Sicherheitslücke Accountdatenspeicherung

Hallo

Dies geht an die Entwicklungsabteilung von Comunio.
Als mitdenkender und verantwortungsbewusster Mensch kann es mir eigentlich egal sein, was das Backend von Comunio angeht.
Trotzdem hab ich mir die Mühe gemacht und diesen Post hier erstellt.
Es geht um 2 Punkte.

Erstens. Als ich letztens meinen Benutzernamen geändert habe, wurde mir per E-Mail außerdem noch mein Passwort zugesendet.
Ja, mein Passwort.
Ich meine - seriously?
Passwortspeicherung in Klartext oder ohne Hash-Abbildung ist nicht nur aus Datenschutzgründen untragbar.
Es kam nicht selten vor, dass derart hackerfreundliche Internetangebote dazu führten, dass nicht mitdenkende Leute, die überall dieselben Login-Daten nutzen, nun auf leere Konten und gehackte Pay-Service-Accounts blicken müssen.

In jedem PHP-Anfänger-Tutorial findet man bei einem Howto zu Login-Formularen zumindest den Hinweis, die Passwörter doch bitte durch md5($password + $randomString) zu jagen, bevor man sie in die Datenbank klatscht - und hier muss ich sehen, wie mir einfach meine Daten direkt noch per Mail unverschlüsselt zugesendet werden.
Sorry Jungs, aber das geht einfach absolut garnicht.

Zweitens. Um das Passwort zu ändern muss man sein altes Passwort eingeben, damit sichergestellt ist, dass kein Dritter - während jemand eingeloggt ist - einfach so dessen Passwort ändern kann.
Nun ... die Tatsache, dass einem das aktuelle Passwort einfach per Mail zugesendet wird, wenn man seine Accountdaten (beispielsweise Login-Name) ändert, erleichtert es natürlich, diese Sicherheits-Option zu umgehen.
Zwar ist dies keine so gefährliche Sicherheitslücke wie Erstgenanntes, Bedenken bereitet mir das aber schon.
Passwörter sollten nie rückgesendet werden - das gilt allgemein - auch für die Neuanfrage. Anstatt der Erinnerung an ein Passwort sollte bei Verlust desgleichen lieber eine Neugeneration stattfinden.

Tut mir Leid, dass es so ein langer und ernster Roman wurde, aber bei sowas versteh ich einfach absolut keinen Spaß, und viele User werden das vermutlich genauso sehen, da es nicht nur um die Sicherheit ihrer Comunio-Accounts geht. Ich bitte um Verständnis.
Ihr solltet beides dringend fixen.

lG

Da der Post jetzt auch schon wieder fast ein dreiviertel Jahr alt ist, möchte ich das Thema mit den Passwörtern, die im Klartext gespeichert werden, auch unbedingt nochmal in den Fokus rücken. Gerade weil keine Rückmeldung dazu kam.

Das ist kein Thema für irgendwelche paranoiden Cryptofreaks. Passwörter zu hashen ist Standard.
Es geht um genau das, was ceptoplex angesprochen hat. Es wird genug Leute geben, die für viele verschiedene Seiten das gleiche Passwort verwenden. Für den Fall, dass eure Datenbank gehackt wird und die gesamte Datenbank mit Passwörten und Email-Adressen entwendet wird, wäre das ein Fiasko für einige Nutzer.
Versteht mich nicht falsch, ich mag die Seite hier, aber solche Sicherheitsaspekte sind essentiell.
Passwörter im Klartext zu speichern und bei Passwortanfrage zu versenden ist fahrlässig.

Bitte ändert etwas daran.

Viele Grüße

Schließe mich der Meinung an. Guter Hinweis, der unbedingt angepasst werden muss

*bump*

Hab direkt mein Passwort geändert, als mir das unverschlüsselt in der Mail zugeschickt kam. Ich hoffe, ihr loggt nicht auch noch das alte Passwort mit. Bitte beheben, das sollte wirklich kein großer Aufwand sein!

Der Thread ist jetzt mehr als 2 Jahre alt und nicht ein Verantwortlicher hat sich herabgelassen hier mal Stellung zu dem Thema zu beziehen.

In meinen Augen eine absolute Frechheit wie mit solchen gravierenden Sicherheitslücken umgegangen wird.

Ich schließe mich meinen Vorrednern an.

https://m.youtube.com/watch?v=yoMOAIzBSpY

Außerdem möchte ich wissen wieso in der URL-Zeile des Forums www.comunio.de/external/
phpBB2/... steht.

Wird hier noch phpBB2 verwendet, obwohl die Version schon seit 2009 keine Updates mehr erhält?

https://www.phpbb.com/community/viewtopic.php?t=900655


Zeit und Aufwand in einen neuen Look zu stecken hätte man diese essentiellen Fehler beseitigen sollen.