Umstellung der Passwortfunktion von Mitgliedern auf "kein Zugriff" für Admins

Antworten
  • Seite 1 von 2
#1
24.10.2017 21:49
avatar  Rabendolch
#1 Umstellung der Passwortfunktion von Mitgliedern auf "kein Zugriff" für Admins
avatar
Rabendolch
Maid

Ich bin dafür, Daten wie "Passwort" und "Anmeldeadresse" (Mail) für den Zugriff im Sinne von Änderungen von Admins auszunehmen. Zumindest die Vergabe eines neuen Passwortes.

Hintergrund: Die Weiterentwicklung in Sachen Datenschutz.

www.rabendolch.com

...ich nutze den Chat hier nicht, bitte berücksichtigen...

 Antworten

 Beitrag melden
#2
25.10.2017 05:40 (zuletzt bearbeitet: 25.10.2017 05:48)
avatar  River
#2 RE: Umstellung der Passwortfunktion von Mitgliedern auf "kein Zugriff" für Admins
avatar
River
Mitglied

Dafür bin ich auch, und zwar dringend.

Seit die Kenntnis über die vorhandenen Möglichkeiten besteht, bin ich am Überlegen, ob und wie man das unterbinden kann. Ganz besonderes Gewicht möchte ich darauf legen, dass man keinen Zugriff auf Accounts von Mitgliedern, die das Forum verlassen haben, bekommt, da sie nicht aufmerksam werden, wenn das bisherige Passwort nicht mehr gültig ist.

Außerdem muss jedes Mitglied, das Probleme mit dem Login hat (Passwort) und dieses zurücksetzt, nun möglicherweise vermuten, dass das vorige Passwort von einem Admin zurückgesetzt wurde und deshalb nicht mehr gültig ist.

Auf der anderen Seite kann man sich als Admin nicht vor dem Generalverdacht schützen, sich Zugriff auf einen Account zu verschaffen oder verschafft zu haben.

Es ist mir völlig unerklärlich - und darauf möchte ich extra hinweisen - wie jemand auf die Idee kommen kann, diesen Mechanismus überhaupt herauszufinden oder herausfinden zu wollen. Mit dieser Tüftelei wurde nicht nur eine Hilfestellung entdeckt, sondern die Konsequenzen für weitergehende Szenarien wurden weder überlegt noch erkannt.

Das hat auch nichts mit Vertrauen zum Admin zu tun: Man kann nicht von einzelnen Foren/Admins ausgehen, die auf Vertrauen bestehen - es gibt schließlich viele Foren, in denen kein Vertrauen besteht. Und Datenschutz ist keine Sache des Vertrauens, sondern der Sicherheit.

Liebe Grüße
River

Edit: Hoffentlich kann man mit möglichst wenig Aufwand die E-Mail-Adresse für Änderungen sperren, so dass nur das Mitglied seine E-Mail-Adresse ändern kann. Das würde wohl genügen, vermute ich mal.

-------------------------------------------------------------

+++Ich will Computercrack werden! XD+++

Business Template (v4)

 Antworten

 Beitrag melden
#3
25.10.2017 11:07
avatar  Ingmar
#3 RE: Umstellung der Passwortfunktion von Mitgliedern auf "kein Zugriff" für Admins
avatar
Ingmar
Technik

Zitat von Rabendolch im Beitrag #1
Ich bin dafür, Daten wie "Passwort" und "Anmeldeadresse" (Mail) für den Zugriff im Sinne von Änderungen von Admins auszunehmen. Zumindest die Vergabe eines neuen Passwortes.


Für das Passwort stimme ich dir da 100% zu - da wir grundsätzlich keine Passwörter im Klartext speichern hat der Admin darauf auch keinen Zugriff.

Bei der Email-Adresse wird es schon schwieriger. Wer soll denn für den Fall, dass ein Mitglied sein PW vergessen, aber keinen Zugriff mehr auf die hinterlegte Mailadresse hat dem Mitglied wieder Zugang zum Forum verschaffen?

Viele Grüße,
Ingmar
 Technik · Homepagemodules.de · Miranus GmbH

 Antworten

 Beitrag melden
#4
25.10.2017 11:44 (zuletzt bearbeitet: 25.10.2017 11:45)
avatar  Edeltraud
#4 RE: Umstellung der Passwortfunktion von Mitgliedern auf "kein Zugriff" für Admins
avatar
Edeltraud
Mitglied

Zitat von Rabendolch im Beitrag #1
Ich bin dafür, Daten wie "Passwort" und "Anmeldeadresse" (Mail) für den Zugriff im Sinne von Änderungen von Admins auszunehmen. Zumindest die Vergabe eines neuen Passwortes.

