Clan: Gamesession Hannover Postings: 3072 NEW |
__________________ ## Meine Definition von Glück? Keine Termine und leicht einen sitzen *H. J.* ## |
|
Clan: Gamesession Hannover Postings: 735 NEW |
 |
|
Clan: Grandma Death Postings: 1174 NEW |
__________________ Quis custōdiet ipsōs custōdēs? -- Decimus Iunius Iuvenalis |
|
Clan: Grandma Death Postings: 1174 NEW |
Wuhu, HTTPS funktioniert ja. Hab jetzt nix weiter probiert, aber es war mir beim "hab ich alles im Forum gelesen?" war mir der Thread untergekommen. \o/ __________________ Quis custōdiet ipsōs custōdēs? -- Decimus Iunius Iuvenalis |
Login
Buddyliste [0/0]
Du musst eingeloggt sein um die Buddyliste zu nutzen.Forum
| 20:35 LFT RL 2v2 /... (4) |
| 13:42 [N] Frohe Os... (1) |
| 21:48 LAN 2025 - w... (36) |
| 16:32 [N] Das Inte... (2) |
| 11:17 [N] GSH Rebr... (6) |
| 17:09 [N] GSH 2025... (1) |
| 08:23 [N] GSH 2025... (2) |
| 16:06 [N] GSH 2025... (3) |
| 15:03 [N] GSH 2025... (0) |
| 19:35 [N] GSH 2024... (11) |
| 23:37 [N] GSH 2024... (10) |
| 21:01 [N] Eine zwe... (26) |
Community
Partner
Best viewed with Mozilla Firefox 3.5 (or higher) or Google Chrome 4.0 (or higher).
Impressum | Datenschutz | © 2002-2010 DOTLAN Webservices Design by G-Mein | Support by Sorehead & G-Mein
Impressum | Datenschutz | © 2002-2010 DOTLAN Webservices Design by G-Mein | Support by Sorehead & G-Mein