Wollt ihr einen Clansphere Service Account?
|
|
Antworten: 53
|
|
duRiel Weltmeister Herkunft: Cambridge Beiträge: 7300 |
# Thema - 11.12.2008 um 22:38 Uhr
Hi! Ich frage zum Supporten täglich mehrere Benutzer nach einem Admin Account, um Probleme schnell zu sehen und meistens auch gleich lösen zu können. Das Erstellen des Admin Accounts ist dabei schonmal ein erstes Hindernis beim Supporten und kostet immer wieder Nerven und Zeit. Diesen Gedanken habe ich schon oft gehabt, habe mich aber nicht recht getraut danach zu fragen. Wie fändet Ihr es, wenn auf Euren Webseiten ein Admin Account für die Projektleiter (!) von Clansphere wäre? Dieser würde nur zum Supporten dienen und ich würde mir eine Lösung für den praktisch unmöglichen Fall ausdenken, dass der Benutzer in die falschen Hände gerät, zum Beispiel, dass der Adminaccount ein von clansphere.de dynamisch einstellbares Passwort hat. Ich würde das auf jeden Fall deaktivierbar machen, so dass jeder, der nicht will, den Adminaccount für Clansphere Projektleiter entfernen kann. Wen das nicht stört, dem kann so wahrscheinlich schneller geholfen werden. Der Account soll nur für uns 3 Projektleiter gelten. Wenn ihr Bedenken oder Anmerkungen habt, schreibt diese bitte gleich. |
Inaktiv |
|
TeQu!La Specialist Herkunft: Grevenbroich Beiträge: 2142 |
# Antwort: 1 - 11.12.2008 um 22:41 Uhr
wäre nicht schlecht wenn das auf freiwilliger basis wäre... was ich damit meine... wenn ich clansphere installiere das ich gefragt werde möchten sie einen Clansphere Service Account anlegen ja / nein... bei ja das eine mail oder wie auch immer die daten dann an euch übertragen werden... so fände ich das gut... ------------------ |
Inaktiv |
|
SCHIRI Weltmeister Herkunft: Hamburg Beiträge: 5299 |
# Antwort: 2 - 11.12.2008 um 22:46 Uhr
naja wenn das password nicht für alle seiten gleicht ist bringt es kein vorteil, weil woher wollt ihr es dann wissen? und wenns gleich ist weiss es ja praktisch jeder. also ich kann mir nicht vorstellen wie das SICHER und PRAKTISCH sein soll. Ein Datenabgleich mit z.B. euren userdaten auf dieser seite, die dann auf allen clansphere seiten funktionieren oder sowas funktioniert ja auch nicht, weil es ja nicht bei allen serveranbietern erlaubt ist fremdserver zu kontaktieren. /edit: naja dann gibts ne ellen lange liste mit benutzerdaten und passwörtern. da ist es ja fast wieder einfacher, für jeden fall einfach n user account anzulegen anstatt dann erstmal die liste zu verwalten. ------------------ www.laszlokorte.de Zuletzt editiert von SCHIRI am 11.12.2008 um 22:47 Uhr (1x Editiert) |
Inaktiv |
|
duRiel Thread-Ersteller Weltmeister Herkunft: Cambridge Beiträge: 7300 |
# Antwort: 3 - 11.12.2008 um 22:47 Uhr
um die technische umsetzung braucht ihr euch keine gedanken machen das bekomme ich sinnvoll hin. |
Inaktiv |
|
SCHIRI Weltmeister Herkunft: Hamburg Beiträge: 5299 |
# Antwort: 4 - 11.12.2008 um 22:48 Uhr
naja die umsetzung ist für die meinungsbildung ganz interessant finde ich, zumindest: ein passwort? oder für jede seite ein eigenes? ------------------ www.laszlokorte.de |
Inaktiv |
|
Jam2 Highlander Beiträge: 3291 |
# Antwort: 5 - 11.12.2008 um 22:54 Uhr
Ich wäre dafür, aber WENN einmal die ClanSphere Datenbank "geklaut" wird (ich und meine Hirngespinste) sind die Seiten Potentiell in gefahr? ------------------ Gruß/ Best regards Jam2 Nützliche Forumbeiträge/Codepastes: (Useful comments in our board / codepastes) Template Switch for index.php Board Navlist last posts Edi: könnte man denn auch hier eine erweiterung einfügen?
