Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen



  • Ich fänd' es besser, wenn man beim ersten Login (also nach der Einladung zu CT) erzwingen könnte, dass sich die Leute einen Benutzernamen UND ein Kennwort selbst vergeben müssen! So ließe sich das Problem lösen, wenn zwei Personen (z.B. Ehepaare) eine gemeinsame E-Mail Adresse führen. Zwar kann man einen Benutzernamen schon jetzt in CT vergeben, aber es lässt sich heute nicht verhindern, dass Personen sich eine E-Mail Adresse als Benutzernamen "teilen" und nur durch ein Kennwort unterscheiden werden können.
    Erzwingt man auch die Abfrage eines Benutzernamens, können die Personen ja dann auch ihre E-Mail Adresse verwenden. Ist ein Benutzername (also ggf. auch eine E-Mail Adresse) bereits an eine Person vergeben, ließe CT dann bei einer weiteren Person, die sich den selben Benutzernamen vergeben möchte dies NICHT mehr zu und zwingt denjenigen einen anderen Benutzernamen zu wählen. So hätte man automatisch eine saubere Regelung - wie es übrigens bei vielen anderen Online-Diensten schon genauso gehandhabt wird!



  • @stellarium Ich habe deinen Vorschlag noch nicht ganz verstanden. Bei der Anmeldung vergibt CT doch einen Nutzernamen automatisch, der aber von der Person geändert werden kann. Aber nicht muss.
    Dieser Nutzername ist immer eindeutig. Ich weiß es grade nicht, aber ich denke, wenn User einen Benutzernamen wählen, den es schon gibt, dann erfolgt ein Hinweis mit der Aufforderung, einen anderen Benutzernamen zu wählen.
    Wählen User keinen Nutzernamen, vergibt CT den, und zwar immer eindeutig.
    Bei Max und Martina Mustermann sähe das dann so aus: Der erste, der sich anmeldet, bekommt mmustermann als Nutzernamen, der zweite dann sowas wie mmustermann1
    Nicht unbedingt super kreativ, aber eindeutig.

    Wenn man sich in CT aber mit der Emailadresse oder dem Nutzernamen einloggen kann, ist das Problem an sich doch nicht behoben, nur weil Benutzernamen nicht gleich sein dürfen.
    Oder check ich’s grad nich. 😉



  • @metowa20

    Hallo, du hast im Grunde Recht! CT wird User immer anhand des Benutzernamens und des Kennwortes unterscheiden können. Aus meiner Sicht gibt es aber dennoch eine Sicherheitslücke in CT und zwar dann, wenn...

