Automatisches Login



  • Bei Dienst- bzw. Terminafragen werden die login-Daten direkt mitgeschickt, so dass man sofort eingeloggt ist, sobald man auf den Link klickt. Ist das nicht ein beträchtliches Sicherheitsrisiko? Was ist, wenn solch eine Email abgefangen wird? Ein Mitarbeiter aus unserer Gemeinde berichtete mir darüber und äußerte seine - aus meiner Sicht berechtigten - Bedenken zum Autologin per Link.

    Kann man das Autologin deaktivieren?

    Mit vielen Grüßen
    Carsten Hauptmann


  • ChurchToolsMitarbeiter

    Das kann man nicht deaktivieren.

    Diese Logins funktionieren ja auch nur einmal. Bei den Dienst/Terminanfragen sowie auch beim Passwort zurücksetzen.

    Wenn ihr aber generell mit E-Mail Sicherheitsbedenken habt könnt ihr sehr vieles im Internet nicht benutzen, weil sogut wie jeder Dienst das Zurücksetzen des Passworts auch über E-Mail macht.

    Man könnte aber schon darüber nachdenken, diesen Autologin konfigurierbar zu machen um das Risiko zu minimieren.

    Das ist mal wieder ein klassisches Beispiel für Security vs. Convinience.



  • Ich verstehe die Bedenken von @Carsten. Die Links behalten die Gültigkeit bis zum ersten Klick - ich persönlich klicke da aber sehr selten, da ich in ChurchTools oft bereits angemeldet bin und über's Dashboard arbeite. Ich denke auch, eine konfigurierbare Option wäre hier angebracht.

    Was aber aus meiner Sicht unbedingt sein muss: Bei aktivierter Zwei-Faktor-Authentifizierung darf diese auch mit dem Auto-Login-Link nicht ausgelassen werden (was jetzt der Fall ist)!



  • Ich denke, es wäre sinnvoll, wenn in der automatisch erstellten Buchungsanfrage zwar ein Link auf den entsprechenden Eintrag in ChurchService mitgeschickt wird, dann aber die Login-Daten eingegeben werden müssen. Kann man das nicht so realisieren?
    Ich sehe bei den mitgeschickten Login-Daten eine große Sicherheitslücke und bekomme schon Druck in der Gemeinde von denjenigen, die im Verhältnis "Security vs. Convinience" mit lauter Stimme für Ersteres eintreten.



  • An dieser Stelle sei noch einmal hingewiesen auf den Feature-Wunsch von sirdud vom 29. März 2017: https://forum.church.tools/topic/3542/dienst-terminanfragen-automatisches-login-konfigurierbar-machen
    Scheinbar wurde das Thema ignoriert. Wie kann ich dafür Mehrheiten sammeln?


  • admin

    @Carsten Du könntest den Beitrag pushen, in dem du noch mal einen entsprechenden Kommentar darunter abgibst und dann ist das Ding wieder für alle Teilnehmer ein aktueller Beitrag und wird gelesen. Und dann wird evtl. auch dafür gevotet. Kannst ja in dem Kommentar auf diesen Beitrag hier verweisen.

    Jedoch ist uns allen ja inzwischen klar, dass es vom Feature-Wunsch bis zur Umsetzung Jahre dauern kann. Mag sein, dass es bei sicherheitsrelevanten Features schneller geht, aber üblicherweise ist der Weg sonst recht lang ... auch, wenn da 30+ Votes stehen.