Jump to content

SingleSignOn für Forum und Marktplatz


Klausen
 Share

Recommended Posts

Hallo bitcoin.de Team!

 

Ich fände es einfacher, wenn man sich nicht getrennt für das Forum und den Marktplatz anmelden müsste.

Daher meine Bitte an Euch: SingleSignOn für Forum und Marktplatz.

 

zukünftige Besucher werden es euch danken :)

Link to comment
Share on other sites

Also ich halte von der Idee nichts, vor allem wegen der Sicherheit! Wer weiß ob nicht bald eine Sicherheitslücke in vBulletin auftaucht und ein Fremder diese nutzt um sich einzuloggen. Und was dann? Dann hat er genauso Zugriff auf den Marktplatz. Okay, dieser ist noch weiter abgesichert, aber dennoch ist das nicht wünschenswert.

 

MfG Dr. Fu Man Chu

Link to comment
Share on other sites

Genau, wie Dr. Fu es sagt: Wir wollten uns auf bitcoin.de nicht der Gefahr aussetzen, dass eine eingesetzte Software (wie die Forumssoftware) eine Sicherheitslücke aufweist, die sich unmittelbar auf die Sicherheit unseres Marktplatzes auswirken könnte. Sicherlich wäre ein Single Sign-On komfortabel, aber Sicherheit hat hier strikten Vorrang.

Link to comment
Share on other sites

  • 5 months later...
  • 5 months later...

Ich finds Unsinn, da es keine Vorteile bietet aber jede menge Nachteile. So z.B. bei Verlust des Accoount auf einen der beiden Seiten oder die parallele vergab von Passwärtern. Ein Angreifer könnte versuchen die Datenbank vom Forum auszulesen um so auf die Passwärter des Markplatzes zu schließen. außerdem ist es unangebracht die Markteilnehmer mit dem Forum in Verbindung zu bringen. Dann hat man quasi passend zum Forum die Persönlichen Daten wie Name und Bankverbindung.

Link to comment
Share on other sites

  • 1 month later...

Selbstverständlich sollte single sign on nicht so implementiert werden, daß Zugriff auf das Forum via einer Sicherheitslücke Zugriff auf die Handelsplattform ermöglicht. Wenn das Forum allerdings der login-session der Plattform vertraut, oder beide einer zentralen Authentifizierungsstelle, sollte das kein Problem sein. Technisch kann das gemacht werden ohne daß das Forum das Paßwort erfährt. Also bitte keine dummen Ausreden.

Link to comment
Share on other sites

  • 6 months later...

Ich kenne mich nicht mit konkreten SSO-Systemen detailliert aus, geschweige denn mit phpBB -- aber ich könnte mir vorstellen, dass es machbar ist. Vorausgesetzt, phpBB bietet die entsprechende Schnittstelle. Die SSO Software könnte beim Login z.b. jeweils ein Token für Marktplatz- und Forumsdomain erstellen. Wird das Forumstoken aufgrund einer Sicherheitslücke in phpBbB bekannt, kann der Angreifer trotzdem nicht auf den Marktplatz-Account des Benutzers zugreifen.

 

Außerdem sollte der Benutzer einstellen können, ob er für Marktplatz und Forum unterschiedliche Benutzernamen verwenden möchte, um sich nicht dem Social Engineering-Risiko auszusetzen.

 

Der Benutzer verwaltet seinen Account entweder über das Marktplatz-System oder die SSO-Software -- je nach dem, was vom Betreiber als sicherer eingestuft wird.

Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.