Hintergrund: Die Weiterentwicklung in Sachen Datenschutz.


Zugriff auf Passwort hatten wir sowieso nie als Admin.

Dass man aber als Admin nicht mal mehr die Mailadresse des Mitglieds wissen soll,
das würde bei mir heißen, ich nehme keine Mitglieder mehr auf.

Denn ich will wissen, wie ich meine Mitglieder erreichen kann und auch testen,
ob es die Mailadresse gibt, man lässt doch nicht jeden rein, nur damit man volles
Haus hat !

Layout: Business
https://www.edeltraudsbastelforum.de/


Die Leute sagen immer: Die Zeiten werden schlimmer.
Die Zeiten bleiben immer. Die Leute werden schlimmer.
Joachim Ringelnatz

 Antworten

 Beitrag melden
#5
25.10.2017 12:02
avatar  Edeltraud
#5 RE: Umstellung der Passwortfunktion von Mitgliedern auf "kein Zugriff" für Admins
avatar
Edeltraud
Mitglied

Zitat von River im Beitrag #2


Es ist mir völlig unerklärlich - und darauf möchte ich extra hinweisen - wie jemand auf die Idee kommen kann, diesen Mechanismus überhaupt herauszufinden oder herausfinden zu wollen. Mit dieser Tüftelei wurde nicht nur eine Hilfestellung entdeckt, sondern die Konsequenzen für weitergehende Szenarien wurden weder überlegt noch erkannt.


Da es keine andere Möglichkeit gibt den Mitgliedern zu helfen, wird das im Notfall mit Absprache
des Mitglieds gemacht.
Es bleibt jedem Admin selbst überlassen was er macht mit Absprache seiner Mitglieder
bzw. des jeweiligen Mitgliedes. Ich denke jeder Admin weiß was er tut und trägt dafür
auch die alleinige Verantwortung für sein Forum.

Zitat von River im Beitrag #2


Das hat auch nichts mit Vertrauen zum Admin zu tun: Man kann nicht von einzelnen Foren/Admins ausgehen, die auf Vertrauen bestehen - es gibt schließlich viele Foren, in denen kein Vertrauen besteht. Und Datenschutz ist keine Sache des Vertrauens, sondern der Sicherheit.



Ist keine Vertrauensbasis zwischen Admin und Mitgliedern vorhanden, dann
muss der Admin sich überlegen was er macht und ob er seinem Mitglied hilft,
oder lieber ein Mitglied verlieren will, weil das Mitglied sich schwer tut das selbst
zu machen.

Ist von Fall zu Fall also in jedem Forum anders.

Jeder haftet für das was er macht und jedem sollte man das selbst überlassen,
was er in Absprache seiner Mitglieder macht um denen behilflich zu sein.

Daher muss die Möglichkeit da sein, dass man seinen Mirgliedern helfen kann,
wenn es in der Not ist, ist meine eigene Meinung dazu.

Muss ja kein anderer Admin so machen

Layout: Business
https://www.edeltraudsbastelforum.de/


Die Leute sagen immer: Die Zeiten werden schlimmer.
Die Zeiten bleiben immer. Die Leute werden schlimmer.
Joachim Ringelnatz

 Antworten

 Beitrag melden
#6
25.10.2017 12:08
avatar  Emanuell
#6 RE: Umstellung der Passwortfunktion von Mitgliedern auf "kein Zugriff" für Admins
avatar
Emanuell
Mitglied

Zitat von Ingmar im Beitrag #3
Bei der Email-Adresse wird es schon schwieriger. Wer soll denn für den Fall, dass ein Mitglied sein PW vergessen, aber keinen Zugriff mehr auf die hinterlegte Mailadresse hat dem Mitglied wieder Zugang zum Forum verschaffen?


So sehe ich das auch.
Manchmal ist es nötig einem Mitglied eine Mail zu schreiben und dafür sollte sie schon zu sehen sein.
Das nur das Mitglied selber die Mailadresse ändern kann dagegen hätte ich einerseits nichts einzuwenden.
Andererseits wurde ich in meinem Forum schon öfter gebeten Mailadressen für Mitglieder auszutauschen.
Das wäre dann leider nicht mehr möglich.

