Passwort-vergessen absichern

Wie kann die Funktion "Passwort vergessen" besser abgesichert werden? Ein Vorschlag.

Posted by ba stey
Cover Image

(Copyright des Bildes siehe Credits)

Auf fast jeder Plattform, die mit Nutzern arbeitet, gibt es die Funktion des "Passwort vergessen". Mit dieser kann ein neues Passwort gesetzt werden. Vor kurzem habe ich für ein Projekt, bei welchem Sicherheit wichtig ist, eine solche Funktion umgesetzt. Dabei habe ich einige Mechanismen eingebaut, die ich vorstellen möchte. Dabei geht es mir primär nur um die Absicherung des Vorgangs.

Passwort-vergessen absichern

Webhoster hat Sicherheitsprobleme.

Posted by ba stey

Gerne nutze ich die Möglichkeit für ein neues Projekt auch einen neuen Webhoster auszuprobieren. So bin ich schon bei so einigen Hostern gelandet und die Liste wächst. Besonders interessant finde ich immer wie das Webhosting auf Servern mit vielen Nutzern organisiert werden.

Vor kurzem habe ich einen Webhoster gestetet und habe festgestellt, dass bei der Konfiguration eines schief gelaufen ist. Das ganze schiebe ich an dieser Stelle mal auf den Admin und Plesk. Warum? Der Admin muss das System einrichten und überwachen. Und Plesk bietet gewisse Services an, die wiederum bspw. Log Dateien anlegen und damit für diese (irgendwie) verantwortlich sind. Und eigentlich darf ich von Plesk erwarten, dass es etwas wie einen Sicherheitscheck durchführt (Schreib- und Leseberechtigungen prüfen bspw). Ob Plesk nun schlecht ist oder gut, dies kann ich nicht sagen. Ich weiß nur, dass Plesk alleine nicht ausreicht um sicheres Webhosting zu betreiben.

Passwort-vergessen absichern

Eine Zusammenfassung der Erfahrungen mit mehreren Webhostern.

Posted by ba stey

In diesem Thread möchte ich einfach mal meine Erfahrungen mit den gängigen ISP beschreiben. Gerne nutze ich verschiedene ISP für verschiedene Projekte. Dies hat zwei Gründe: EInerseits kann ich so auch mal einen neuen Webhoster testen und beurteilen. Eventuell gibt es ja jemand der besser ist als jene, bei denen ich bereits Kunde bin. Auf der anderen Seite hat es auch mehrere Vorteile bezüglich der Unabhängigkeit von Projekten. Denn wenn ich alle im gleichen Rechenzentrum (oder auf dem gleichen Server) habe, reicht ein Stromausfall und alle Projekte sind offline. Auch die Anbindung ist je Rechenzentrum begrenzt und durch die Verteilung auf viele unterschiedliche Locations, besteht die Chance einer besseren Erreichbarkeit eines jeden Projektes.

Diesen Artikel werde ich immer mal wieder aktualisieren und erweitern. Es kann also sein, dass sich bereits etwas verändert oder getan hat. Eventuell gibt es den Anbieter nicht mehr oder das vorgestellte Angebot ist nicht mehr im Angebot. In solchen Fällen wäre ich dankbar für Feedback.

Passwort-vergessen absichern

Der Blog von Jerry Gamblin kurz vorgestellt.

Posted by ba stey

Ich habe vor kurzem dank eines Links zu einem tollen Artikel den Blog von Jerry Gamblin entdeckt. Er selber beschreibt sich als Security Advocate, Problem Solver, Hacker und Ebullient Communicator. Kann ich nicht alles beurteilen. Jedoch sehr interessant sind viele der Blogbeiträge dier Gamblin veröffentlicht. Der Blog ist aktuell und bietet wirklich viele Sahnstücke wie den docker-Container der TCP Traffic loggt oder seine AWS Artikel.

Ihr findet den Blog unter: https://jerrygamblin.com/

Passwort-vergessen absichern

Lokales Seteup für ein aktuelles Webprojekt im jahr 2018

Posted by ba stey

Ich sitze an einem neuen spannenden Projekt. Da ich vor kurzem meinen Workflow im Bereich der Webentwicklung etwas umgestellt habe und ich im Zuge dessen auch das ein oder andere Framework aktualsierte, möchte ich einfach kurz die aktuelle Umgebung vorstellen.

Passwort-vergessen absichern

Wenn das Debug Kit von CakePHP nicht funlktioniert hilft ein Workaround.

Posted by ba stey

Ich hatte gestern das Problem, dass sich die aktuelle Version (3.6) des Debug Kits nicht aktivieren lies. Ein Blick in die Logfiles zeigt mir den Grund:

2018-06-16 18:07:56 Warning: DebugKit is disabling itself as your host project.loc is not in the known safe list of top-level-domains (localhost, dev, invalid, test, example, local). If you would like to force DebugKit on use the DebugKit.forceEnable Configure option.