Jam2: das web ist wie toyota..... Edi: hö ? Jam2: nichts ist unmöglich! |
Inaktiv |
|
e30micha Poststar Herkunft: Trier Beiträge: 639 |
# Antwort: 6 - 11.12.2008 um 22:56 Uhr
Klingt nicht schlecht, teq hat natürlich recht, freiwillige Basis wäre gut und bei der Installation kann man das ja gut einfügen. Passwort kann doch der "Admin" der Website generieren lassen, welches dann an clansphere geschickt wird? ------------------ „Wenn Unrecht zu Recht wird, wird Widerstand zur Pflicht!“ - Bertolt Brecht
|
Inaktiv |
|
Micha.09 Specialist Herkunft: Dortmund Beiträge: 2860 |
# Antwort: 7 - 11.12.2008 um 23:00 Uhr
Nein ich kann euch beruhigen, das Password wird nirgends im Klartext aufgeführt, selbst wenn es jemand die Clansphere DB + Webspace knackt. Und unter normalen Bedingungen und wenn ein sicheres Passwort gewählt wird.. welches in unregelmäßigen Abständen auch geändert wird.. Dauert es mit realer Hardware ca. 100 Millionen Jahre, per Bruteforce das Passwort zu knacken. Unter realer Hardware spreche ich nicht von einem HomePC |
Inaktiv |
|
UnKn0wn Geekboy Beiträge: 1160 |
# Antwort: 8 - 11.12.2008 um 23:06 Uhr
Finde sowas eher bedenklich, als Webmaster hafte ich für die Daten die eingegeben werden. Wenn diese missbraucht werden durch andere User hmmm. xsign findet das bestimmt wieder einen lücke Warum macht Ihr eine eigentlich keine Verschlüsselung der Passwörter mit Salt. Der Administrator einer Clansphere Seite legt eine Zeichenfolge fest nach der alle Passwörter nochmal verschlüsselt werden. Höchste Sicherheit möchte ich behaupten. ------------------ Mit freundlichen Grüßen SEBEL-DESIGN http://www.sebel-design.com |
Inaktiv |
|
duRiel Thread-Ersteller Weltmeister Herkunft: Cambridge Beiträge: 7300 |
# Antwort: 9 - 11.12.2008 um 23:09 Uhr
ok also ich bin mir noch nicht ganz sicher, aber meine erste idee war einfach: auf clansphere.de wird eine textdatei erstellt die das passwort verschlüsselt, vielleicht mehrfach verschlüsselt, beinhaltet. auf den seiten wird, wenn man sich mit dem nick des service accounts anmeldet, das eingegebene passwort verschlüsselt, und mit dem passwort auf clansphere.de verglichen. dadurch kann das passwort für alle gleich sein, was zur folge hat, dass wir projektleiter unverbindlich bei problemen gucken können ob unsere vermutungen zutreffen ohne nach einem admin account zu fragen, was für uns oft eine schwelle darstellt weil das fragen nach einem admin account fast gleichgesetzt wird mit der lösung des problems und so wird oft gar nicht gefragt und probleme die doch recht leicht zu lösen sind werden nicht so schnell gelöst. das wäre durch diesen account und das globale passwort nicht mehr so und man könnte gleich versuchen zu helfen. wie alci schon sagte ist das passwort dadurch nirgends klar aufgeführt und auch mit admin accounts auf unserer webseite könnte man nichts erreichen. das passwort bleibt durch die kopplung mit unserer hp immer dynamisch von uns einstellbar. das optional hab ich ja bereits geschrieben, aber ich würde gerne den standard auf an setzen, weil viele solche einstellungen gar nicht beachten und dann doch wieder nachgefragt werden müsste. ich könnte in der installation eine checkbox einbauen die standardmässig aktiviert ist. |
Inaktiv |
|
SCHIRI Weltmeister Herkunft: Hamburg Beiträge: 5299 |
# Antwort: 10 - 11.12.2008 um 23:16 Uhr
ok klingt gut, hab für ja gestimmt. ------------------ www.laszlokorte.de |
Inaktiv |
|
duRiel Thread-Ersteller Weltmeister Herkunft: Cambridge Beiträge: 7300 |
# Antwort: 11 - 11.12.2008 um 23:26 Uhr
wahrscheinlich wird es doch seitenindividuelle passwörter geben um die sicherheit zu garantieren. |
Inaktiv |
|
UnKn0wn Geekboy Beiträge: 1160 |
# Antwort: 12 - 11.12.2008 um 23:37 Uhr
Du hast somit Zugriff auf die Datenbank und alle Einstellungen. Solltest aber den Datenschutz beachten, weil das schon recht sensibel ist. Mir würde es gefallen, dann könnt Ihr Seiten denen das About fehlt oder die mein Designhinweis entfernen zerstören Nein Spaß beiseite. Glaube das ist echt schwierig da es ja ein kostenloses Script ist. Der Benutzer muss hierauf explizit hingewiesen werden. ------------------ Mit freundlichen Grüßen SEBEL-DESIGN http://www.sebel-design.com |