Man muss sich ja überall mit gültiger Mailadresse registrieren und dafür muss sie schon zu sehen sein.
Ausserdem steht unsere Mailadresse öffentlich im Impressum.

LG Emanuell
16 Jahre Lebenstraum
Business Template
Unsere Mitmachecke für Gäste.
Miteinander statt Gegeneinander

 Antworten

 Beitrag melden
#7
25.10.2017 12:11
avatar  zickzack
#7 RE: Umstellung der Passwortfunktion von Mitgliedern auf "kein Zugriff" für Admins
avatar
zickzack
Mitglied

Zitat von Rabendolch im Beitrag #1
Ich bin dafür,


Ich bin dagegen und nu?
Aufs Passwort haben Admins sowieso keinen Zugriff. E-Mail-Adresse habe ich bisher noch nicht gebraucht, es gibt aber Szenarien, wo es vielleicht ganz sinnvoll wäre.
Desweiteren, was geht es dich und River an, was andere Admins in ihren Foren, mit den Möglichkeiten den die Software bietet, machen? Richtig, nichts.
Wenn ihr die Möglichkeiten nicht nutzen wollt, dann lasst es einfach.
Ich würde auch nicht auf die Idee kommen, an den Accounts in meinem Forum herumzubasteln. Wenn aber ein Admin meint, aus welchem Grund auch immer, das tun zu müssen, dann soll er das machen können. Er muss mit den möglichen Folgen leben, nicht ihr.

Business

https://www.exmusikpress.de/

 Antworten

 Beitrag melden
#8
25.10.2017 12:39
avatar  ( gelöscht )
#8 RE: Umstellung der Passwortfunktion von Mitgliedern auf "kein Zugriff" für Admins
Gast
( gelöscht )

Es kann ja die unterschiedlichsten Gründe geben, warum ein Mitglied nicht mehr ins Forum rein kommt.
Vielleicht kommt der User mit der Anforderung des temporären PW nicht klar oder hat den Zugang zu seinem Mailkonto vergessen oder durch Providerwechsel verloren, ...wie auch immer...
Da muss der Admin dann irgendein Szenario entwickeln können, um in speziellen Fällen dem Mitglied behilflich zu sein. Wie das im Einzelnen geschieht, ist eine Sache zwischen Admin und User.
Empfehlenswert ist daher auch immer mindestens "ein" für Gäste offener Zugang, wo der Betreffende sich melden kann, ... und /oder ein Kontaktformular im Forum.

MfG


 Antworten

 Beitrag melden
#9
25.10.2017 16:28 (zuletzt bearbeitet: 25.10.2017 16:30)
avatar  River
#9 RE: Umstellung der Passwortfunktion von Mitgliedern auf "kein Zugriff" für Admins
avatar
River
Mitglied

Zitat von Ingmar im Beitrag #3
Wer soll denn für den Fall, dass ein Mitglied sein PW vergessen, aber keinen Zugriff mehr auf die hinterlegte Mailadresse hat dem Mitglied wieder Zugang zum Forum verschaffen?


Hey Ingmar,

Meine Variante ist so:
Zitat von River im Beitrag #2
Hoffentlich kann man mit möglichst wenig Aufwand die E-Mail-Adresse für Änderungen sperren, so dass nur das Mitglied seine E-Mail-Adresse ändern kann. Das würde wohl genügen, vermute ich mal.


Könnt ihr nicht im Admin-Bereich unter den Mitgliedern bzw. wo der Admin seine eigene E-Mail-Adresse reinschreiben kann, das Feld für den Admin sperren? Einfach so, dass der Admin die E-Mail-Adresse anzeigen, aber nicht ändern kann?

Da kann er jederzeit dem Mitglied die E-Mail-Adresse durchgeben. Kontakt kann über die E-Mail im Impressum stattfinden.

Damit hebelt man aus, dass die Admins die Accounts hacken. Ich hab das schon mal wo gesehen, aber ich weiß grad' nicht wo.

Ich meine, der PN-Bereich ist ja auch für Admins gesperrt (falls hier nicht Admins vorhanden sind, die rausgefunden haben, wie man das PN-Fach knackt^^) - also meines Wissens nach. Also muss man doch auch andere Bereiche für Admins sperren können?