    Das Ehepaar Max Mustermann und Lisa Mustermann sind beide Mitglieder einer Gemeinde. Beide geben bei ihrer Anmeldung die selbe E-Mail Adresse "ml-mustermann@gmx.de" an (bei uns oft der Fall bei Ehepaaren). Beide erhalten eine Einladung zu CT. Beiden wird automatisch von CT ein eindeutiger Benutzername zugewiesen.
    Zufälligerweise (und das ist nicht auszuschließen) vergeben sich beide dasselbe Kennwort! WAS passiert nun, wenn sich einer der beiden erstmalig in CT mit der E-Mail Adresse und dem doppelt vergebenen Kennwort anmeldet?
    Ich wusste es auch nicht und habe es praktisch mit den fiktiven Personen ausprobiert! CT erkennt NICHT, dass es zwei Personen gibt, die zwar über den Benutzernamen und andere Daten unterscheidbar sind, NICHT aber über ihre E-Mail Adresse und das Kennwort!
    Wenn sich nun einer der beiden mit der gemeinsamen E-Mail Adresse und dem (unbeabsichtigt gleichen Kennwort) anmeldet, loggt CT die Person in ein beliebiges (!) Profil der beiden ein (bei meinem Test war es die Person, die sich als erstes mit diesen Daten erstmals angemeldet hat! CT merkt also diese Doppelungen nicht und lässt die Person einfach in irgendeinen Account rein! Wenn wir uns jetzt vorstellen, dass Max Mustermann Gemeindeleiter ist und Lisa Mustermann nur "normales" Mitglied, bekommt Lisa somit möglicherweise Zugang zu vertraulichen Daten, ohne das es jemand merkt.
    Ich gebe zu, dass es ein konstruiertes Beispiel ist, aber es ist möglich und aus meiner Sicht keine saubere Trennung der Benutzer. Da die E-Mail Adresse von CT auch als Login-Benutzernamen akzeptiert ist, bin ich der Meinung, muss CT solche Fälle intelligent abfangen und z.B. auf die Angabe des eindeutigen Benutzernamens bestehen.
    Um solche Probleme zu verhindern, hatte ich vorgeschlagen, dass CT es erlaubt, die Verwendung von Benutzernamen zu erzwingen. Ich halte das für eine sicherere Lösung. Eine Alternative wäre, wenn CT solche Fälle intelligent erkennen würde und nur bei Bedarf zusätzlich auch den Benutzernamen anfordern würde.
    Verwenden Personen CT mit gleicher E-Mail Adresse, so erfolgt eine Unterscheidung der Personen in CT derzeit NUR über das Kennwort! Ist auch das Kennwort gleich, dann gibt es Chaos! CT weist Betroffene sogar darauf hin, dass es zwei Accounts mit der selben E-Mail Adresse gibt und man kann oben rechts im Profilbereich sogar direkt den anderen Account aufrufen. Für meinen Geschmack hängen die Benutzer so in CT zu "eng" beinander. Wir dürfen bei all diesen Betrachtungen nicht vergessen, dass mitunter hohe Sicherheitsanforderungen des Gesetzgebers an diesem Login-Verfahren hängen können!



  • @stellarium Du hast absolut Recht. Den Fall mit einem gleichen Passwort, denn hatte ich nicht auf dem Schirm. Ich bin auch voll bei dir, wenn du forderst, dass CT dies sicher oder intelligent auffangen sollte.



  • Habe nach diesem Test bereits eine Sicherheitswarnung an den Support geschickt!



  • @stellarium Ich habe nochmal ein wenig über diese Konstellation nachgedacht.
    Wie soll denn CT den Fall auffangen, dass zwei Personen:

    • die gleiche Mailadresse angeben
    • ein gleiches Passwort wählen
    • einen unterschiedlichen Benutzernamen haben (selbstgewählt oder durch CT zugewiesen).

    Das "Sicherheitsproblem" hängt doch ausschließlich am gleichen Passwort.

    CT kann das doch nur auffangen, indem:

    • Eine Mailadresse nur einmal im System vorkommen kann (kaum praktikabel), oder
    • Das Anmelden grundsätzlich nur über einen eindeutigen Benutzernamen plus Passwort zulässt, und nicht mehr über die Mailadresse.

    Selbst wenn beim Erst-Login der User gezwungen wird, einen Benutzernamen anzugeben (der dann natürlich gegen die Datenbank überprüft werden muss), kann der User sich doch später trotzdem mit der gemeinsamen Mailadresse und dem "zufällig" gleichen Passwort anmelden, und dann weiß CT immer noch nicht, wer es nun ist.



  • Durch Tests habe ich inzwischen herausgefunden, dass CT die Benutzernamen auf Eindeutigkeit bei der Eingabe prüft. Somit kann es nur in der Kombination E-Mail/Kennwort zu gleichen Einträgen bei verschiedenen Personen kommen. Die Kombination Benutzername/Kennwort ist durch die interne Prüfautomatik von CT immer eindeutig - auch wenn Kennwörter (zufälligerweise) mehrfach vorkommen sollten.
    Daher würde ich fordern, dass CT beim Erst-Login gezwungenermaßen ein Kennwort UND einen Benutzernamen abfragt und dabei weiterhin die Eindeutigkeit des Benutzernamens überprüft. So wäre sichergestellt, dass jeder User eine eindeutige Kombination aus Benutzernamen und Kennwort hat. Die E-Mail-Adresse sollte nicht als Benutzername verwendet werden (zumindest als Option in den Admin-Einstellungen).



