Support Bereich Hier finden Sie Antworten auf alle Fragen zu Ihrem Xobor Forum.
Wählen Sie zunächst einen Hilfe-Bereich.

Hallo Mike,

aber die Mail bekommt man überall, nicht nur bei Xobor, die brauchst Du und gehört zu den Unterlagen. Die bekommst ja auch nur Du als Foreninhaber und Admin, sieht also keiner. Die Mitglieder bekommen auch eine, wenn sie sich registrieren, die siehst Du auch nicht. Es ist normal, das man seine Zugangsdaten so bekommt.

Das ist doch keine Sicherheitslücke, das Passwort wird mitgeteilt, damit Du das findest, wenn Du es aus welchen Gründen auch immer verlegst. Das ist auch so, wenn Du einen neuen Anbieter für Deine Mails nimmst, dann bekommst auch den Benutzernamen und das Passwort mitgeteilt.

Also in Ordnung finde ich das auch nicht, wenn mein Passwort in Klarschrift per E-Mail zu mir kommt. (Es gab hier auch schon Meldungen dazu). Wir wissen ja alle, dass das kein absolut sicherer Übertragungsweg ist.

Ich habe also für einige Foren die PW-Variable aus den automatischen Texten herausgenommen. Ich schreibe stattdesse: "das Passwort, das Sie gewählt haben ..."

Ansonsten wird man in anderen Systemen aufgefordert, das übermittelte Startpasswort sofort zu ändern. Wer das nicht tut, ist dann selbst dafür verantwortlich.

Zitat

---

Bei anderen Einrichtigungen wie Banken, Shops, Kundenportale usw ist das in der Regel auch so gelöst.

---

Ja dort, nicht aber bei Forensoftware!

Zitat

---

@Shogun
Ohne dir nahetreten zu wollen, dein Verständis für Sicherheit werde ich mir nicht zum Masstab machen.

---

Was heisst hier mein Verständnis zur Sicherheit? Wie schon gesagt, das was Du bekommst, kann eh keiner lesen und ich glaube kaum, dass jemand Daten von einem Forum ausliest. Da gibt es schliesslich kein Geld zu holen. Und das Du es weisst, ich bin auch mal auf eine Spam reingefallen, als ich es noch nicht besser wusste. Da hat mich der Sicherheitsbeauftragte meiner Karte aufmerksam gemacht. Jemand aus Deutschland hatte mir bereits über CHF 700.- von der Karte abgehoben. Ich bekam dann die Liste zur Kontrolle, abgehoben für Boxkämpfe und so ne Sch..... Ich hatte Glück, weil der Sicherheitsbeauftragte wusste, dass ich diese Karte nur für Spiele, Benzin und Forentarife benutze. Darum wurde mir auch das ganze Geld zurückerstattet. Wenn Du auch nur 1 Mal bei Miranus per Pay Pal oder so, den Forentarif bezahlst, hast Du wochenlang danach Spam von Abzockern. Soviel zum Thema, andere Einrichtungen. Diese Spams sind heute so gut gemacht, dass man fast keine Unterschiede sieht, wenn es heisst verifizieren sie Ihre Karte.

Nun die Idee von Dir ist gut, mal schauen, vielleicht setzt sie Xobor ja um.

Mike nix für ungut hier mal meine Bescheidene Meinung. Da es sich um einen Verbesserungsvorschlag handelt möchte ich mein Contra einbringen. Ich kann deine Bedenken in keinster Weise nachempfinden. Mal davon ab, du kannst umgehend nach der Registrierung eines neuen Forums, in das Forum gehen als Admin und das Passwort ändern. Weil du nun sagst man kann da eventuell etwas auslesen muss Xobor nachbessern? Sorry sehe ich nicht so denn du hast die Möglichkeit dein PW sofort zu ändern.
Hat nun ein Admin das Forum neu muss er sich doch auch darum Kümmern um es sicher zu machen. Bissel gehört schon zu den Aufgaben eines Admins.

Und dann diese Fordernde Formulierung. Wenn es dich stört Xobor macht das gerne für dich als Auftragsarbeit.

Diese Vorgehensweise ist nicht ungewöhnlich egal wo ich mich anmelde, außer bei Banken, bekomme ich meine Zugangsdaten zugeschickt per Mail und dann kann man doch erwarten das derjenige Online geht und das PW ändert.

Ich sehe es daher als Nutzlose Zeit Investierung eines Technikers an wo er sich um andere Dinge kümmern kann.

Bei Forumieren ist es so, das man im Adminbereich zwecks Sicherheit es so einstellen kann, das Moderatoren und Admins KEINE Passwortanfrage starten kann, wenn sie dieses verlegt haben. Das wäre zum Beispiel gut, wenn es Idioten gibt die Mailadressen hacken .

Wäre das nicht auch eine Option?

Nachteil, man darf sein PW nicht verlegen.


Nur mal mein Gedanke dazu.

Es werden hier wieder Probleme gewälzt,die gar keine sind.
Wenn mir ein Passwort zugesendet wird,dann kann ich das gleich wieder ändern.
Natürlich über die gleiche unverschlüsselte Leitung,wie die eMail...

Ich kenne das auch nur,das ,wenn man sich in ein Forum anmeldet, mir gleich die kompletten Anmeldedaten zugesendet werden.
Das natürlich nicht nur bei HPM....

Gruß
Olaf

Hi,

sorry, wenn ich mich als Neuling hier direkt einmische, aber ich befürchte, die Tragweite des Problems ist hier gar nicht klar geworden:

Ja, das Versenden von Kennworten per Email kann abgefangen werden. Das ist in der Tat schlimm.

Aber: Wenn mir eine Website mein eigenes Passwort zusendet, bedeutet das, dass sie das Kennwort rekonstruieren kann.

Das darf definitiv nicht sein, denn es heißt, dass bei einem Hack der Website die Kennworte vom Einbrecher ermittelt werden können.

Nach aktuellem Sicherheitsverständis zwingend ist daher, nicht das Kennwort, sondern nur einen Hash (=eine Art Prüfsumme) zu speichern und beim nächsten Mal zu schauen, ob die Eingabe zum selben Hash führt.

Falls jetzt die Frage kommt "Was tun, wenn Kennwort vergessen, dann kann ich ja keine hilfreiche Mail bekommen?": Natürlich wird dann ein Link zum zurücksetzen des Kennworts zugesendet. So wie es alle aktuellen Internet-Seiten machen.

Das ist leider wirklich "heiß" und sollte schnellstmöglich umgestellt werden.

Wen die Details interessieren:

Schnelle Version:
http://helmbold.de/artikel/passwoerter-sicher-speichern

Ausführlichere Version als Podcast:
http://radio.springwald.de/Sendung/Sendu...it-Thomas-Smits

Viele Grüße
Daniel

Zitat von Springwald im Beitrag #14

---

Nach aktuellem Sicherheitsverständis zwingend ist daher, nicht das Kennwort, sondern nur einen Hash (=eine Art Prüfsumme) zu speichern und beim nächsten Mal zu schauen, ob die Eingabe zum selben Hash führt.

---