Bug, Designfehler oder Unverständnis?
Moderator: mirko
Nein das ist so gedacht. Der Nutzer kann über das Anmeldeformular seine Gruppenzuordnung ändern, er kann ebenfalls sein E-Mail-Adresse ändern. Es gibt nach Änderung keine Bestätigungs-E-Mail, man sollte den Nutzer nicht nerven. Ganz im Gegenteil man muss froh sein, wenn überhaupt die Änderung der E-Mail-Adresse mitgeteilt wird. Von der Sicherheit her, ist das eigentlich nicht schlimm, denn zur Änderung der E-Mail-Adresse muss man die alte E-Mail-Adresse natürlich kennen, sonst funktioniert es nicht. Zur Änderung der Daten sollten ebenfalls der Änderungslink im Newsletter selbst verwenden werden und nicht das direkte Formular.
Hallo Mirko,
ich habe ein weiteres großes Sicherheitsproblem wie oben entdeckt. Jeder kann über die Änderungsseite eine beliebige E-Mailadresse verändern. Auch hier wird kein Bestätigungslink verschickt. Schlimmer noch, es wird weder eine Informations-E-Mail an die neue noch an die alte Adresse verschickt. Das heißt ein Angreifer kann eine komplette Mailingliste umbiegen, ohne dass der Kunde etwas mitbekommt. Nur der Admin bekommt eine Nachricht und auch nur wenn es eingestellt ist. Vor allem wird wieder das Doppel-Opt-In ausgehebelt und man hat ein rechtliches Problem, wenn plötzlich jemand auf der Mailingliste steht, der sich dort nicht eingetragen hat. Ein Kunde muss nur einen Tippfehler beim Eingeben machen und jemand anderes steht auf der Liste.
Was ist hier los? Ist das wirklich ein Designfehler?
Marcus
ich habe ein weiteres großes Sicherheitsproblem wie oben entdeckt. Jeder kann über die Änderungsseite eine beliebige E-Mailadresse verändern. Auch hier wird kein Bestätigungslink verschickt. Schlimmer noch, es wird weder eine Informations-E-Mail an die neue noch an die alte Adresse verschickt. Das heißt ein Angreifer kann eine komplette Mailingliste umbiegen, ohne dass der Kunde etwas mitbekommt. Nur der Admin bekommt eine Nachricht und auch nur wenn es eingestellt ist. Vor allem wird wieder das Doppel-Opt-In ausgehebelt und man hat ein rechtliches Problem, wenn plötzlich jemand auf der Mailingliste steht, der sich dort nicht eingetragen hat. Ein Kunde muss nur einen Tippfehler beim Eingeben machen und jemand anderes steht auf der Liste.
Was ist hier los? Ist das wirklich ein Designfehler?
Marcus
Hallo Mirko,
ich habe immer noch Probleme mit dem genauen Ablauf und Reakationen von SWM bei der An-/Abmeldung und bin deshalb gerade dabei einen systematischen Durchlaufen zu machen und das Ergeniss in einer MindMap festzuhalten. Hierbei bin ich auf ein Problem gestoßen. Ich weiß nicht, ob das ein Bug ist, oder ob ich aus Unverständnis etwas falsch konfiguriert habe.
Meldet sich ein neuer Benutzer an, bekommt er eine Bestätigungsemail geschickt. So weit so gut. Gibt man nun, nach Bestätigung und Eintrag in die DB, in das Anmeldeformular die gleiche E-Mailadresse an und wählt andere Gruppen aus, dann werden diese Gruppen automatisch hinzugefügt, ohne dass eien Bestätigungsemail verschickt wird. Das würde heißen, dass jeder beliebige User einfach die Gruppenzugehörigkeiten einer beliebigen E-Mailadresse ändern kann. Da hat man aber gesetzliche Probleme.
Was mache ich hier falsch?
Mich hat das Frmular mit Gruppen sehr verwirrt. So wie ich es jetzt verstehe kann ich immer nur entweder Gruppen hinzufügen oder mich von Gruppen abmelden, aber eben nicht beides zusammen. Gibt es eigentlich irgendeine Möglichkeit, dass ein Nutzer, seine Gruppenzugehörigkeiten sieht? Ich hatte erwartet, dass er sich gleichzeitig von Gruppen an- und abmelden kann. Dies entspräche dem normalen Empfinden. Dazu müssten aber die zu einer E-Mailadresse zugehörigen Gruppen angezeigt werden können. Sicherheitstechnisch kann das nur über einen Link mit ID und PW über eine E-Mail funktionieren, wenn der Benutzer generell kein eigens Login und PW hat.
Marcus
ich habe immer noch Probleme mit dem genauen Ablauf und Reakationen von SWM bei der An-/Abmeldung und bin deshalb gerade dabei einen systematischen Durchlaufen zu machen und das Ergeniss in einer MindMap festzuhalten. Hierbei bin ich auf ein Problem gestoßen. Ich weiß nicht, ob das ein Bug ist, oder ob ich aus Unverständnis etwas falsch konfiguriert habe.
Meldet sich ein neuer Benutzer an, bekommt er eine Bestätigungsemail geschickt. So weit so gut. Gibt man nun, nach Bestätigung und Eintrag in die DB, in das Anmeldeformular die gleiche E-Mailadresse an und wählt andere Gruppen aus, dann werden diese Gruppen automatisch hinzugefügt, ohne dass eien Bestätigungsemail verschickt wird. Das würde heißen, dass jeder beliebige User einfach die Gruppenzugehörigkeiten einer beliebigen E-Mailadresse ändern kann. Da hat man aber gesetzliche Probleme.
Was mache ich hier falsch?
Mich hat das Frmular mit Gruppen sehr verwirrt. So wie ich es jetzt verstehe kann ich immer nur entweder Gruppen hinzufügen oder mich von Gruppen abmelden, aber eben nicht beides zusammen. Gibt es eigentlich irgendeine Möglichkeit, dass ein Nutzer, seine Gruppenzugehörigkeiten sieht? Ich hatte erwartet, dass er sich gleichzeitig von Gruppen an- und abmelden kann. Dies entspräche dem normalen Empfinden. Dazu müssten aber die zu einer E-Mailadresse zugehörigen Gruppen angezeigt werden können. Sicherheitstechnisch kann das nur über einen Link mit ID und PW über eine E-Mail funktionieren, wenn der Benutzer generell kein eigens Login und PW hat.
Marcus