Sicherheitslücke in der Nutzerverwaltung?
Geschrieben von schlauchboot (Gast) am 06. August 2010 07:02:37: [flux]
Ich habe gerade versehentlich möglicherweise eine Sicheheitslücke in der Nutzerverwaltung im WiKi gefunden. An wen müßte man dies ggf. melden?
Problem:
Im ersten Schritt ändert man die E-Mail-Adresse in seinen Nutzerdaten. Dann bekommt man eine E-Mail an die neue Adresse, um diese zu Bestätigen. Den ersten Schritt kann man nur durchführen, wenn man sein Passwort vorher eingegeben hat.
Zweiter Schritt: In dieser Bestätigungs E-Mail muß man zur Bestätigung der Änderung nur auf einen Link klicken. Hier ist die Eingabe eines Passwortes nicht mehr notwendig -- war jedenfalls bei mir nicht notwendig. Ich war dann ohne erneute Passworteingabe in meinen Benutzerdaten und konnte diese erneut ändern -- also z.B. auch mein Passwort...
Wenn man sich nun beim Eintippen der E-Mail-Adresse im ersten Schritt vertippt, bekommt (sofern diese gültig ist) jemand anderes die Bestätigungsmail, und könnte das Passwort ändern, mithin eine Identität stehlen...???
Antworten:
-
Re: Sicherheitslücke in der Nutzerverwaltung?
·
OPerivar (Gast)
·
06.08.2010 07:09
[flux]
-
Re: Sicherheitslücke in der Nutzerverwaltung?
·
!i! (Gast)
·
06.08.2010 07:52
[flux]
-
Re: Sicherheitslücke in der Nutzerverwaltung?
·
just2b (Gast)
·
09.08.2010 20:43
[flux]
-
Re: Sicherheitslücke in der Nutzerverwaltung?
·
errt (Gast)
·
09.08.2010 21:28
[flux]
-
Re: Sicherheitslücke in der Nutzerverwaltung?
·
just2b (Gast)
·
09.08.2010 21:29
[flux]
-
Re: Sicherheitslücke in der Nutzerverwaltung?
·
Weide (Gast)
·
11.08.2010 06:23
[flux]