Jedenfalls finde ich es nicht akzeptabel, dass Admins sich Zugang zum Mitgliedsaccount (in diesem Falle sind ja nur die PNs interessant) verschaffen können.

Eine andere Möglichkeit wäre noch, den PN-Bereich mit Extra-Passwort zu schützen, das nur das Mitglied kennt.

Wieder eine Alternative zum Schutz für aktive Mitglieder wäre, den letzten Login beim erneuten Login anzuzeigen. Damit sind aber Mitglieder, die ausgeschieden sind (gestorben z.B.) nicht geschützt, weil sie ja ihre PNs vor dem Ausscheiden nicht löschen können.

Also, wenn es irgendwie geht, wäre es wirklich außerordentlich gut und wichtig, wenn die E-Mail-Adresse für Änderungen durch den Admin gesperrt würde.

Damit sind immer noch dieselben Möglichkeiten offen für den regulären Passwort-Reset.

Liebe Grüße
River

Edit: Wenn es technisch nicht geht, müssen wir eben mit diesem Zustand leben, aber das ist wirklich eine Last.^^

-------------------------------------------------------------

+++Ich will Computercrack werden! XD+++

Business Template (v4)

 Antworten

 Beitrag melden
#10
25.10.2017 16:33 (zuletzt bearbeitet: 25.10.2017 16:34)
avatar  Edeltraud
#10 RE: Umstellung der Passwortfunktion von Mitgliedern auf "kein Zugriff" für Admins
avatar
Edeltraud
Mitglied

Zitat von River im Beitrag #9
[quote="Ingmar"|


Damit hebelt man aus, dass die Admins die Accounts hacken. Ich hab das schon mal wo gesehen, aber ich weiß grad' nicht wo.

Ich meine, der PN-Bereich ist ja auch für Admins gesperrt (falls hier nicht Admins vorhanden sind, die rausgefunden haben, wie man das PN-Fach knackt^^) - also meines Wissens nach. Also muss man doch auch andere Bereiche für Admins sperren können?

Jedenfalls finde ich es nicht akzeptabel, dass Admins sich Zugang zum Mitgliedsaccount (in diesem Falle sind ja nur die PNs interessant) verschaffen können.

Damit sind immer noch dieselben Möglichkeiten offen für den regulären Passwort-Reset.



@River sag mal, was unterstellst du eigentlich noch den Admins ?
Das kanns ja nicht mehr sein !

Mache du bitte dein Forum so wie du das für richtig hälst und lasse andere
Admins das so handhaben wie sie es für richtig halten.

Ich wette hier ist nicht ein Admin, wo den Migliedern behilflich ist, damit
er wieder ins Forum kommt, um demjenigen seine PN zu lesen !!!

Layout: Business
https://www.edeltraudsbastelforum.de/


Die Leute sagen immer: Die Zeiten werden schlimmer.
Die Zeiten bleiben immer. Die Leute werden schlimmer.
Joachim Ringelnatz

 Antworten

 Beitrag melden
#11
25.10.2017 16:37
avatar  Ingmar
#11 RE: Umstellung der Passwortfunktion von Mitgliedern auf "kein Zugriff" für Admins
avatar
Ingmar
Technik

Zitat von River im Beitrag #9
Also, wenn es irgendwie geht, wäre es wirklich außerordentlich gut und wichtig, wenn die E-Mail-Adresse für Änderungen durch den Admin gesperrt würde.

Aus dem oben bereits genannten Grund ist das nicht möglich.
Umstellung der Passwortfunktion von Mitgliedern auf "kein Zugriff" für Admins


Zitat von River im Beitrag #9
Ich meine, der PN-Bereich ist ja auch für Admins gesperrt (falls hier nicht Admins vorhanden sind, die rausgefunden haben, wie man das PN-Fach knackt^^) - also meines Wissens nach. Also muss man doch auch andere Bereiche für Admins sperren können?

Jein - korrekt ist, dass der Admin nicht einfach die PNs der Mitglieder durchstöbern kann.

ABER: Der Admin ist der alleinige Inhaber des Forums und aller gespeicherten Daten. Er kann jederzeit z.B für einen Datenbank-Dump beantragen und hat dann (genau wie jeder Admin in einem selbst gehosteten Forum) natürlich auch Zugriff auf alle in der Datenbank enthaltenen Daten (PNs, Emails, Uservars aus Plugins usw.).

