E-Mail-Adresse f??r's Monitoring ??ndern

So Mai 8 13:39:30 CEST 2022

Hallo (dritter versuch mit mutt, sorry),

Ich sehe das ein bissle problematisch in der Logik.  Wenn man eine Domain
hat (z.B. Freifunk-domain1.de) und laesst es auslaufen und aendert jetzt
das passwort mit neuen domain, was an Freifunk-domain1.de geht (reset oder
was auch immer) kann im negativen sinne ausgenuzt werden (sprich jemand
registriert sich den domain Freifunk-domain1.de der ausgelaufen ist und
hoert das konto vom vorgaenger ab und macht resets um den orginellen zu
aergern).  Koennte passieren, aber eine kugelsichere loesung hab ich nicht.
Vielleicht kann jeder ein "Buddy" konto haben durch den er als 3.
person eine vertrauensvolle stellung zu einem passwort reset macht.  Ist
vielleicht komplexer im code aber man kann diesen Buddy (3. person) auf
einem treff kennenlernen.

Vielleicht kann man hier ein git system aufbauen das nachschaut wer wen
auf einen passwort reset file getan hat.  Und wenn der ein Buddy ist dann
wird passwort geaendert.  Das hat wenig umgehungen.

Beste Gruesse,
-peter

On Sun, May 08, 2022 at 12:38:25PM +0200, Tobias Leupold wrote:
> Hallo allerseits,
> 
> Im Prinzip muss man ja nur den Schritt weglassen, wo das Passwort auf ein 
> zuf?lliges neues gesetzt wird, und dann halt einfach sowohl an die neue als 
> auch an die alte E-Mail-Adresse eine E-Mail schicken, dass die Adresse 
> ge?ndert wurde. Passwort bleibt gleich.
> 
> Sinnvoll w?re sicher ein Best?tigungs-Link, der an die neue E-Mail-Adresse 
> geht (zwecks Tippfehler, Unzustellbarkeit etc.), und ein Reset-Link an die 
> alte. Inwiefern das das aktuelle Datenbanklayout hergibt, muss ich mir mal 
> anschauen. Sollte ja aber eigentlich auch nicht allzu schwer zu implementieren 
> sein; allerdings m?sste man sich den ganzen Kram daf?r dann schon doch mal 
> daheim aufsetzen zum Testen.
> 
> Da g?be es sicher auch noch mehr zu tun, z. B. das blo?e Vorhandensein eines 
> "@"-Zeichens in einer Zeichenkette macht noch keine g?ltige E-Mail-Adresse 
> daraus etc. etc. ...
> 
> Aber ich denke mal allein mit dem Nicht-Zur?cksetzen des Passworts und dem 
> Benachrichtigen sowohl der alten als auch der neuen E-Mail-Adresse w?ren wir 
> schon erheblich n?her an dem Verhalten, was man (wenn ich hier von mir auf 
> andere schlie?en darf) landl?ufig erwarten w?rde.
> 
> Ich schau's mir mal an :-)
> 
> Viele Gr??e
> Tobias
> 
> Am Sonntag, 8. Mai 2022, 11:53:30 CEST schrieb Fabian Bl?se:
> > Hallo Tobias,
> > 
> > wenn du m?chtest kannst du ein passendes Issue beim Monitoring anlegen.
> > https://github.com/FreifunkFranken/fff-monitoring/issues
> > 
> > Allerdings ohne Garantie, dass sich jemand zeitnah darum k?mmert.
> > 
> > Wenn du m?chtest kannst du gerne auch versuchen das ganze selbst in die Hand
> > zu nehmen und als Pull Request einzureichen. Die entsprechende Stelle im
> > Code ist hier:
> > https://github.com/FreifunkFranken/fff-monitoring/blob/master/ffmap/web/app
> > lication.py#L432-L461
> > 
> > Gru?
> > Fabian
> 
> 
> 