Wenn nicht angemeldete Benutzer sich einfach nur eine Namensliste ansehen, dann sieht es folgendermaßen aus: (Screenshot)
Diese "Personen"- Bezeichnungen, die man als Anwender nicht mehr editieren kann, zeugen nicht gerade für eine hohe
Qualität unseres Forums.
Vielleicht kann man den Mist für nicht eingeloggte Personen einfach sperren, oder in einer Form anzeigen,
daß eine Professionalität rüber kommt.
Danke
Gelöst! Gehe zu Lösung.
Nicht nur das. Es liefert auch gleich eine vollständige Liste aller Accountnamen für einen Bruteforce-Angriff. Das spart eine Menge Arbeit
Beitrag vom Nutzer gelöscht
Guten Morgen,
Aber warum haben Sie dann denn ebenfalls einen solchen "komischen Namen" ?
MfG
A. Hofmeister
Hier sind alle Namen "komisch"
Beitrag vom Nutzer gelöscht
Könnt Ihr mal aufhören, zu versuchen, mein Passwort zurückzusetzen?
Hallo Herr Hoof,
ja, auch diese Möglichkeit zeigt, dass die neue Newsgroup, sorry Community, etwas schnell gestrickt wurde ... und fachliche Beiträge vor lauter Spielerei fast untergehen.
Mal sehen, ob es nächstes Jahr besser wird. Schade, die Newsgroup habe ich gerne besucht, die Community ist nur noch ein Zeitfresser. Wenn ich lese, dass einige Kollegen die Community ständig geöffnet haben, frage ich mich wirklich wofür. Meinen Mitarbeitern würde ich das schnell abgewöhnen.
> Diese "Personen"- Bezeichnungen, die man als Anwender nicht mehr editieren kann, zeugen nicht gerade für eine hohe Qualität unseres Forums.
In Ausnahmefällen ( ! ) kann ich den Namen auch nachträglich ändern.
> Vielleicht kann man den Mist für nicht eingeloggte Personen einfach sperren, oder in einer Form anzeigen, daß eine Professionalität rüber kommt.
Diese Qualität liegt in der Hand eines jeden Nutzers und selbst wenn ich diese Seite für Gäste sperren würde, würden genau diese Namen immer noch bei den einzelnen Namen angezeigt werden?
Grüße
Dirk Jendritzki
Hallo Herr Jendritzki,
darüber, ob man eine Liste aller Benutzer für Gäste veröffentlichen muss, kann man sicher streiten. Ich finde nicht, dass das sein muss.
Dass sie damit eine Liste aller Anmeldenamen bereit stellen, ist allerdings der Traum für jeden, der mal z. B. mit AccessDiver eine Wörterbuchattacke ausprobieren möchte.
Gruß aus Hamburg
Sehr geehrter Herr dirk.jendritzki,
Ich würde dringend vorschlagen, daß Gäste keinerlei Namen sehen können, und angemeldeten Nutzer je nach Wahl der Autoren angezeigt wird:
- Realname
- optionaler Nickname
Die Benutzerkennung geht niemanden etwas an, da es seriöse Autoren gibt, die sich nicht optimierte Kennung zulegten, die jedem Anwender ins Auge schlagen, die mal schnell ohne Login ins Forum springen.
Beispiel (ohne zu verraten, welcher Kollege sich hier versteckt...)
Hallo,
den Nutzernamen erhält jeder, ob Gast oder nicht, durch die Profillinks. Insofern erhöht das Nichtanzeigen der Communityteilnehmehrliste nicht die Sicherheit, zumal sich jeder registrieren kann und spätestens dann Zugriff auf diese Liste erhält.
Grüße
Dirk Jendritzki
Mein Bauchgefühl sagt, daß da der Datenschutz zu überprüfen ist...
Was stört Sie da genau?
Bzgl. Anzeige Nutzername, Rang und Punkte siehe Datenschutz Nr. 3 und 4
Grüße
Dirk Jendritzki
Nur ein Beispiel:
Wie bereits gesagt > Diese Qualität liegt in der Hand eines jeden Nutzers, aber warum sollte hier der Datenschutz überprüft werden?
Grüße
Dirk Jendritzki
Hallo,
neben der E-Mail-Adresse lässt sich hier glaube ich kaum eine "wertvolle" Information für potentielle "Angreifer" auftreiben. Alle anderen vllt. interessanten Informationen stellen ja nicht einmal eine Pflichtangabe dar.
Und wer kurz vor dem Jahr 2016 mit Passwörtern im "Neuland" unterwegs ist, die durch einen Bruteforce- / Wörterbuchangriff zu erraten sind, der ist vermutlich selber Schuld.
(BSI - Presseinformationen des BSI - BSI gibt Tipps für sichere Passwörter)
Und bevor ich "kurze" und komplexe Kennwörter Anwende, würde ich es hier auf die Länge ankommen lassen und den Usern Kennwortsätze ans Herz legen.
Gruß
Jan
...und deswegen ist es okay, wenn man den "Bösewichten" gleich eine Liste an die Hand gibt, weil sich ja jeder selber schützen kann?
...und aus diesem Grund sollte der Fensterputzer jetzt die Fenster nicht mehr putzen / der Baulleiter am besten dafür sorgen, dass in Stb. Kanzleien die Fenster gleich zugemauert werden?
http://www.rp-online.de/nrw/staedte/ratingen/auch-offline-hapert-es-beim-datenschutz-aid-1.5459636
Mir ist der Bezug jetzt nicht ganz klar...?!
Wäre die Liste denn nicht eher so, als würde man den "Fensterputzern" schon mal die Adressen derjenigen geben, die überhaupt "Daten" hinter den "Fenstern" haben?
Fensterputzer = DATEV
Fensterputzer putzt nicht -> Bösewicht kann nicht reingucken
DATEV versteckt Namen -> Bösewicht hat keinen "Anhaltspunkt"
In beiden Fällen wäre es wohl deutlich einfacher, entweder die offenstehenden Ordner in den Schrank zu packen / Nur eine Mandantennummer auf dem Ordner zu haben oder eben ein sicheres Kennwort zu nutzen.
Irgendwie ist die "Da passt schon wer auf mich auf" Mentalität im Internet (am Computer) fehl am Platze Oder soll DATEV jetzt auch noch bei denen, die sich kein sicheres Kennwort merken können, täglich anrufen und nachfragen, ob schon genug getrunken wurde etc
Da sind wir dann wohl verschiedener Meinung: aus meiner Sicht sollten wir das eine tun (sichere Kennwörter) und die DATEV das andere lassen (Anhaltspunkte geben)...
Generell sind wir da ja schon der gleichen Meinung. Die Pflicht wären halt sichere Kennwörter und die Kür das Ausblenden der User.
Das Non plus ultra wäre dann, ein anderes hier diskutiertes Thema, die Anmeldung mittels Besitz- und Wissenskomponente, auch mIDentity genannt, oder einer 2-Faktor-Authentifizierung
Was aber auch wieder wenig am Grundprinzip des schwachen Passworts ändert.
Konsens erreicht!