• Recent
    • Tags
    • Popular
    • Users
    • Groups
    • Search
    • Register
    • Login

    Automatisches Login

    Fragen
    4
    6
    518
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      Carsten
      last edited by

      Bei Dienst- bzw. Terminafragen werden die login-Daten direkt mitgeschickt, so dass man sofort eingeloggt ist, sobald man auf den Link klickt. Ist das nicht ein beträchtliches Sicherheitsrisiko? Was ist, wenn solch eine Email abgefangen wird? Ein Mitarbeiter aus unserer Gemeinde berichtete mir darüber und äußerte seine - aus meiner Sicht berechtigten - Bedenken zum Autologin per Link.

      Kann man das Autologin deaktivieren?

      Mit vielen Grüßen
      Carsten Hauptmann

      1 Reply Last reply Reply Quote 2
      • davidschillingD
        davidschilling ChurchToolsMitarbeiter
        last edited by

        Das kann man nicht deaktivieren.

        Diese Logins funktionieren ja auch nur einmal. Bei den Dienst/Terminanfragen sowie auch beim Passwort zurücksetzen.

        Wenn ihr aber generell mit E-Mail Sicherheitsbedenken habt könnt ihr sehr vieles im Internet nicht benutzen, weil sogut wie jeder Dienst das Zurücksetzen des Passworts auch über E-Mail macht.

        Man könnte aber schon darüber nachdenken, diesen Autologin konfigurierbar zu machen um das Risiko zu minimieren.

        Das ist mal wieder ein klassisches Beispiel für Security vs. Convinience.

        1 Reply Last reply Reply Quote 0
        • sctechS
          sctech
          last edited by

          Ich verstehe die Bedenken von @Carsten. Die Links behalten die Gültigkeit bis zum ersten Klick - ich persönlich klicke da aber sehr selten, da ich in ChurchTools oft bereits angemeldet bin und über's Dashboard arbeite. Ich denke auch, eine konfigurierbare Option wäre hier angebracht.

          Was aber aus meiner Sicht unbedingt sein muss: Bei aktivierter Zwei-Faktor-Authentifizierung darf diese auch mit dem Auto-Login-Link nicht ausgelassen werden (was jetzt der Fall ist)!

          1 Reply Last reply Reply Quote 4
          • C
            Carsten
            last edited by

            Ich denke, es wäre sinnvoll, wenn in der automatisch erstellten Buchungsanfrage zwar ein Link auf den entsprechenden Eintrag in ChurchService mitgeschickt wird, dann aber die Login-Daten eingegeben werden müssen. Kann man das nicht so realisieren?
            Ich sehe bei den mitgeschickten Login-Daten eine große Sicherheitslücke und bekomme schon Druck in der Gemeinde von denjenigen, die im Verhältnis "Security vs. Convinience" mit lauter Stimme für Ersteres eintreten.

            1 Reply Last reply Reply Quote 1
            • C
              Carsten
              last edited by

              An dieser Stelle sei noch einmal hingewiesen auf den Feature-Wunsch von sirdud vom 29. März 2017: https://forum.church.tools/topic/3542/dienst-terminanfragen-automatisches-login-konfigurierbar-machen
              Scheinbar wurde das Thema ignoriert. Wie kann ich dafür Mehrheiten sammeln?

              AndyA 1 Reply Last reply Reply Quote 0
              • AndyA
                Andy admin @Carsten
                last edited by

                @Carsten Du könntest den Beitrag pushen, in dem du noch mal einen entsprechenden Kommentar darunter abgibst und dann ist das Ding wieder für alle Teilnehmer ein aktueller Beitrag und wird gelesen. Und dann wird evtl. auch dafür gevotet. Kannst ja in dem Kommentar auf diesen Beitrag hier verweisen.

                Jedoch ist uns allen ja inzwischen klar, dass es vom Feature-Wunsch bis zur Umsetzung Jahre dauern kann. Mag sein, dass es bei sicherheitsrelevanten Features schneller geht, aber üblicherweise ist der Weg sonst recht lang ... auch, wenn da 30+ Votes stehen.

                1 Reply Last reply Reply Quote 0
                • First post
                  Last post