Support Bereich Hier finden Sie Antworten auf alle Fragen zu Ihrem Xobor Forum.
Wählen Sie zunächst einen Hilfe-Bereich.

Danke für die schnelle Antwort.

Ok, das beruhigt mich "etwas" :-)

Bleibt ab Ende noch der erste Punkt, dass es per Email zugesendet wird.

Was auch immer noch schlimm ist und absolut unnötig erscheint, wenn es ja parallel einen anderen Mechanismus für "Passwort vergessen" gibt.

PS: Ich hoffe, dass solche Hinweise hier nicht als "nörgeln", sondern als besorgte Anfrage verstanden werden. Es sollte ein leichtes sein, den Prozess ohne Komfortverlust für den Anmelder so umzustellen, dass nie das Kennwort plain auftaucht. Dann gibt es auch kein Aufschrecken, Nachfragen und Besorgtsein mehr. Wenn man besorgten Benutzern die Umstände über die er zu Recht stolpert erklären muss, kostet das ja nur alle Beteiligten Zeit und Nerven...

Viele Grüße
Daniel

Zitat von Springwald im Beitrag #16

---

kostet das ja nur alle Beteiligten Zeit und Nerven...

---

.. es wurde , wenn ich nicht irre, in diesem Thema bereits über die Möglichkeit geschrieben, die Benachrichtigungstexte zu ändern. Warum tut Ihr das nicht einfach ?

Auch in Bezug auf die Erstbenachrichtung bei Foreneröffnung wurde bereits die Möglichkeit der sofortigen Passwortänderung nach Zugang in Klarschrift erwähnt. Ich mag das Problem nicht verstehen, welches hier diskutiert wird.

...genau das meinte ich ja. Text in der Form ändern , dass das Passwort nicht gesendet wird. Die Möglichkeit hat doch jeder.
Zudem bestünde die Möglichkeit im TPE Registrierung eine Textänderung vorzunehmen, die das potentielle Mitglied darauf hinweist, sein Passwort in der ersten -forenanmeldung zu ändern. Also alles da.

Zitat von Ingmar im Beitrag #22

---

[quote="Mike48"|p7275778]
Der Login im Forum wird nicht "sicherer" wenn dieses Passwort nicht versendet wird. Das ist ein Trugschluss!

---

Zitat von Ingmar im Beitrag #22

---

[quote="Mike48"|p7275778]
Wie King Kurt bereits schrieb speichern wir dein Passwort selbstverständlich nicht im Klartext.

---

Hi,

das mit der Subdomain ist möglicherweise ein Missverständnis:
Ich meinte , dass Ihr kein Zertifikat für *.domain.de kaufen müsstet, sondern nur für login.domain.de. Darüber lasst ihr *alle* Anmeldungen laufen.
Beispiel: Mein Forum bei Euch wird auf eigener Domain Forum.MeineDomain.de betrieben. Zum Login geht es aber dann immer an login.EureDomain.de und dann wieder zurück. Jaja - dann sieht der Benutzer eine andere Domain und ist verwirrt. Nö - muss er nicht. Du kannst in Forum.MeineDomain.de ein Formular einbinden, welches als Action auf https://login.euredomain.de geht und dann bei Erfolg direkt zurück leitet an forum.meinedomain.de. Im Hintergrund übergeben sich die Server dann die Userdaten. Machen viele Firmen so, die mehrere Domains mit einem Login übergreifend zugänglich machen wollen.
Das ist natürlich nur ein Anriss des Prozesses - bei der Programmierung gibt es noch 1-2 kleine weitere Fragen, welche aber auch zu lösen sind.

Zum Thema kommerziell / privat habe ich eine ganz andere Meinung und ich befürchte, da kommen wir auch nicht überein ;-)
Auch hier ist meiner Ansicht nach wieder ein Argumentations-Problem:
Mag sein, dass jemand bei Euch einen privaten Blog anlegt. Aber er läuft bei Euch und ihr seid kommerziell. Es ist Euer kommerzielles Angebot, welches ein Login-Formular bereit stellt - und eurer kommerzielles Produkt hat halt kein SSL. Wenn ich also bei Ebay einen privaten Shop anlege, muss Ebay als kommerzieller Anbieter dennoch ein sicheres Login bereitstellen. Zumal ich denke, dass 99% Eurer Nutzer keine Ahnung davon haben und es somit Eure Pflicht als kommerzieller Anbieter ist, sie proaktiv entsprechend zu beschützen.