Inaktiv |
|
duRiel Thread-Ersteller Weltmeister Herkunft: Cambridge Beiträge: 7300 |
# Antwort: 13 - 11.12.2008 um 23:43 Uhr
jop das ist klar. |
Inaktiv |
|
UnKn0wn Geekboy Beiträge: 1160 |
# Antwort: 14 - 11.12.2008 um 23:45 Uhr
Aber warum macht Ihr bei Clansphere generell eine zweite Verschlüsselung der Passwörter über einen Zeichensatz der vom Administrator festegelegt wird. So sind die Passwörter mit am sichersten. ------------------ Mit freundlichen Grüßen SEBEL-DESIGN http://www.sebel-design.com |
Inaktiv |
|
duRiel Thread-Ersteller Weltmeister Herkunft: Cambridge Beiträge: 7300 |
# Antwort: 15 - 11.12.2008 um 23:48 Uhr
passt hier nicht rein, aber da will ich eigentlich auch noch was ändern. |
Inaktiv |
|
UnKn0wn Geekboy Beiträge: 1160 |
# Antwort: 16 - 11.12.2008 um 23:53 Uhr
dann lass ich mich überraschen. Also wenn es nicht default ist und der User es einstellen kann würde ich sagen: "ja" ------------------ Mit freundlichen Grüßen SEBEL-DESIGN http://www.sebel-design.com |
Inaktiv |
|
josch Try to beat me Beiträge: 188 |
# Antwort: 17 - 12.12.2008 um 00:04 Uhr
Im Prinzip finde ich die Idee sehr gut,... allerdings würde ich es vielleicht anders lösen Warum wird dem "Webmaster" nicht im System/Clansphere ein Link hinzugefügt "Service-Account erstellen" wo er dann ein Passwort und Email (des supportenden) eingibt oder aus einer Liste auswählt. Der Supporter erhält dann per Mail umgehend ne Mail mit den Daten. Es wird dann ein standard-username angelegt mit dem von Webmaster vergebenen Passwort... Somit ist nicht Standardmäßig die Frage nach Datenschutz , der Support wird gewährleistet und der User sollte zufrieden sein. Wenn ihr jetzt aber "große" Abgleiche mit dem Clansphere-Server macht bietet es auch immer mehr angriffsfläche für hacker mMn. Dies ist nur ein Vorschlag. ----- Zu eurer Umsetzungsidee Ich finde es gut, das es standardmäßig auf "an" wäre, allerdings bedarf es an diesem Punkt eine ausführliche Schilderung, was sich hinter dieser Checkbox verbirgt.. ------------------ Der Vorteil der Klugheit besteht darin, daß man sich dumm stellen kann. Das Gegenteil ist schon schwieriger. |
Inaktiv |
|
fay-pain Specialist Beiträge: 2006 |
# Antwort: 18 - 12.12.2008 um 00:15 Uhr
Mir gefällt der Vorschlag von josch. So bräuchten wir auf unseren Servern nur noch die E-Mail Adressen der (Supporter) Projektleiter. Ansonsten würde ich da auch ein Sicherheitsrisiko sehen... ------------------ Manchmal hast du fay und machmal pain. - hajo |
Inaktiv |
|
duRiel Thread-Ersteller Weltmeister Herkunft: Cambridge Beiträge: 7300 |
# Antwort: 19 - 12.12.2008 um 00:27 Uhr
12.12.2008 um 00:15 Uhr - fAY-pA!N: Mir gefällt der Vorschlag von josch. So bräuchten wir auf unseren Servern nur noch die E-Mail Adressen der (Supporter) Projektleiter. Ansonsten würde ich da auch ein Sicherheitsrisiko sehen... wie willst du ein sicherheitsrisiko sehen, wenn die konzeption der umsetzung noch nicht steht? also ich hab mir jetzt eine umsetzung überlegt die sehr sicher ist und doch keinen datenabgleich mit unserem server braucht, die erscheint mir bisher ganz gut. aus dem grund wollte ich bisher noch nicht über die technische umsetzung schreiben, weil ich selbst weiß wie das laufen muss und dann halbweisheiten über sicherheit aufkommen. josch: weil dann eben diese schwelle wieder da ist dass man danach fragen muss. das ist erstens verbindlich und zweitens kostets zeit bis der benutzer reagiert. da ist es praktisch egal ob er auf einen link klickt oder einen admin account erstellt. |
Inaktiv |
|
Micha.09 Specialist Herkunft: Dortmund Beiträge: 2860 |
# Antwort: 20 - 12.12.2008 um 00:35 Uhr
Ich werde mich mit Duriel um eine wirklich sehr sichere Lösung bemühen, ich denke nach 5 Jahren ClanSphere könnt ihr uns dahin gehen vertrauen das die Community uns am Herzen liegt und wir nur der Community helfen wollen mit diesem Programm. Da gibt es doch andere Software die wesentlich weniger auf Security setzt als dies Clansphere tut, wir wissen selber das dies ein sehr sensibles Thema ist, es steht jedem frei ob er das nutzen möchte. |
Inaktiv |
|
Antworten: 53
|
Sie müssen sich registrieren, um zu antworten. |