  • @stellarium sagte in Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen:

    So wäre sichergestellt, dass jeder User eine eindeutige Kombination aus Benutzernamen und Kennwort hat

    Das ist ja jetzt schon der Fall.

    Das Problem ist die Möglichkeit, sich statt mit dem Benutzernamen auch mit der Emailadresse anmelden zu können. Das, in Kombination mit einem gleichen Passwort bei zwei Personen, führt zu der möglichen Datenschutzlücke.



  • Ja, genau das meine ich mit "erzwingen" - das man sich eben NUR mit Benutzername + Kennwort anmelden kann und eben NICHT mit der E-Mail. Das geht derzeit leider noch nicht.



  • Der CT-Support hat sich das ganze Thema angesehen und kommt zu dem Ergebnis, dass das oben beschriebene Verhalten ein Feature ist und kein Sicherheitsproblem. Ich lass' das jetzt mal so stehen...



  • Als "Workaround" könnte man ja mit den Paaren, die eine gemeinsame Mailadresse nutzen, vereinbaren, dass einer (oder auch beide, je nach Belieben) aus organisatorischen Gründen eine Mailadresse unter der Gemeinde-Domain bekommt, als reine Weiterleitungsadresse auf die private, gemeinsame. Das kann man ja recht beliebig gestalten, das was vor dem @ steht, und das, was zur domain gehört, in dem man z.B. eine SubDomain nur für diesen Zweck anlegt.

    @stellarium Ich muss aber sagen, dass ich den Thread-Titel etwas irreführend finde, denn es ist ja de facto so, dass bereits ein eindeutiger Benutzername pro User erstellt wird. Also dieses "Feature gibt es ja". Ein Passwort wird nicht erzwungen, ein Neuling kommt also auch ohne Passwort davon. Nur er hat nichts davon, weil er sich nicht mehr einloggen kann. Insofern sehe ich ein nicht vorhandenes "Erzwingen" eines Passwortes nicht als Sicherheitsrisiko an.
    Meines Erachtens müsste der Titel eher ungefähr so lauten: Login mit Mailadresse aus Sicherheitsgründen untersagen ; oder so ähnlich.
    Und wenn sich der Partner mit den Daten des anderen einloggt, weil man ja alles teilt, dann kannst du eh nix mehr dagegen tun... 😉



  • Ich verstehe die Idee ja gerade so, dass es nur noch EINE Möglichkeit zum Login gibt.

    Und zwar den Benutzernamen. Der Benutzername kann die email Adresse sein, aber auch xyz.

    Wenn also die Wahl eines Benutzernamens erzwungen wird, muss ich mich entscheiden, was ich da eintippe.

    So kann der Partner und ich zwar die gleiche Mail-Adresse hinterlegt haben. Aber während meine Frau sich mit unserer Email Adresse einloggt, kann ich das schon nicht mehr machen, weil dieser „Benutzername“ bereits an meine Frau vergeben ist. Alles Benachrichtigungen von CT gehen zwar gemeinsam an unser Postfach, aber es wird verhindert, dass meine Frau sich aus Versehen bei mir einloggt.

    Die Idee finde ich also echt smart. Ich verstehe den Mehrwert auch nicht, sich mit Benutzername + Email einloggen können zu müssen. Vielleicht haben die @churchtoolsmitarbeiter hier eine Antwort



  • @metowa20 also sprich was ich oben sagen möchte: es geht nicht darum zu unterbinden, sich mit der Adresse einzuloggen. Denn die Adresse kann der Benutzername sein. Der Benutzername darf halt nur noch ein Mal vorkommen, und somit auch die Adresse (als Name, als Email im Profil kann sie dann so oft vorkommen wie man das möchte)



  • @MichaelG Im Profil jedes angemeldeten Benutzers gibt es das Feld Email und das Feld Benutzernamen. Wieso sollte das Feld Email auf einmal Benutzernamen heißen? Das ist doch verwirrend.

