Hallo, Am 08.10.2013 01:16, schrieb Henriette Fiebig: > Man loggt sich doch mit dem Benutzernamen+Passwort ein, oder? Das > Passwort wurde zurückgesetzt und mußte vom Benutzer neu vergeben > werden. Ich sehe gerade keine direkte Verbindung von der Mailadresse > zu diesem Vorgang … es sei denn, daß nach Neu-Vergabe des Passwortes > eine Mail an die hinterlegte Mailadresse geschickt wird und von dort > bestätigt werden muß.
Verlustig gegangen sind Passwort-Hash, eMail-Adresse und Sitzungstoken. Letzters hilft einem nur sehr beschränkt also ignorieren wir’s mal. Bei einfachen Passwörtern kann ich sehr schnell einen passenden Hash berechnen um mich bei der WMF einzuloggen (Benutzernamen sind ja bekannt). Wäre ich der Angreifer würde ich dann auch mal gleich schauen, ob nicht der email-Zugang mit dem Gleichen Passwort funktioniert (die Adresse habe ich ja). Die WMF hat auch nicht das Passwort zurückgesetzt, sondern die Sitzung (also das Sitzungstoken gelöscht), und das Passwort "gesperrt". Das heißt das man sich neu einloggen musste (weil das Sitzungstoken ja weg war) und man aufgefordert wurde ein neues Passwort zu setzen (denn das alte ist ja gesperrt). Es gab aber keine Verifikation über eMail. Jeder der das Passwort kannte (oder in Zukunft noch kennen lernen wird), hatte Zugang zu dem Account – um dann ein neues Passwort zu setzen. Für uns Daueruser ist das uninteressant (weil wir die Passwörter verändert haben), aber bei einem ruhendem Account kann ich das Passwort auch noch nächstes Jahr machen – wenn ich den Hash habe. Die eMail-Geschichte ist noch aus einem anderen Grund interessant: Es ist ein Datenschutzproblem. Nicht jeder Benutzer findet es geil, wenn seine eMail-Adresse bekannt ist. Das jemand die Adressen verticken könnte, ist jedoch unwahrscheinlich. > > Aber diese Mail würde doch an die Mailadresse geschickt, die im > SUL-Konto hinterlegt ist, nehme ich an? Also müßte ich auch den > Mailaccount des Benutzers hacken, um die Bestätigungsmail > abzufangen. Nein, es gab keine Bestättigungs-eMail. Die "Wir hatten ein Problem, resette dein Passwort"-eMail wurde auch nicht an die SUL-Adresse geschickt, sondern an die lokale eMail-Adresse. > > Mal abgesehen davon ist das natürlich ein starkes Stück was da > passiert ist. Und wenn ich so eine Sicherheitslücke mit dem DUI > zusammendenke, dann wirds mir schlecht. Lustig wäre es auch gewesen, wäre Wikimedias OpenID-Umsetzung schon weiter – dann hätte ein potenzieller Angreifer noch Zugriff auf viel mehr Daten gehabt. Mit freundlichen Grüßen DaB. -- Benutzerseite: [[:w:de:User:DaB.]] — PGP: 0x2d3ee2d42b255885
signature.asc
Description: OpenPGP digital signature
_______________________________________________ WikiDE-l mailing list [email protected] https://lists.wikimedia.org/mailman/listinfo/wikide-l
