noch n Grund diese Art der Anmeldung zu meiden.
Aber Cookies dergl. werden nach Schließung des Tabs automatisch gelöscht
noch n Grund diese Art der Anmeldung zu meiden.
Aber Cookies dergl. werden nach Schließung des Tabs automatisch gelöscht
der Stein der Weisen hat verdammt viel Ähnlichkeit mit dem Stein der Narren.
Mal so in den Raum stelle:
a) eMailänderung im Chrome angestossen (eigenes Login)
b) Link angeklickt (standard ist Internet explorer eingestellt), dort ist jemand anderes eingeloggt.
c) Warum wird dann wohl der andere account angezeigt?
Das mit den Benutzerkonten in Windows ist in meinen persönlichen Augen für eine solche Nutzung von PCs perfekt. Was daran so umständlich sein soll, jedem seinen geschützten! (durch eigenes Paßwort) Bereich zu geben, verstehe ich leider nicht wirklich. Somit wäre ein solches Problem gar nicht existent ;-)
BB kann da sicherlich nichts dafür, denn die loggen einen ja nicht ein, das macht immer der Nutzer selbst. Der Link in der eMail enthält auch keine Einlogdaten. Sprich: In dem Browser muss schon jemand eingeloggt sein.
Der Titel "Extreme Sicherheitslücke im Ubi-Account und mehr" finde ich daher mehr als irreführend.
ich konnte es mit meinem Account leider überhaupt nicht nachvollziehen und nachstellen.
Hierzu fällt mir nur ein: Ich geh in ein "Internetcafe", logge mich in mein Onlinebanking ein und gehe wieder ohne mich abzumelden oder den Browser zu schließen etc. Was soll hier der Spielerbetreiber ändern? Das was da beschrieben wird, ist kein Programmfehler, sondern, entschuldige, aber ganz klar ein Anwenderfehler. Man sollte seine Daten schützen und wenn man diese so einfach zugänglich läßt, kann der Spielebetreiber sich keine Schuld ankreiden lassen. Auch im Büro, wenn ich mich nicht auslogge und die Cookies/Cache lösche ist es nicht ein verschulden des Betreibers, sondern des Anwenders.Zitat von Tyrasul
Wenn ich mit dem Auto gegen einen Baum fahre haftet ja auch nicht der Fahrzeughersteller oder?
Geändert von Wuschel_1_2000 (02.08.20 um 12:35 Uhr)
Der Anbieter hätte aber wohl die Möglichkeit, vor der Änderung der E-Mail-Adresse oder der Accountdaten die Legitimation erneut abzufragen, oder? Wenn dem so ist, dann sollte er dies aus Sicherheitsgründen auch tun. Insofern betrachte ich die Ausführungen von Tyrasul als gerechtfertigt.
Bedingt gebe ich Dir Recht. BB könnte eine erneute Authentifizierung erzwingen.
Aber um das geht es eigentlich im Großen und ganzen ja nicht. Es geht darum, dass jeder auf seinen Account Zugriff hat, der an seinem PC ist. Hier muss ich den TE auch korrigieren: Nicht wer Zugriff auf den Rechner hat, sondern auf den BENUTZER der eingeloggt ist. Genauso gut kann ich auch meine Pin auf die EC-Karte Schreiben und verlangen, dass der Automat diese runterradiert. Bitte entschuldige, klingt jetzt vielleicht sehr aggressiv, ist aber nicht so gedacht. Nur als Vergleich. Wenn ich Zugriff auf seinen PC habe, habe ich immer noch keinen Zugriff auf seine Daten. Dafür benötige ich seine Windows-Logindaten. Und diese werden von ihm, wie selbst beschrieben, einfach weitergegeben.
Abschlussfrage: Wenn man bei der Arbeit ist, Sperrt man den PC wenn er den Arbeitsplatz verlässt oder loggt sich aus? Wenn nein würde ich einmal die Datenschutzvereinbarung mit der Firma lesen. Genau das ist ja hier die Situation. Er ermöglicht anderen OHNE dass diese sein Passwort kennen oder hacken Zugriff auf seinen Account am PC und somit sämtlichen Daten am PC.
Warum loggt man sich an seinem eigenen PC dann nicht aus, wenn jemand anderes hinmöchte?
Nebenbei: einmal die AGB gelesen und der Thread sollte lieber gelöscht werden: Punkt 2.2e und 2.3 Dort stehen genau diese Dinge, welche vom TE gemacht werden, dass diese nicht gemacht werden dürfen.
Der Anbieter hat die Möglichkeit und er nutzt sie auch. Insofern betrachte ich die Ausführungen von Tyrasul als ungerechtfertigt.
Zitiere mich hier mal selbst: (vom 31.7.2020)
Gleiches Prozedere, wenn ich mein Kennwort ändern möchte (ich bekomme bevor ich das machen kann eine Mail ein meine Mailadresse geschickt mit einem Link).So habe mich mal selber daran gesetzt. Ich habe dem System gesagt ich möchte meine Email-Adresse ändern.
Bekam dann eine Nachricht, dass eine Mail an meiner Mail-Adresse raus ist. (Die Mailadresse wird hier explizit genannt).
Habe dann in meinen Postfach nachgeschaut, und siehe da, die Mail war da und wenn man den Cursor auf dem "here" plaziert erscheint unten im Browserfenster der "link" wohin er führt und bei mir taucht dabei wieder meine Mailadresse auf.