    @MichaelG sagte in Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen:

    Wenn also die Wahl eines Benutzernamens erzwungen wird, muss ich mich entscheiden, was ich da eintippe

    gut, du entscheidest dich also z.B. bei der Erst-Anmeldung, als Benutzername deine Mailadresse zu verwenden. Nun hast du in deinem Profil zweimal deine Mailadresse hinterlegt, einmal in der Funktion als Mailadresse, und einmal in der Funktion als Benutzername. So meintest du das doch, oder?
    Deine Frau macht das gleiche, und weil ihr zusammen nur eine Mailadresse nutzt, trägt sie dieselbe ein (nur theoretisch, denn in der Praxis geht das nicht). Nun hätte auch sie in ihrem Profil zweimal die (gemeinsam genutzte) Mailadresse stehen, einmal in der Funktion als Mailadresse, einmal in der Funktion als Benutzername.
    Wo genau wäre da jetzt der Sicherheitsgewinn im Vergleich zum Status Quo, wie es @stellarium beschrieben hat? Ihr beide loggt euch mit dem "gleichen" Benutzernamen ein, und wenn zufällig das gleiche Passwort verwendet wird, kann nicht mehr zwischen den Userprofilen unterschieden werden.

    Churchtools vergibt jetzt schon bei der Erstanmeldung einen eindeutigen Benutzernamen. Der kann in der ganzen Installation nicht doppelt vorkommen. Der Benutzernamen von Max Mustermann würde mmustermann lauten. Meldet sich eine Maike Mustermann danach an, lautet ihr von CT vergebener Benutzername mmustermann1.
    Jeder Benutzer kann diesen Benutzernamen danach individuell ändern. Wählt er aber einen, den es schon gibt, kommt eine Fehlermeldung (Aus diesem Grund würde obiges Beispiel nicht funktionieren.) Diese Fehlermeldung könnte zwar etwas aussagekräftiger sein, aber seis drum.
    Fakt ist: Bereits jetzt werden automatisch eindeutige Benutzernamen vergeben. Ob man dabei unmittelbar von Zwang sprechen kann, sei mal dahingestellt... 😉

    Beim Einloggen in CT kann man sich entscheiden, ob man sich mit der Mailadresse oder dem Benutzernamen anmelden will. Gemeint sind dabei die beiden Felder aus dem Profil.
    -> Behält man die bisherige Möglichkeit zum Einloggen mittels Mailadresse oder Benutzernamen bei, haben wir das (theoretisch mögliche) Problem, das @stellarium beschrieben hat.
    -> Tragen User als Benutzernamen in ihrem Profil ihre Mailadresse ein, haben wir wieder das (theoretisch mögliche) Problem , das @stellarium beschrieben hat
    -> Würde man nur Benutzernamen erlauben, wäre eine Eindeutigkeit in jedem Fall gegeben

    @MichaelG sagte:

    Der Benutzername darf halt nur noch ein Mal vorkommen,

    Das ist aktuell so

    @MichaelG sagte:

    Vielleicht haben die @churchtoolsmitarbeiter hier eine Antwort

    Haben Sie:

    @stellarium sagte:

    Der CT-Support hat sich das ganze Thema angesehen und kommt zu dem Ergebnis, dass das oben beschriebene Verhalten ein Feature ist und kein Sicherheitsproblem



  • @metowa20 du beschreibst es ja selbst. Es ist nicht möglich zweimal eine gleiche Mail-Adresse als Benutzer anzugeben 😉 dadurch gibt es nur EINEN eindeutigen Login

    Das Feld Email soll auch nicht Benutzername heißen. Es bleibt weiter Email und wird auch im System als solches genutzt, nur nicht mehr für den Login, außer ich entscheide mich im Login auch meine Adresse einzutragen. Dann steht sie zwar zweimal drin, aber meine Frau kann sie dann immerhin nicht mehr eintragen 😉

    Der Support sagt, es ist ein Feature. Aber nicht, was die Vorteile sind. Den im Moment kann ich der Argumentation des OT gut folgen. Aber vielleicht hat CT ja besser Argumente für den IST Zustand



  • Ich habe etwas Zeit und Tests gebraucht, um das tatsächliche Verhalten von CT zu verstehen, daher ist auch der Thread-Titel inzwischen vielleicht nicht mehr optimal.

