SingleSignOn für Forum und Marktplatz

[Klausen]

Hallo bitcoin.de Team!

 

Ich fände es einfacher, wenn man sich nicht getrennt für das Forum und den Marktplatz anmelden müsste.

Daher meine Bitte an Euch: SingleSignOn für Forum und Marktplatz.

 

zukünftige Besucher werden es euch danken

[Dr. Fu Man Chu]

Also ich halte von der Idee nichts, vor allem wegen der Sicherheit! Wer weiß ob nicht bald eine Sicherheitslücke in vBulletin auftaucht und ein Fremder diese nutzt um sich einzuloggen. Und was dann? Dann hat er genauso Zugriff auf den Marktplatz. Okay, dieser ist noch weiter abgesichert, aber dennoch ist das nicht wünschenswert.

 

MfG Dr. Fu Man Chu

[McBit]

Genau, wie Dr. Fu es sagt: Wir wollten uns auf bitcoin.de nicht der Gefahr aussetzen, dass eine eingesetzte Software (wie die Forumssoftware) eine Sicherheitslücke aufweist, die sich unmittelbar auf die Sicherheit unseres Marktplatzes auswirken könnte. Sicherlich wäre ein Single Sign-On komfortabel, aber Sicherheit hat hier strikten Vorrang.

[jens77]

JOO, das finde ich auch.

[UnkWrr]

Als praktisch wäre so ein Feature schon...

 

Grüße UnkWrr ;D

[ac_]

Ich finds Unsinn, da es keine Vorteile bietet aber jede menge Nachteile. So z.B. bei Verlust des Accoount auf einen der beiden Seiten oder die parallele vergab von Passwärtern. Ein Angreifer könnte versuchen die Datenbank vom Forum auszulesen um so auf die Passwärter des Markplatzes zu schließen. außerdem ist es unangebracht die Markteilnehmer mit dem Forum in Verbindung zu bringen. Dann hat man quasi passend zum Forum die Persönlichen Daten wie Name und Bankverbindung.

[coinft]

Selbstverständlich sollte single sign on nicht so implementiert werden, daß Zugriff auf das Forum via einer Sicherheitslücke Zugriff auf die Handelsplattform ermöglicht. Wenn das Forum allerdings der login-session der Plattform vertraut, oder beide einer zentralen Authentifizierungsstelle, sollte das kein Problem sein. Technisch kann das gemacht werden ohne daß das Forum das Paßwort erfährt. Also bitte keine dummen Ausreden.

[QFZQ71]

Ich kenne mich nicht mit konkreten SSO-Systemen detailliert aus, geschweige denn mit phpBB -- aber ich könnte mir vorstellen, dass es machbar ist. Vorausgesetzt, phpBB bietet die entsprechende Schnittstelle. Die SSO Software könnte beim Login z.b. jeweils ein Token für Marktplatz- und Forumsdomain erstellen. Wird das Forumstoken aufgrund einer Sicherheitslücke in phpBbB bekannt, kann der Angreifer trotzdem nicht auf den Marktplatz-Account des Benutzers zugreifen.

 

Außerdem sollte der Benutzer einstellen können, ob er für Marktplatz und Forum unterschiedliche Benutzernamen verwenden möchte, um sich nicht dem Social Engineering-Risiko auszusetzen.

 

Der Benutzer verwaltet seinen Account entweder über das Marktplatz-System oder die SSO-Software -- je nach dem, was vom Betreiber als sicherer eingestuft wird.