E-Mail-Adresse für's Monitoring ändern

[Tobias Leupold]

Hallo Fabian!

Das ist natürlich jetzt nicht super-sicherheitskritisch. Es ginge ja auch nur 
dann, wenn man eingeloggt ist, und jemand anderes dann Zugriff auf das 
benutzte Gerät hat.

Ich verstehe nur nicht, warum das Passwort überhaupt zurückgesetzt wird, und 
dann auch noch im Klartext per E-Mail verschickt wird.

Meistens läuft es ja einfach so, dass eine E-Mail an die neue Adresse geht, 
und man dann auf einen Bestätigungs-Link klickt. Das Passwort bleibt 
unverändert.
Bzw. wenn man auf Nummer sicher gehen will, dann kann man zusätzlich an die 
alte E-Mail-Adresse eine Nachricht schreiben von wegen "Die E-Mail-Adresse 
wurde von ... zu ... geändert. Wenn du das nicht warst, dann klicke hier ..."

Also das wäre jetzt meiner Meinung nach das "normale" Vorgehen ...

Grüße, Tobias

Am Samstag, 30. April 2022, 11:26:06 CEST schrieb Fabian Bläse:
> Hallo Tobias,
> 
> aktuell haben wir niemanden, der sich aktiv um den Code des Monitoring
> kümmert. Da müsste man mal sehen, wie man das anstellt.
> 
> So ungewöhnlich diese Technik bei fragwürdigem Nutzen scheinen mag, sehe ich
> gerade die Dringlichkeit einer Änderung nicht. Wie sähe hier denn ein
> Angriffsvektor aus, der nicht auch über einen ganz normalen Passwortreset
> erreicht werden könnte, nachdem die E-Mail Adresse geändert ist? Ggf.
> kannst du mir auch direkt antworten, wenn du das für sicherheitskritisch
> hältst.
> 
> Wenn ich dich richtig verstehe, dann ist das Problem primär ja eher, dass
> man Passwort und E-Mail einfach mit dem Session Token (eingeloggt sein)
> ändern kann, ohne das Erzwingen einer sehr aktuellen Authentifizierung.
> Also wenn man sich beispielsweise in einem Internetcafe einloggt hat und
> sich nicht wieder ausloggt.
> 
> Gruß
> Fabian