    Um meine Bedenken und die obigen ausführlicheren Erläuterungen zusammenzufassen ist der Kern des Problems aus meiner Sicht folgendes:

    Nutzen 2 Personen eine gemeinsame E-Mail-Adresse als Benutzernamen, kann CT sie NUR noch am Kennwort erkennen. Sollten diese zufälligerweise von vornherein oder später durch eine Kennwortänderung einer Person GLEICH ausfallen (was zugegebenermaßen sicher selten der Fall sein sollte), so fängt CT diese Kennwortgleichheit NICHT ab! Beide Personen haben dann zwar 2 eigenständige Accounts, aber KEINE eindeutigen Zugangsdaten mehr! Beim Login einer Person erfolgt die Zuweisung des Accounts dann willkürlich (bzw. nach einem Schema, welches ich nicht näher nachvollziehen konnte). Somit kann eine Person in dieser Konstellation mit einer 50% Chance im falschen Account landen!

    Benutzernamen jedoch werden von CT bereits jetzt überprüft und können nicht doppelt vergeben werden! Warum nicht auch bei Kennwörtern von Personen mit gleicher E-Mail? Um solche Situationen auszuschließen, hatte ich (auch im Thread-Titel) vorgeschlagen (wahlweise durch den Admin aktivierbar) bei der Anmeldung die Nutzung der E-Mail-Adresse auszuschließen und die Verwendung eines Benutzernamens (der von CT ja bereits auf Einmaligkeit überprüft wird) zu erzwingen. Dann wären auch gleiche Kennwörter kein Problem mehr.

    Letztlich kann man es drehen und wenden wie man will - CT muss lediglich verhindern bzw. abfangen, dass Login-Daten (E-Mail/Benutzername + Kennwort) bei 2 Personen gleich ausfallen und somit der Login eindeutig bleibt. Dies ist insbesondere wichtig, wenn die beiden Personen auch noch stark unterschiedliche Rechte innerhalb CT haben sollten. Derzeit ist das aber so nicht gegeben.

    In diesen Zusammenhang wäre es auch wünschenswert, wenn man innerhalb CT (z.B. über die App) auch Nachrichten auf Basis des Accounts bzw. des eindeutigen Benutzers/Benutzernamens senden könnte. Denn nutzen 2 Personen die gleiche E-Mail-Adresse, erhalten immer beide Personen die Nachricht, die ggf. nur für eine Person bestimmt war.

    Ich finde daher, dass CT nicht alle Möglichkeiten konsequent nutzt, die die gegebene Infrastruktur von CT bereits bietet.



  • Ich kippe jetzt mal als prozessorientierter Programmierer schnell noch meinen Senf dazu:
    Aus meiner Sicht wäre die sinnvollste Lösung, keine E-Mail-Adresse mehr beim Login zu akzeptieren, sobald 2 oder mehr Accounts sich die selbe E-Mail-Adresse teilen.
    Versucht trotzdem jemand der [2;∞) Personen sich mit der E-Mail-Adresse anzumelden, könnte man entweder nur lapidar den Hinweis anzeigen, dass der Benutzername erforderlich ist, oder für besser UX zusätzlich die möglichen (mit dieser E-Mail verknüpften) Benutzernamen in der Fehlermeldung ausgeben.
    Sollte trivial zu implementieren sein und alle Klarheiten beseitigen...

    Edit: Ja, durch die bessere UX entsteht ein minimales Informationsleck, weil man so raus finden kann, ob ein/mehrere Benutzer mit einer bestimmten E-Mail-Adresse registriert ist/sind. Muss man per Interessenabwägung entscheiden.



  • @stellarium sagte in Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen:

    In diesen Zusammenhang wäre es auch wünschenswert, wenn man innerhalb CT (z.B. über die App) auch Nachrichten auf Basis des Accounts bzw. des eindeutigen Benutzers/Benutzernamens senden könnte. Denn nutzen 2 Personen die gleiche E-Mail-Adresse, erhalten immer beide Personen die Nachricht, die ggf. nur für eine Person bestimmt war.