Wie gesagt, ich will nicht streiten, sondern fände nur prima, wenn ein Bewusstsein dafür entsteht. Einfach mal sacken lassen ;-) Würde mich freuen, wenn vielleicht in 1-2 Wochen doch noch Interesse keimt.

Viele Grüße
Daniel

Der Vergleich "ebay" war von mir selbstverständlich nicht aufgrund von Größe und Finanzvolumen des Unternehmens, sondern nur aufgrund inhaltlicher Bekanntheit des Beispieles "kommerziell <→ privat" gewählt. So gesehen: Touché, das hast Du natürlich korrekter Weise direkt aufgegriffen ;-)

Ich kann hier zig Firmenseiten von teiweise Einmann-Firmen mit zum Teil sehr überschaubarem Umsatz aufzählen, welche Login angemessen sauber implementieren, wenn es um das Thema "Unmöglichkeit für kleine Firmen" geht.

Dass andere Anbieter ebenfalls nicht machen, ist aus meiner Sicht auch keine schöne Begründung. Oder anderes: Wenn in einer Branche alle Fahrzeuge nicht sicher sind, ist jedes Fahrzeug für sich halt: unsicher. Da hilft es auch nichts, auf die Konkurrenz zu verweisen. Jetzt gibt es zwar für Webseiten-Seriösität keinen TÜV - aber Sicherheitsprobleme bleiben ebensolche.

Ansonsten kippt jedes System letztendlich in die Entropie, sobald der erste weniger tut, als er tun könnte oder sollte und sich alle darauf berufen. Oder anders gesagt: Warum nicht in einen positiven USP für Eure Foren investieren? Vielleicht sind Eure Kunden nach Snowden usw. gar nicht sooo uninteressiert am Thema, wie Du annimmst ;-)

Wenn die Positionen unvereinbar sind - kann man sich natürlich tot diskutieren. Jeder findet in deinem seinem lokalen Kontext heraus immer Begründungen, warum die globalen Erkenntnisse nicht gelten und warum er oder seine Branche eine begründete Ausnahme darstellt. Viele Leute rauchen, gehen ohne Kondom fremd, fahren in Gefahrbereichen mit überhöhter Geschwindigkeit, sichern ihre Fotos und Dateien nicht etc. und können das auf Nachfrage hervorragend begründen. Im besten Fall damit, dass der Nachbar Heinz es auch seit Jahren so macht ;-)))

So, ich bin aber jetzt raus - ich denke, "hilfreicheres" als das bisherige kann ich nicht mehr hinzufügen.

Viele Grüße
Daniel

Sorry - ihr habt das leider nicht verstanden :-/

Es wäre kein Javascript beteiligt, es gäbe keine zig Zertifikate für zig Domains zu bestellen.

Nur *eine* Domain wie z.B. login.xobor.de braucht ssl.

Ablauf:

1. www.DanielsForum.de zeigt ein Loginform mit action auf https://login.xobor.de an

2. Beim Absenden gehen die Eingaben direkt an die SSL Domain https://login.xobor.de - ohne der der Kunde das als Irritation sieht.

3. Bei erfolgreichem Login leitet https://login.xobor.de per 307er an www.DanielsForum.de weiter und gibt in einem (verschlüsstelten) URL-Parameter eine Login-ID mit.

4. www.DanielsForum.de nimmt die Login-ID entgegen fragt per Webservice bei https://login.xobor.de an, welche Benutzerdaten für die erhaltene Login-ID hinterlegt sind

4. www.DanielsForum.de und meldet den Benutzer per Session(!) Cookie an.

Funktioniert alles prima , ist alles bereits praxis erprobt. Kostet für das SSL somit nur knapp 100EUR im Jahr(!)

Ja, am Ende bleibt noch, dass man möglichweise für eine einzelne Sitzung den Session-Cookie übernehmen könnte. Aber das ist weit entfernt von dem jetzigen Zustand.

Und auch ja, das ist nur ein schneller Überblick. Auch Wiedererkennung per langfristigem Cookie klappt, wenn am Anfang kurz auf https://login.xobor.de redirected wird und dann wieder an www.DanielsForum.de zurück redirected (bei wieder erkanntem Cookie dann mit dem neuen Login-ID Parameter.)

Klar muss man Details ausarbeiten wie Gültigkeitsdauer und Verfall der Login-ID, etc...

Aber ich werde ja auch nicht bezahlt, Eure Konzepte auszuarbeiten ;-)))
Daher bin ich jetzt aber endgültig raus.

Viele Grüße
Daniel