/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Et lille sikkerhedsproblem angående bekræf~
Fra : Bertel Lund Hansen


Dato : 21-12-03 08:33

Hej alle

Jeg er praktisk gris i Fiduso som er en fore^Wfolkefront som man
kan melde sig ind i. Der afgives nogle få oplysninger hvoraf
mailadressen er den mest følsomme. Man kan senere få behov for at
ændre denne (eller bopæl).

Mit spørgsmål går på hvad der er den smarteste procedure med
hensyn til bekræftelser.

Ved nytilmelding er der ikke noget problem. Der ryger en mail
afsted til den angivne adresse, og hvis den ikke bekræftes inden
en uge, ryger sagen direkte i bitspanden.

Ved ændring af mailadressen kan jeg sende en mail afsted til den
nye adresse - men så kan enhver bavian jo lave katastrofer fordi
de så også bare selv bekræfter.

Hvis jeg sender til den gamle adresse, risikerer jeg at den
allerede er nedlagt - eller hvad? Er det bare ikke mit problem?
Eller kan jeg regne med at folk laver et passende overlap?

Husk på at det ikke er et presserende problem for medlemmerne at
holde deres oplysninger opdateret.

Teoretisk ville jeg gerne have bekræftelse fra begge adresser
fordi kun sådan er jeg sikker på at den nye virker/er skrevet
korrekt. Men er det ikke lidt voldsomt for en lowrisk-situation
som Fidusos?

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

 
 
Sune Storgaard (21-12-2003)
Kommentar
Fra : Sune Storgaard


Dato : 21-12-03 09:06

Bertel Lund Hansen mumbled his insignificant opinion in:
4liauvop3b9ei0lvtlovbumllubnejpark@news.stofanet.dk

<klip>
>
> Mit spørgsmål går på hvad der er den smarteste procedure med
> hensyn til bekræftelser.
>
> Ved nytilmelding er der ikke noget problem. Der ryger en mail
> afsted til den angivne adresse, og hvis den ikke bekræftes inden
> en uge, ryger sagen direkte i bitspanden.

Godt nok..

> Ved ændring af mailadressen kan jeg sende en mail afsted til den
> nye adresse - men så kan enhver bavian jo lave katastrofer fordi
> de så også bare selv bekræfter.

Det er i sigselv en dum løsning som du skriver, men kombineret med en anden
kontrol kan det gå an.[se længere nede]

> Hvis jeg sender til den gamle adresse, risikerer jeg at den
> allerede er nedlagt - eller hvad? Er det bare ikke mit problem?
> Eller kan jeg regne med at folk laver et passende overlap?

Sådan burde det være, men i praksis så er det jo ikke altid man lige har en
komplet liste over hvad der er tilmeldt på en given email, før man lukker
den..

> Husk på at det ikke er et presserende problem for medlemmerne at
> holde deres oplysninger opdateret.
>
> Teoretisk ville jeg gerne have bekræftelse fra begge adresser
> fordi kun sådan er jeg sikker på at den nye virker/er skrevet
> korrekt. Men er det ikke lidt voldsomt for en lowrisk-situation
> som Fidusos?

Jeg har ofte set et kontrolspørgsmål som fødeby, hundens kælenavn osv, som
man kan bruge som en 3 kontrol af identiteten. "Sjovt" nok bruges der altid
fraser som man for alt i verden bør undgå i forbindelse med passwords, da de
som regel er nemme at gætte med lidt "social engineering", men det kan du jo
så lave bedre.



Peter Larsen (21-12-2003)
Kommentar
Fra : Peter Larsen


Dato : 21-12-03 09:12

Bertel Lund Hansen wrote:
> Eller kan jeg regne med at folk laver et passende overlap?

Min erfaring.. Nej..

--
regards, Peter Larsen

Jesper Matthiesen (21-12-2003)
Kommentar
Fra : Jesper Matthiesen


Dato : 21-12-03 10:58


"Bertel Lund Hansen" <nospamius@lundhansen.dk> wrote in message
news:4liauvop3b9ei0lvtlovbumllubnejpark@news.stofanet.dk...

> Ved ændring af mailadressen kan jeg sende en mail afsted til den
> nye adresse - men så kan enhver bavian jo lave katastrofer fordi
> de så også bare selv bekræfter.
>
> Hvis jeg sender til den gamle adresse, risikerer jeg at den
> allerede er nedlagt - eller hvad? Er det bare ikke mit problem?
> Eller kan jeg regne med at folk laver et passende overlap?