    Das ist auch so eine Sache. Ich glaube, wenn diese Problematik bei uns auftreten würde, dann würde ich den betroffenen Personen ziemlich deutlich nahelegen, dass sie eine zweite Mailadresse benötigen, oder sie könnten dann halt nicht an bestimmte Services partizipieren. Das ist aber ein grundlegendes "Problem" und kein Churchtools-spezifisches. Ein Grundmaß an Vertraulichkeit muss einfach gegeben sein.



  • Wir haben solche Probleme durch Vertraulichkeitsverpflichtungen juristisch geregelt, denn keine Gemeinde kann wirklich sicherstellen oder kontrollieren, WER im häuslichen Umfeld wirklich Zugriff auf Computer und mobile Endgeräte hat und somit (ggf. durch gespeicherte Kennwörter) unberechtigter Weise Zugriff auf bestimmte Informationen innerhalb ChurchTools hat.
    Daher verpflichten sich bei uns zuvor alle Teilnehmer an CT, einen Fremdzugriff (auch im häuslichen Umfeld => Familie) zu verhindern und dass sie bei Bekanntwerden oder Verdacht (!) einer Nutzung ihres Accounts durch Dritte dies unverzüglich melden und ihr Kennwort sofort ändern müssen. Das verhindert zwar im Zweifel nicht den Fremdzugriff, aber der Nutzer hat durch diese Verpflichtung eine Sorgfaltspflicht übernommen, die in relevanten Fällen auch juristisch angewendet werden können. Natürlich sind das zunächst theoretische Szenarien, die keiner (schon gar nicht im Rahmen einer Gemeinde) anwenden möchte, aber es ist eine "Hürde", die hoffentlich die Verantwortung deutlich macht, die man mit der Nutzung von CT eingeht.



  • @milux
    Dein Vorschlag ist genau das, was ich meine - eine solche Abfrage würde alles automatisch regeln. Wie komplex das in der Programmierung ist, kann ich nicht beurteilen, aber bei den Benutzernamen praktiziert CT das ja schon! Warum also nicht auch bei anderen - zumindest Login-relevanten - Daten?



  • @stellarium sagte in Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen:

    Wenn wir uns jetzt vorstellen, dass Max Mustermann Gemeindeleiter ist und Lisa Mustermann nur "normales" Mitglied, bekommt Lisa somit möglicherweise Zugang zu vertraulichen Daten, ohne das es jemand merkt.

    Das nützt doch überhaupt nichts, wenn beide die selbe Mailadresse verwenden. Dann kann der andere sich ja einfach einen Passwort-vergessen-Link für den höherberechtigten Account schicken lassen, wenn er neugierig ist.
    Also so rein sicherheitstechnisch ist das alles nicht das Gelbe vom Ei...



  • @rena
    Die von mir aufgeführten Beispiele sind natürlich überspitzt, um die Problematik deutlich zu machen. Natürlich wird es in der Praxis seltener vorkommen, dass ein Gemeindeleiter und seine Frau die selbe E-Mail verwenden - wir aber haben einen solchen Fall und ich kann niemanden zwingen eine weitere E-Mail einzurichten. Derjenige war schon Gemeindeleiter, bevor wir CT eingeführt haben.
    Genau aus diesem Grund möchte ich auch gerne die E-Mail für einen Login ausschließen und die Verwendung von Benutzernamen erzwingen können. Was aber natürlich deinen Einwand (Passwort-vergessen-Mail) noch nicht lindert.
    Im gesamten Thread sind ja schon mehrere Szenarien beschrieben, die CT meiner Meinung nach nicht sauber abfangen kann. Hier wünsche ich mir einfach eine Nachbesserung bzw. mehr Steuerungsmöglichkeiten als Admin.
    Aber du hast Recht, eine gemeinsam genutzte E-Mail bleibt immer schwierig...



