Beitrag mit Schlagwort ‘Passwort’
6

Vorsicht, Referer

von Sara Veröffentlicht in Allgemein

Wer aus privaten/persönlichen Webseiten heraus einen Link anklickt, dessen private Webseitenadresse landet in der Regel als “Referer” im Serverlogfile des zum angeklickten Links gehörenden Webserver. Zudem kann auch jede auf dem Zielserver installierte Webanwendung den Referer bei Aufruf einer Seite durch Klick auf einen Link unmittelbar abfragen und für den Betreiber auswerten/darstellen. Es empfiehlt sich daher, z.B. privat angelegte und auf dem Webspace hinterlegte Linklisten usw. grundsätzlich mit einem Passwort vor unerwünschtem Abruf zu schützen. Denn selbst wenn keine auf den ersten Blick vertraulichen/sensiblen Inhalte dort enthalten sind, offenbart man damit Webseitenbetreibern persönliche Dinge und geht unnötige Risiken ein.

So ist es einem Leser passiert: Die Blogsoftware hat einen interessant klingenden Link als Referer angezeigt, der sich bei Aufruf als private Linksammelung eines Besuchers offenbart hat. Nun war dort nichts Wichtiges enthalten. Dennoch konnten wir sehen, für welche Webseiten sich der Domaininhaber interessiert oder bei welcher Bank er sein Onlinebanking betreibt. Und es hätten ja auch andere, persönlichere Links enthalten gewesen sein können.

Der Kunde wurde daher auch sofort per E-Mail kontaktiert und über den Umstand informiert, damit er seine private Linksammlung mit einem Passwort schützen kann. Dies war verbunden mit  Lösungsvorschlägen und der Bitte, über das Ereignis im Blog berichten zu dürfen (für die Zustimmung an dieser Stelle vielen Dank). Somit erklärt sich nun auch dieser Beitrag. Denn auch anderen Leserinnen und Lesern könnte es passieren, dass aus Unkenntnis oder Unbedachtheit an sich geheime/nirgends zugänglich gemachte Adressen privater Webseiten als Referer bei angesurften Seiten auftauchen und damit Fremden Zugriff auf diese Seiten gewährt wird. Nicht immer muss das unangenehme Folgen haben. Aber: Einerseits sind unbewusst zugänglich gemachte, persönliche Daten immer unschön und andererseits gibt es ja häufig doch oft die dümmsten Zufälle…

Daher: Schützen Sie interne Webseiten immer per .htaccess mit einem Passwort. Vertrauen Sie nicht darauf, dass doch niemand die Webseitenadresse kennt und somit ihre persönlichen Links/Notizen/Fotoalben/… sicher sind.

Und: Wer die Kontrolle über den Referer erhalten möchte, kann – zumindest im Firefox-Browser – nützliche Tools nutzen. Tipp: RefControl (direkt über die Addonverwaltung installierbar). Damit lässt sich der Referer global ändern/unterbinden und für Einzelfälle (bestimmte Webseiten) erlauben.

(Ein Programm zur Erstellung von passwortgeschützten Webseiten gibt es u.a. auch im Downloadbereich bei domainfactory unter http://www.df.eu/de/service/downloads/.)

Schlagworte:, ,
1

“Passwort vergessen” Funktion überarbeitet

von Sara Veröffentlicht in Allgemein

Wer sein Kundenmenü-Passwort vergessen hat, konnte sich dieses in der Vergangenheit gegen Angabe der Zugangsdaten und der korrekten E-Mailadresse erneut zusenden lassen. Dies haben wir nun geändert, um die Sicherheit für unsere Kunden zu erhöhen. Nach Eingabe des Kundenmenü-Benutzernamens (oder einer der darin verwalteten Domains) in Verbindung mit der bei uns hinterlegten E-Mailadresse versenden wir an diese Stammdaten-Adresse nun zwei E-Mails.

Eine dieser Nachrichten enthält einen Link, mit dem sich direkt ein neues Passwort festlegen und speichern lässt. Die zweite E-Mail informiert unseren Kunden über die Änderungs-Anforderung und enthält weitere Details dazu (wie die IP-Nummer des Anfordernden).

Der übermittelte Link ist nur für 24 Stunden gültig. Bevor das neue Passwort gespeichert werden kann, ist noch die zusätzliche Eingabe des hinterlegten Geburtsdatums als weiteres Sicherheitsmerkmal erforderlich.

Zusammengefasst:

  • Anforderung des Links zur Passwortänderung nur unter Angabe der Stammdaten E-Mailadresse
  • Link wird ausschließlich an die bei uns hinterlegte E-Mailadresse des Kunden gesendet
  • Die E-Mail enthält nur den Link zur Neufestlegung eines Passwortes.
  • Eine zweite E-Mail bittet gesondert um Kontaktaufnahme im Falle einer unberechtigten Nutzung der Funktion durch Dritte
  • Der übermittelte Link ist nur 24 Stunden gültig.
  • Um mit dem übermittelten Link ein neues Passwort festlegen zu müssen, wird zudem auch das bei uns gespeicherte Geburtsdatum benötigt.



Schlagworte:,

 

Februar 2012
M D M D F S S
« Jan    
 12345
6789101112
13141516171819
20212223242526
272829  

Kategorien

Archive