Rallef
23.03.2008, 03:16
Hallo,
ich hab mir das Tresor-Addon von hier gezogen und eingebaut, schönes Teil - nur hab ich mir grad überlegt, welchen Zweck es eigentlich erfüllen soll.
Wenn es ein unbefugter irgendwie schaffen sollte in den Account eines Users einzudringen (z.B. hat er irgendwie die Zugangsdaten rausgefunden), dann weiss er zwar nicht das Tresor-Passwort, aber dank des Userprofils kann er ja ganz einfach die Emailadresse ändern und sich das Tresor-Passwort zusenden lassen - und schon ist der Tresor geknackt ^^
Wenn das jetzt ein User auf der selben Seite ist und es die Möglichkeit des internen Transfers gibt, dann holt der die Lose aus dem Tresor, schickt sie sich und weg sind sie.
Wie lässt sich sowas denn verhindern?
ich hab mir das Tresor-Addon von hier gezogen und eingebaut, schönes Teil - nur hab ich mir grad überlegt, welchen Zweck es eigentlich erfüllen soll.
Wenn es ein unbefugter irgendwie schaffen sollte in den Account eines Users einzudringen (z.B. hat er irgendwie die Zugangsdaten rausgefunden), dann weiss er zwar nicht das Tresor-Passwort, aber dank des Userprofils kann er ja ganz einfach die Emailadresse ändern und sich das Tresor-Passwort zusenden lassen - und schon ist der Tresor geknackt ^^
Wenn das jetzt ein User auf der selben Seite ist und es die Möglichkeit des internen Transfers gibt, dann holt der die Lose aus dem Tresor, schickt sie sich und weg sind sie.
Wie lässt sich sowas denn verhindern?