Re: E-Mail-Adresse für's Monitoring ändern

[Fabian Bläse]

Hallo Tobias,

aktuell haben wir niemanden, der sich aktiv um den Code des Monitoring kümmert. Da müsste man mal sehen, wie man das anstellt.

So ungewöhnlich diese Technik bei fragwürdigem Nutzen scheinen mag, sehe ich gerade die Dringlichkeit einer Änderung nicht. Wie sähe hier denn ein Angriffsvektor aus, der nicht auch über einen ganz normalen Passwortreset erreicht werden könnte, nachdem die E-Mail Adresse geändert ist? Ggf. kannst du mir auch direkt antworten, wenn du das für sicherheitskritisch hältst.

Wenn ich dich richtig verstehe, dann ist das Problem primär ja eher, dass man Passwort und E-Mail einfach mit dem Session Token (eingeloggt sein) ändern kann, ohne das Erzwingen einer sehr aktuellen Authentifizierung. Also wenn man sich beispielsweise in einem Internetcafe einloggt hat und sich nicht wieder ausloggt.

Gruß
Fabian

On 30.04.22 10:12, Tobias Leupold wrote:
> Hallo allerseits!
> 
> Ich habe gerade meine E-Mail-Adresse für's Monitoring geändert.
> 
> Folgendes passiert momentan:
> 
>      - Man loggt sich ein
>      - Man ändert die Adresse
>      - Das Passwort wird zurückgesetzt
>      - Man bekommt das zurückgesetzt Passwort an die neue Adresse geschickt
> 
> Heißt: Wenn ich gerade eingeloggt bin, dann kann jeder, der gerade da ist,
> meinen Account klauen. Weil jeder kann irgend eine E-Mail-Adresse eingeben,
> und bekommt AN DIESE NEUE E-Mail-Adresse ein Passwort gemailt, mit dem man
> sich dann zu meinem Account einloggen kann.
> 
> Was soll denn das?! Wieso wird mein Passwort zurückgesetzt wenn ich meine E-
> Mail-Adresse ändere? Und wieso wird das dann auch noch an die neue E-Mail-
> Adresse geschickt, und nicht zumindest an die alte?
> 
> Meiner unmaßgeblichen Meinung nach gibt es hier einen dringenden
> Änderungsbedarf ...
> 
> Viele Grüße,
> Tobias
> 
>