Davon abgesehen kann der Admin durch Veränderung des Quellcodes sowieso machen was er möchte - z.B. auch die Passwörter der Mitglieder beim Login abfangen oder sich ein Plugin schreiben, welches jede PN der Mitglieder auch an ihn weiterleitet. Das sollte jedem, der sich in Foren anmeldet, auch so bewusst sein. Ob der Admin mit solchen Dingen dann gegen irgendwelche Gesetze verstößt ist wieder eine ganz andere Geschichte - irgendwelche Daten aber dem Admin vorzuenthalten macht techniusch gesehen wenig Sinn.

Viele Grüße,
Ingmar
 Technik · Homepagemodules.de · Miranus GmbH

 Antworten

 Beitrag melden
#12
25.10.2017 16:41 (zuletzt bearbeitet: 25.10.2017 16:50)
avatar  ( gelöscht )
#12 RE: Umstellung der Passwortfunktion von Mitgliedern auf "kein Zugriff" für Admins
Gast
( gelöscht )

Mitglieder, die dieses Thema gar nicht betrifft ...und /oder , die noch nie in einer Hilfssituation für hilfebedürftige Mitglieder waren, dürften uns meiner Meinung nach mit ihren Besserwissereien verschonen.
Es geht schon wieder genauso los, wie es mal war.

Mich interessieren als Admin weder PN noch Passwörter der User, aber wenn Not am Mann ist, ist es die verdammte Pflicht des Admins , dem User zu helfen.

@River inszeniert hier Dinge, die so nie da waren und die es so auch niemals geben wird.
(man kann sich auch raushalten, wenn es einen selbst gar nicht betrifft, statt unnütz Unfrieden zu sähen. Das wäre die bessere Lösung.)

MfG


 Antworten

 Beitrag melden
#13
25.10.2017 17:13 (zuletzt bearbeitet: 25.10.2017 17:14)
avatar  Kicky
#13 RE: Umstellung der Passwortfunktion von Mitgliedern auf "kein Zugriff" für Admins
avatar
Kicky
Mitglied

Selbst wenn man die Möglichkeit hätte, PNs der User zu lesen, würde ich nie auf diesen Gedanken kommen,
das ist ja schließlich sowas wie ein Postgeheimnis! Briefe von anderen hat man ja auch nicht einfach geöffnet/
gelesen, also zumindestens sollte das selbstverständlich sein, dass man soetwas nicht macht! Und wenn in einem
Forum schon so wenig Vertrauen gegenüber dem Admin/der Admina ist, dann bringt es irgendwie auch nicht viel,
dort User zu sein!

Buisness Template
https://allroundboard.info

Liebe Grüße

 Antworten

 Beitrag melden
#14
25.10.2017 17:33 (zuletzt bearbeitet: 25.10.2017 17:34)
avatar  ( gelöscht )
#14 RE: Umstellung der Passwortfunktion von Mitgliedern auf "kein Zugriff" für Admins
Gast
( gelöscht )

Ein nicht ausser Acht zu lassender Knackpunkt ist die Tatsache, dass das Board der Threaderstellerin auschließlich als Homepgage genutzt wird, somit also überhaupt keine Relevanz zu Thema Forum, Adminrechte, PW, Mailadresse o.ä. besteht.

MfG


 Antworten

 Beitrag melden
#15
25.10.2017 17:38
avatar  Edeltraud
#15 RE: Umstellung der Passwortfunktion von Mitgliedern auf "kein Zugriff" für Admins
avatar
Edeltraud
Mitglied

Meine Meinung ist, jeder darf seine Meinung schreiben wie er das sieht,
aber nicht meinen,. man muss andere Admins belehren und umerziehen,
denn das funktioniert nicht.

Jeder macht es wie er es für richtig hält in seinem Forum und im Sinne
seiner Mitglieder und nicht im Sinne von anderen Admins.

Layout: Business
https://www.edeltraudsbastelforum.de/


Die Leute sagen immer: Die Zeiten werden schlimmer.
Die Zeiten bleiben immer. Die Leute werden schlimmer.
Joachim Ringelnatz

 Antworten

 Beitrag melden
Antworten
Bereits Mitglied?
Jetzt anmelden!
Mitglied werden?
Jetzt registrieren!