[Muratti] Passwort Reset erster Release
Martin Schitter
ms at mur.at
Sa Sep 24 04:03:41 CEST 2016
hallo jogi!
ich hab mir den code natürlich angeschaut und mir darüber gedanken
gemacht. im wesentlichen hat sich aber dadurch nichts an jenen bedenken
geändert, die ich hier ohnehin bereits ausgeführt habe.
zwischendurch habe ich mir zwar schon überlegt, den code wenigstens in
zwei prozesse -- eine GUI komponente und einen privilegierten task, der
die sicherheitstechnisch relevanten änderungen abwickelt --
aufzuspalten, womit wenigstens die technische seite des problems in den
griff zu bekommen wäre. aber das ist natürlich mit beträchtlichem
aufwand verbunden. ich würde sogar sagen, derart viel mühen, dass sie in
keinem vernünftigen verhältnis mehr zu dem stehen, was durch ein solches
tool an praktischer arbeit tatsächlich eingespart wird.
sinn machen könnte es aber vielleicht trotzdem, weil es hier nicht nur
um ein kleines hilfsmittel für den alltag geht, sondern an hand dieses
beispiels durchaus auch aufzeigt werden kann, wie man manche dinge in
einer etwas vorbildlicheren bzw. technisch befriedigenderer weise
umsetzten kann. ich glaube nämlich weiterhin davon überzeugt, dass es im
mur.at umfeld dringend nötig wäre, sich von monolithischen web-lösungen
und entsprechenden zentralen serverprozessen langsam zu lösen, um die
damit verbundene generell bedrohung in den griff zu bekommen...
beim nachdenken über diese ganze problematik bin ich allerdings auf eine
viel einfachere mögliche kompromisslösung gestoßen, die vieleicht im
vorliegenden fall praktikabler sein könnte:
eigentlich gibt es ja keinen ganz dringenden grund, warum dieser
service wirklich unmittelbar für die benutzer draußen zugänglich sein
sollte? wer sein passwort nur einfach ändern will, kann das ja ohnehin
jederzeit über die anderen dafür vorgesehenen möglichkeiten abwickeln.
dieses tool wird ja wirklich nur in jenen [seltenen] fällen gebraucht,
wo benutzer ihrer authentifikation gar nicht mehr benutzen können.
ich würde aber behaupten, dass es gerade in diesen fällen durchaus
vertretbar erscheint, dass die betroffenen tatsächlich mit dem
service-personal kontakt aufnehmen müssen. dort könnte man dann aber das
betreffende tool aus dem lokalen netz heraus durchaus nutzen, um den
praktische ablauf einfacher abzuwickeln. nach außen hin muss die
entsprechende seite dafür aber gar nicht unbedingt zugänglich sein.
ich glaube, dass mit einer derartigen variante sowohl den technischen
bedenken, als auch jenen empfehlungen, die in solchen fällen ganz
ausdrücklich eine initierung der änderungen durch wartungspersonal
verlangen, rechnung getragen würde.
ich weiß nicht, wie weit du dich, nach all den damit mühen der
programmierung, mit einer solchen lösung anfreunden kannst?
martin
On 2016-09-20 17:09, Jogi Hofmüller - mur.at wrote:
> Liebe alle,
>
> ich antworte einfach auf das letzte E-Mail in diesem Thread, und
> versuche mich auf alle Punkte zu beziehen, die im Laufe der Zeit hier
> aufgetaucht sind.
>
> Am Donnerstag, den 25.08.2016, 13:27 +0200 schrieb ft at mur.at:
>>> Hier hab ich einen Link mit mailto:amt at mur.at eingebaut. Wie
>>> findest das?
>> prinzipiell nicht schlecht. aber ich hab's auf
>> https://tools.mur.at/mpwreset/ nicht gefunden ...
>
> Was entweder daran liegt, dass Dein Browser die Seite im Cache hatte
> (das können wir auch noch irgendwo abdrehen), oder dass Du mir
> vielleicht zuvor gekommen bist, denn soweit ich erinnere hab ich zuerst
> das E-Mail geschrieben, und dann erst die Änderung auf den Server
> geschoben ;)
>
> Was die Gültigkeit der ResetIDs angeht, haben wir das heute nochmal
> diskutiert, und sind zu folgendem Schluss gekommen: wir setzen die
> Gültigkeitsdauer wieder auf 5 (fünf) Minuten. Wer auf's Klo muss,
> Tennis spielen geht oder sonst etwas tut, soll sich danach einfach eine
> neue ResetID generieren. Was Greylisting angeht gilt das selbe.
> Außerdem gehen wir davon aus, dass die meisten User_innen SMS als
> Benachrichtigungsmethode verwenden werden, da die wenigsten eine
> Weiterleitung auf eine nicht von mur.at verwaltete E-Mail Adresse
> haben.
>
> Eine Option, über mpwreset selber ein Passwort zu setzen, werden wir
> nicht anbieten. Der Grund ist einfach der, dass es dafür ein Interface
> gibt (derzeit GoSa https://gosa.mur.at/gosa/, so bald alles passt dann
> Fusiondirectory). Wer mit dem generierten Passwort nicht zufrieden ist,
> die/der kann sich dann mit dem 'unerwünschten' Passwort bei GoSa
> anmelden, und sich dort ein neues Passwort setzen.
>
> Wir werden in den nächsten Tagen noch eine Doku zu dem Werkzeug
> erstellen und einen Link dazu im mpwreset einbauen. Dann sollte das
> vorerst mal funktionieren.
>
> Mit Ende des Monats werden wir das Tool dann für die Allgemeinheit
> freigeben. In den letzten Wochen haben wir schon die eine/den anderen
> ihr/sein Passwort damit zurücksetzen/neu setzen lassen, und bislang gab
> es keine Probleme.
>
> Für Feedback was den Code angeht sind wir natürlich auch in Zukunft
> dankbar. Sollte sich herausstellen, dass es dringend Dinge zu ändern
> gibt, dann gibt's eben eine nächste Version, ohne dass sich am
> Interface großartig etwas ändern müsste.
>
> Lieben Dank mal all denen, die sich hier konstruktiv eingebracht haben!
>
> Besten Gruß
>
>
>
> _______________________________________________
> Muratti mailing list
> Muratti at mur.at
> http://lists.mur.at/mailman/listinfo/muratti
>
Mehr Informationen über die Mailingliste Muratti