Forenregistrierung: Klartextpasswort per E-Mail

Forenregistrierung: Klartextpasswort per E-Mail

Postby LX666 » 24 Apr 2009, 07:17

Hallo zusammen,

ich habe mich gerade für das Forum registriert, weil ich ursprünglich eine Frage hatte, die sich aber erledigt hat (es ging um die Datei desktop.ini im Root eines SharedSpaces auf einem Windows XP, die ich eigentlich entfernen wollte, mit einem Blick in die Datei ist mir aber klar geworden, dass ich die wohl eher nicht loswerde). Dabei ist mir aber etwas anderes aufgefallen:

Bei der Registrierung für das Forum wird eine Bestätigungsmail versandt, die mein Passwort im Klartext enthält - vermutlich ein Feature von phpBB, aber vielleicht läßt sich das ja trotzdem abschalten, denn ich halte per Mail versandte Klartextpassworte für eine eher schlechte Sache.. ;)

Ansonsten bin ich nach ersten Tests sehr zufrieden mit der Software selbst; falls für das Einbauen neuer Features eine Art Liste der meistgewünschten Funktionen existiert, würde ich noch einen "Vote" abgeben für die Möglichkeit, beim Annehmen neuer Einladungen den Speicherort des neuen Spaces vorgeben zu können (ich gehöre auch zu der Fraktion, die das von Windows vorgegebene "Home"-Verzeichnis beflissentlich ignorieren), was beim Überfliegen des Forums ja schon an der ein oder anderen Stelle gewünscht wurde.

In diesem Sinne vorab ein schönes Wochenende,
der Alex.
LX666
 
Posts: 6
Joined: 23 Apr 2009, 20:54

Re: Forenregistrierung: Klartextpasswort per E-Mail

Postby monkeyface » 25 Jul 2011, 15:30

Das habe ich gerade beim Registrieren auch mit Erschrecken festgestellt - sowas sollte es heute eigentlich nicht mehr geben, besonders beim Sicherheitsanspruch von TeamDrive.

Bitte dringend ändern!!!
monkeyface
 
Posts: 11
Joined: 25 Jul 2011, 15:22

Re: Forenregistrierung: Klartextpasswort per E-Mail

Postby Detlef Schmuck » 25 Jul 2011, 16:20

Ihr habt völlig Recht. Wir werden uns bemühen dieses Problem in dieser Forensoftware abzustellen.
Eventuell werden wir die Forensoftware wechseln müssen.

-detlef
Detlef Schmuck
TeamDrive Team Member
 
Posts: 673
Joined: 07 Jul 2008, 19:20

Re: Forenregistrierung: Klartextpasswort per E-Mail

Postby pelebam » 26 Jul 2011, 09:15

Hallo,

ich sehe hier weniger das Problem darin, dass das PW offen übertragen wird (geschieht ja eh bei jeder Anmeldung per http:// im Forum!) sondern darin, dass die Speicherung der PW wohl im Klartext und nicht als Hash erfolgt.
Ich betrachte das Zurücksenden des PW im Klartext als Indiz für die o.g. Behauptung. Denn wenn es nicht vorliegt, könnte es ja nicht versandt werden.

Und das Speichern eines PW im Klartext gilt ja wohl heutzutage berechtigterweise als "Todsünde".

Persönliche Risikoanalyse:
Da ich für jedes Forum usw. ein gesondertes PW benutze, kann der Angreifer der sich die Passwortdatei holt, maximal in diesem einen Forum unter meinem Namen "dummes Zeugs" posten. Und da ich in der Regel täglich mal kurz reinschaue, maximal 1-2 Tage lang. => Gefahr als gering eingeschätzt.

Aber trotzdem: siehe oben.

MfG Peter
pelebam
 
Posts: 24
Joined: 07 May 2011, 21:54

Re: Forenregistrierung: Klartextpasswort per E-Mail

Postby Detlef Schmuck » 26 Jul 2011, 11:46

Alle Passworte werden nur verschlüsselt gespeichert.
Auch wir als Betreiber des Forums kommen da nicht dran und können keine Passworte lesen.
Es werden deshalb auch keine persönlichen Passworte verschickt. Im Falle das ein User sein Passwort vergessen hat, wird ein neues erstellt und der User sollte das neue Passwort anschließend im Portal ändern. Wir schauen mal ob wir die Forensoftware nicht auf HTTPS umstellen können, dann ist ein abhören der Logins nicht mehr möglich.

-detlef
Detlef Schmuck
TeamDrive Team Member
 
Posts: 673
Joined: 07 Jul 2008, 19:20

Re: Forenregistrierung: Klartextpasswort per E-Mail

Postby seniyajw » 09 Aug 2011, 07:53

*** spam *** deleted by admin
seniyajw
 

Re: Forenregistrierung: Klartextpasswort per E-Mail

Postby volkeroboda » 09 Aug 2011, 23:18

Hi,
diesen Beitrag von "senyajw" können wir gar nicht verstehen.
Volker
volkeroboda
TeamDrive Team Member
 
Posts: 583
Joined: 10 Jul 2008, 19:53

Re: Forenregistrierung: Klartextpasswort per E-Mail

Postby pelebam » 10 Aug 2011, 07:29

Hi Volker,

mach dir nichts draus, du bist nicht der einzige, dem es so geht ... .

MfG Peter
pelebam
 
Posts: 24
Joined: 07 May 2011, 21:54

Re: Forenregistrierung: Klartextpasswort per E-Mail

Postby Imogen123 » 13 Aug 2011, 08:17

Das war Spam
Imogen123
 
Posts: 1
Joined: 13 Aug 2011, 08:13


Return to Feedback

Who is online

Users browsing this forum: No registered users and 11 guests

cron