Meine Frage, wo wird denn bei dir die Mailadresse "getauscht", so daß du auf den anderen Benutzer kommst. Wenn das mit der Mail in deinem Postfach passiert, dann kannst du die Mail ja mal an den Support schicken, denn damit hast du den "Beweis" das es nicht richtig funktioniert hat.
Bitte hier mal alles lesen (soviele Seiten sind es ja nicht), vielleicht kommst du ja auch zu dem gleichen Schluss wie Plitschi.
Geändert von dl12012 (03.08.20 um 07:51 Uhr)
Wenn ich bei der Sparkasse eine Überweisung tätige, muss ich eine TAN eingeben. Wenn bei gewollter Änderung der Ubisoft/DSO Accountdaten vor der Anzeige dieser Daten eine erneute Eingabe der alten E-Mail-Adresse und des Passwortes abgefragt werden würde (kein Link, sondern auf einem Internetformular), könnten alle, die diese Daten nicht wissen, keine Accountänderung durchführen. Anscheinend nutzt der Anbieter diese Möglichkeit nicht.
Ich gebe dir natürlich recht, wenn der zugesendete Link in einer falschen E-Mail steckte, hätte Tyrasul dies bemerken können. Oder bekam er die richtige E-Mail und wurde dennoch auf seinen bereits eingeloggten Mitbewohner geleitet?
Wie schon geschrieben, bei jeder Aktion geht ein Mail mit einem Link an die Mailadresse, und erst mit diesem kann man die Aktion ausführen.
Heißt, will ich die Mailadresse ändern, dann muss ich mich zusätzlich in mein Mailkonto anmelden um meine Mail zu lesen und zu öffen.
Wenn ich meine Haus- und Wohnungsschlüssel in den Blumentopf vor dem Haus hinlege, dann kann ich auch nicht dem Besitzer des Mehrfamilienhauses dafür verantwortlich machen, wenn mir meine Wohnung ausgeräumt wird.
Mit der Verifizierung über die aktuell angegebene Mailadresse ist doch die Sicherheit gegeben... Wenn ich aus welchen Gründen auch immer an den Ubiaccount gekommen bin, ich brauche auch den Zugang zur Mailadresse um Passwort oder Mailadresse fürs Ubiaccount zu ändern. Besser als nochmals das Passwort abzufragen.
Nachtrag:
Einfach mal selber probieren, damit man sich vergewissern kann, wie genau es funktioniert. Offensichlich gibt es da noch Verständisprobleme.
Geändert von dl12012 (03.08.20 um 10:23 Uhr) Grund: Nachtrag
Gebe ich auch wieder bedingt recht. Es geht aber auch darum dass der TE sagt, dass jeder der seinen PC benutzt an seine Daten kommt. Hier fängt die Sicherheitslücke vorher an. Warum kann jemand an seinen pc mit seinem Benutzer? Wenn man es genau nimmt stellt er somit seine logindaten zur Verfügung. Wenn jeder Bewohner der Wohnung einen eigenen Account bei dem installierten Windows hätte um seine Daten zu schützen gäbe es das Problem gar nicht. ��Wenn ich bei der Sparkasse eine Überweisung tätige, muss ich eine TAN eingeben. Wenn bei gewollter Änderung der Ubisoft/DSO Accountdaten vor der Anzeige dieser Daten eine erneute Eingabe der alten E-Mail-Adresse und des Passwortes abgefragt werden würde (kein Link, sondern auf einem Internetformular), könnten alle, die diese Daten nicht wissen, keine Accountänderung durchführen. Anscheinend nutzt der Anbieter diese Möglichkeit nicht.
Ich gebe dir natürlich recht, wenn der zugesendete Link in einer falschen E-Mail steckte, hätte Tyrasul dies bemerken können. Oder bekam er die richtige E-Mail und wurde dennoch auf seinen bereits eingeloggten Mitbewohner geleitet?
Ich seh da jetzt auch nicht das Problem bei Ubisoft. Viele Dienste verschicken Verifizierungsemails, ohne dass danach noch irgendwie großartig Daten eingegeben werden müssen (denn die werden ja vorher im Account geändert).
IMO hängt das Problem daran, dass verschiedene Accounts zeitgleich eingeloggt zu sein scheinen - wohl auch über verschiedene Browser (denn sonst kann ich mir nicht vorstellen, wie das gehen soll. Geh ich jetzt mit Browser A auf meinen Account, änder dort die Emailadresse, klick dann auf den Link der Verifizierungsemail, die sich aber in Browser B öffnet (zB weil Browser B der Standardbrowser ist), dann öffnet sich klarerweise der Account, der in Browser B eingeloggt ist.
Das Problem kann leicht umgangen werden, indem einfach bei allen Accounts ausgeloggt wird (oder, besser, mit verschiedenen Benutzerkonten gearbeitet wird), wenn man schon aus welchen Gründen auch immer mehrere Accounts betreibt.
Das mit dem Login/Änderung bei der Bank zu vergleichen, ist lächerlich. Da sollten schon ein paar Sicherheitsstufen dazwischen sein (und wenn man Zahlungsdaten bei Ubisoft hinterlegt anstatt jedesmal die einzeln einzugeben, kann man jemandem sowieso nicht helfen, egal, ob's da jetzt verschiedene Accounts gibt oder nicht).
Ein Postfach und mehrere Aliase mit einer Standard-Adresse. Was natürlich ganz andere Fragen aufwirft.
Wir essen jetzt Opa.
Satzzeichen retten Leben!
Berechtigungen
