Re: E-Mail-Adresse für's Monitoring ändern

Fabian Bläse fabian at blaese.de
So Mai 8 11:53:30 CEST 2022 

Hallo Tobias,

wenn du möchtest kannst du ein passendes Issue beim Monitoring anlegen.
https://github.com/FreifunkFranken/fff-monitoring/issues

Allerdings ohne Garantie, dass sich jemand zeitnah darum kümmert.

Wenn du möchtest kannst du gerne auch versuchen das ganze selbst in die Hand zu nehmen und als Pull Request einzureichen.
Die entsprechende Stelle im Code ist hier: https://github.com/FreifunkFranken/fff-monitoring/blob/master/ffmap/web/application.py#L432-L461

Gruß
Fabian

On 30.04.22 11:32, Tobias Leupold wrote:
> Hallo Fabian!
> 
> Das ist natürlich jetzt nicht super-sicherheitskritisch. Es ginge ja auch nur
> dann, wenn man eingeloggt ist, und jemand anderes dann Zugriff auf das
> benutzte Gerät hat.
> 
> Ich verstehe nur nicht, warum das Passwort überhaupt zurückgesetzt wird, und
> dann auch noch im Klartext per E-Mail verschickt wird.
> 
> Meistens läuft es ja einfach so, dass eine E-Mail an die neue Adresse geht,
> und man dann auf einen Bestätigungs-Link klickt. Das Passwort bleibt
> unverändert.
> Bzw. wenn man auf Nummer sicher gehen will, dann kann man zusätzlich an die
> alte E-Mail-Adresse eine Nachricht schreiben von wegen "Die E-Mail-Adresse
> wurde von ... zu ... geändert. Wenn du das nicht warst, dann klicke hier ..."
> 
> Also das wäre jetzt meiner Meinung nach das "normale" Vorgehen ...
> 
> Grüße, Tobias
> 
> Am Samstag, 30. April 2022, 11:26:06 CEST schrieb Fabian Bläse:
>> Hallo Tobias,
>>
>> aktuell haben wir niemanden, der sich aktiv um den Code des Monitoring
>> kümmert. Da müsste man mal sehen, wie man das anstellt.
>>
>> So ungewöhnlich diese Technik bei fragwürdigem Nutzen scheinen mag, sehe ich
>> gerade die Dringlichkeit einer Änderung nicht. Wie sähe hier denn ein
>> Angriffsvektor aus, der nicht auch über einen ganz normalen Passwortreset
>> erreicht werden könnte, nachdem die E-Mail Adresse geändert ist? Ggf.
>> kannst du mir auch direkt antworten, wenn du das für sicherheitskritisch
>> hältst.
>>
>> Wenn ich dich richtig verstehe, dann ist das Problem primär ja eher, dass
>> man Passwort und E-Mail einfach mit dem Session Token (eingeloggt sein)
>> ändern kann, ohne das Erzwingen einer sehr aktuellen Authentifizierung.
>> Also wenn man sich beispielsweise in einem Internetcafe einloggt hat und
>> sich nicht wieder ausloggt.
>>
>> Gruß
>> Fabian
> 
> 
>

Mehr Informationen über die Mailingliste franken