  • Ergänzend noch folgender Hinweis:

    Ganz schwierig wird die Sache, wenn (wie oben ja bereits ausführlich erörtert) zwei Personen die gleiche E-Mail-Adresse verwenden und eine dieser Personen die Funktion "Passwort vergessen?" anklickt! Wessen Passwort wird denn dann geändert? Es gibt doch zwei Passwörter für eine E-Mail-Adresse anhand derer ChurchTools erkennt, um welchen Account es geht. Bei Klick auf "Passwort vergessen?" bekommen nämlich beide Personen eine E-Mail auf die selbe E-Mail-Adresse, um sich ein neues Passwort vergeben zu können. Auch hier ist ChurchTools uneindeutig unterwegs!
    Ich verstehe daher nicht, warum ChurchTools hier nicht reagiert und auf eine reine Benutzername + Kennwort Strategie umsteigt, zumal der Benutzername durch CT ja systemseitig schon auf Eindeutigkeit abgeprüft wird?



  • Wenn der Support das ganze Thema als "Feature" bezeichnet, gehe ich davon aus, dass das auch reiflich durchdacht wurde. Inklusive dem Feature "Passwort vergessen".

    @Support: Wo ist denn da jetzt genau der Feature-Gewinn zu sehen, wenn bei der Nutzung von "Passwort vergessen" zwei Personen diese Mail bekommen?
    Und das Passwort welches Accounts wird dann geändert?



  • @metowa20

    Danke für deinen "Beistand"!

    Ich hatte das Thema ja schon mal versucht dem Support näher zu bringen, aber ich glaube ChurchTools hat das Problem noch nicht in Gänze durchdrungen.
    Man sieht das allein schon daran, dass CT die Eindeutigkeit von Benutzernamen prüft und gleiche Benutzernamen so verhindert. Da aber eine E-Mail-Adresse gleichwertig auch als Benutzername verwendet werden kann und dort eben NICHT auf Eindeutigkeit (je Person) überprüft wird, zeigt, dass das Konzept nicht durchdacht ist und somit Sicherheitslücken aufweist. Funktionen wie "Passwort vergessen?" werden somit ad absurdum geführt und es ist für den Nutzer nicht mehr nachvollziehbar, was dann eigentlich passiert???
    Ich glaube CT hat einfach die Tatsache unterschätzt, dass es in der Praxis gleiche E-Mail-Adressen geben könnte, was aber der Fall ist, und nun den Aufwand scheut, die entsprechenden Funktionen nachzulegen? Was soll ich als Admin machen? Ich kann ein Ehepaar nicht zwingen eine 2. E-Mail-Adresse zu führen. Ich könnte daher nur eine Person von CT ausschließen, was dem eigentlichen Ansatz von CT zuwider läuft, denn CT "lebt" ja vom Mitmachen!
    Alles wäre gelöst, wenn man die Anmeldung (ggf. auch nur bei einzelnen Personen) per E-Mail-Adresse (inkl. der Funktion "Passwort vergessen?") abschalten könnte und somit die Verwendung des Benutzernamens erzwingen könnte.
    Bei Internetseiten, die ebenfalls E-Mail-Adressen als Benutzernamen verwenden, meldet man sich erstmalig an und dann kann keine 2. Person diese E-Mail als Benutzernamen mehr verwenden. Bei CT ist das anders. Der Admin trägt i.d.R. die Daten ein und lädt dann die Person zu CT ein - also ein umgekehrtes Verfahren. Daher kommt das Problem bei CT zustande, was sonst an anderen Stellen trotz Verwendung der E-Mail-Adresse, so nicht vorkommen kann.



  • @stellarium Gerne...
    Nein, ausschließen sollte man niemanden.. Aber zumindest mal den Versuch starten, ob sich Leute nicht doch eine zweite Adresse zulegen würden. Einen Versuch ist es sicherlich Wert.
    Zumindest die Problematik der „Passwort vergessen“ Funktion könnte man selber lösen, wenn man halt den Leuten eine reine Weiterleitungsmail unter der Gemeinde-Domain verpasst. Die kann ja nach einem bestimmten Schema aufgebaut sein, so dass man auf den ersten Blick erkennen kann, dass es sich hierbei um eine dummy-Adresse handelt, die zwar funktioniert, aber lediglich ein Workaround darstellt.


Log in to reply