Hej Bertel
Kan du ikke bare lade en bruger der kender mailadresse og password, ændre
førstnævnte på serveren uden at sende mails? Der bruges måske slet ikke
password?
Mvh Jesper



Bertel Lund Hansen (21-12-2003)
Kommentar
Fra : Bertel Lund Hansen


Dato : 21-12-03 11:22

"Jesper Matthiesen" <jmatthiesen[_fjen_]@tiscali.dk> skrev:

>Kan du ikke bare lade en bruger der kender mailadresse og password, ændre
>førstnævnte på serveren uden at sende mails? Der bruges måske slet ikke
>password?

Nej, det gør der ikke. Fiduso kører med et typisk 'system' der er
banket sammen på fem minutter, primært ordnes manuelt og ikke
skalerer særlig godt.

Men det hører med til billedet at hærværk næsten ikke vil genere
nogen. Det værste der kan ske, er at der står et navn som medlem
uden at der findes en ægte person bagved. Den der evt. af
tredjemand måtte få ændret sin adresse, vil være afskåret fra sin
registrering (fordi mailadressen faktisk er den eneste identitet
i Fidusoregi). Men når han opdager det, kan han bare melde sig
til igen. Medlemmer nyder ikke nogen specielle fordele, og intet
af det der foregår er hemmeligt på nogen måde. Der er altså ikke
noget incitament til at forsøge at genere.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Niels Callesøe (22-12-2003)
Kommentar
Fra : Niels Callesøe


Dato : 22-12-03 19:53

Bertel Lund Hansen wrote in
<news:iosauvceojbc5ae7bgoph1nan59p6420or@news.stofanet.dk>:

>>Kan du ikke bare lade en bruger der kender mailadresse og
>>password, ændre førstnævnte på serveren uden at sende mails? Der
>>bruges måske slet ikke password?
>
> Nej, det gør der ikke. Fiduso kører med et typisk 'system' der er
> banket sammen på fem minutter, primært ordnes manuelt og ikke
> skalerer særlig godt.

I den oprindelige bekræftelse indeholder du allerede en token af en
eller anden art, ikke sandt? (Dvs, en unik streng der bruges til at
aktivere den pågældende konto)

Det jeg vil foreslå at gøre er at genbruge denne token. Som I:
-indtast gammel addresse
-indtast token
-indtast ny addresse, send ny bekræftelse med ny token
-aktiver konto igen med den nye addresse+token som ved nyoprettelse
-done

Mange brugere vil alligevel have gemt bekræftelsen, og du kan evt.
opfordre til at den gemmes i bekræftelses-mailen. Den sidste slat
brugere der ikke har gemt mailen og vil skifte addresse kan man så evt.
bede skrive til <webmaster>. Herved får man et menneske ind i billedet
der kan gribe ind hvis noget ser "lusket" ud, og arbejdsbyrden burde
være særdeles minimal (1 mail om året, måske?).

Ovenstående er ikke meget sikkert, og skalerer ikke forfærdeligt godt,
men jeg tror det vil dække behovet fortrinligt.

--
Niels Callesøe - nørd light @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Endnu en grund til at have skæg: http://www.boycottgillette.com/

Bertel Lund Hansen (23-12-2003)
Kommentar
Fra : Bertel Lund Hansen


Dato : 23-12-03 10:05

Niels Callesøe skrev:

>I den oprindelige bekræftelse indeholder du allerede en token af en
>eller anden art, ikke sandt? (Dvs, en unik streng der bruges til at
>aktivere den pågældende konto)

Nej. Der er overhovedet ikke taget højde for sikkerhed af nogen
art. Faktisk vil det give problemer hvis to medlemmer hedder det
samme.

Jeg vil gå i tænkeboks fordi det er nødvendigt med et egentligt
system. Det er også nødvendigt med en entydig identifikation af
medlemmerne.

Sikkerhedsforanstaltningerne kommer til at stå mål med den ringe
risiko der er forbundet med Fiduso.

--
Bertel
http://bertel.lundhansen.dk/   FIDUSO: http://fiduso.dk/

Søg
Reklame
Statistik
Spørgsmål : 177559
Tips : 31968
Nyheder : 719565
Indlæg : 6408938
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste