Sicherheitslücke in der Nutzerverwaltung?
Geschrieben von schlauchboot (Gast) am 06. August 2010 07:02:37: [flux]
Ich habe gerade versehentlich möglicherweise eine Sicheheitslücke in der Nutzerverwaltung im WiKi gefunden. An wen müßte man dies ggf. melden?
Problem:
Im ersten Schritt ändert man die E-Mail-Adresse in seinen Nutzerdaten. Dann bekommt man eine E-Mail an die neue Adresse, um diese zu Bestätigen. Den ersten Schritt kann man nur durchführen, wenn man sein Passwort vorher eingegeben hat.
Zweiter Schritt: In dieser Bestätigungs E-Mail muß man zur Bestätigung der Änderung nur auf einen Link klicken. Hier ist die Eingabe eines Passwortes nicht mehr notwendig -- war jedenfalls bei mir nicht notwendig. Ich war dann ohne erneute Passworteingabe in meinen Benutzerdaten und konnte diese erneut ändern -- also z.B. auch mein Passwort...
Wenn man sich nun beim Eintippen der E-Mail-Adresse im ersten Schritt vertippt, bekommt (sofern diese gültig ist) jemand anderes die Bestätigungsmail, und könnte das Passwort ändern, mithin eine Identität stehlen...???
Antworten:
- Re: Sicherheitslücke in der Nutzerverwaltung? · OPerivar (Gast) · 06.08.2010 07:09 [flux]
- Re: Sicherheitslücke in der Nutzerverwaltung? · !i! (Gast) · 06.08.2010 07:52 [flux]
- Re: Sicherheitslücke in der Nutzerverwaltung? · just2b (Gast) · 09.08.2010 20:43 [flux]
- Re: Sicherheitslücke in der Nutzerverwaltung? · errt (Gast) · 09.08.2010 21:28 [flux]
- Re: Sicherheitslücke in der Nutzerverwaltung? · just2b (Gast) · 09.08.2010 21:29 [flux]
- Re: Sicherheitslücke in der Nutzerverwaltung? · Weide (Gast) · 11.08.2010 06:23 [flux]