[Muratti] Passwort Reset erster Release

Martin Schitter ms at mur.at
Sa Sep 24 04:03:41 CEST 2016 

hallo jogi!

ich hab mir den code natürlich angeschaut und mir darüber gedanken 
gemacht. im wesentlichen hat sich aber dadurch nichts an jenen bedenken 
geändert, die ich hier ohnehin bereits ausgeführt habe.

zwischendurch habe ich mir zwar schon überlegt, den code wenigstens in 
zwei prozesse -- eine GUI komponente und einen privilegierten task, der 
die sicherheitstechnisch relevanten änderungen abwickelt -- 
aufzuspalten, womit wenigstens die technische seite des problems in den 
griff zu bekommen wäre. aber das ist natürlich mit beträchtlichem 
aufwand verbunden. ich würde sogar sagen, derart viel mühen, dass sie in 
keinem vernünftigen verhältnis mehr zu dem stehen, was durch ein solches 
tool an praktischer arbeit tatsächlich eingespart wird.

sinn machen könnte es aber vielleicht trotzdem, weil es hier nicht nur 
um ein kleines hilfsmittel für den alltag geht, sondern an hand dieses 
beispiels durchaus auch aufzeigt werden kann, wie man manche dinge in 
einer etwas vorbildlicheren bzw. technisch befriedigenderer weise 
umsetzten kann. ich glaube nämlich weiterhin davon überzeugt, dass es im 
mur.at umfeld dringend nötig wäre, sich von monolithischen web-lösungen 
und entsprechenden zentralen serverprozessen langsam zu lösen, um die 
damit verbundene generell bedrohung in den griff zu bekommen...

beim nachdenken über diese ganze problematik bin ich allerdings auf eine 
viel einfachere mögliche kompromisslösung gestoßen, die vieleicht im 
vorliegenden fall praktikabler sein könnte:

eigentlich gibt es ja keinen  ganz dringenden grund, warum dieser 
service wirklich unmittelbar für die benutzer draußen zugänglich sein 
sollte? wer sein passwort nur einfach ändern will, kann das ja ohnehin 
jederzeit über die anderen dafür vorgesehenen möglichkeiten abwickeln.
dieses tool wird ja wirklich nur in jenen [seltenen] fällen gebraucht, 
wo benutzer ihrer authentifikation gar nicht mehr benutzen können.
ich würde aber behaupten, dass es gerade in diesen fällen durchaus 
vertretbar erscheint, dass die betroffenen tatsächlich mit dem 
service-personal kontakt aufnehmen müssen. dort könnte man dann aber das 
betreffende tool aus dem lokalen netz heraus durchaus nutzen, um den 
praktische ablauf einfacher abzuwickeln. nach außen hin muss die 
entsprechende seite dafür aber gar nicht unbedingt zugänglich sein.

ich glaube, dass mit einer derartigen variante sowohl den technischen 
bedenken, als auch jenen empfehlungen, die in solchen fällen ganz 
ausdrücklich eine initierung der änderungen durch wartungspersonal 
verlangen, rechnung getragen würde.

ich weiß nicht, wie weit du dich, nach all den damit mühen der 
programmierung, mit einer solchen lösung anfreunden kannst?

martin


On 2016-09-20 17:09, Jogi Hofmüller - mur.at wrote:
> Liebe alle,
>
> ich antworte einfach auf das letzte E-Mail in diesem Thread, und
> versuche mich auf alle Punkte zu beziehen, die im Laufe der Zeit hier
> aufgetaucht sind.
>
> Am Donnerstag, den 25.08.2016, 13:27 +0200 schrieb ft at mur.at:
>>> Hier hab ich einen Link mit mailto:amt at mur.at eingebaut.  Wie
>>> findest das?
>> prinzipiell nicht schlecht. aber ich hab's auf
>> https://tools.mur.at/mpwreset/ nicht gefunden ...
>
> Was entweder daran liegt, dass Dein Browser die Seite im Cache hatte
> (das können wir auch noch irgendwo abdrehen), oder dass Du mir
> vielleicht zuvor gekommen bist, denn soweit ich erinnere hab ich zuerst
> das E-Mail geschrieben, und dann erst die Änderung auf den Server
> geschoben ;)
>
> Was die Gültigkeit der ResetIDs angeht, haben wir das heute nochmal
> diskutiert, und sind zu folgendem Schluss gekommen: wir setzen die
> Gültigkeitsdauer wieder auf 5 (fünf) Minuten. Wer auf's Klo muss,
> Tennis spielen geht oder sonst etwas tut, soll sich danach einfach eine
> neue ResetID generieren. Was Greylisting angeht gilt das selbe.
> Außerdem gehen wir davon aus, dass die meisten User_innen SMS als
> Benachrichtigungsmethode verwenden werden, da die wenigsten eine
> Weiterleitung auf eine nicht von mur.at verwaltete E-Mail Adresse
> haben.
>
> Eine Option, über mpwreset selber ein Passwort zu setzen, werden wir
> nicht anbieten. Der Grund ist einfach der, dass es dafür ein Interface
> gibt (derzeit GoSa https://gosa.mur.at/gosa/, so bald alles passt dann
> Fusiondirectory). Wer mit dem generierten Passwort nicht zufrieden ist,
> die/der kann sich dann mit dem 'unerwünschten' Passwort bei GoSa
> anmelden, und sich dort ein neues Passwort setzen.
>
> Wir werden in den nächsten Tagen noch eine Doku zu dem Werkzeug
> erstellen und einen Link dazu im mpwreset einbauen. Dann sollte das
> vorerst mal funktionieren.
>
> Mit Ende des Monats werden wir das Tool dann für die Allgemeinheit
> freigeben. In den letzten Wochen haben wir schon die eine/den anderen
> ihr/sein Passwort damit zurücksetzen/neu setzen lassen, und bislang gab
> es keine Probleme.
>
> Für Feedback was den Code angeht sind wir natürlich auch in Zukunft
> dankbar. Sollte sich herausstellen, dass es dringend Dinge zu ändern
> gibt, dann gibt's eben eine nächste Version, ohne dass sich am
> Interface großartig etwas ändern müsste.
>
> Lieben Dank mal all denen, die sich hier konstruktiv eingebracht haben!
>
> Besten Gruß
>
>
>
> _______________________________________________
> Muratti mailing list
> Muratti at mur.at
> http://lists.mur.at/mailman/listinfo/muratti
>

Mehr Informationen über die Mailingliste Muratti