Christophorus: *stöhn* Die Benutzer meines Forums sind so blöd...

Hallo Forum,

obwohl Stammposter, schreibe ich heute nicht unter meinem richtigen Namen--ich will nicht, dass Personen, die mein Forum benutzen, hier reinschauen und sich angepißt fühlen.

Denn Grund dazu hätten sie durchaus. Herrje, ich habe selten einen idiotischeren Haufen gesehen. Nachdem öfters Trolle versucht haben, das Forum (teilweise mit sehr persönlichen Angriffen) zu sabotieren, habe ich einen Registrierungszwang eingeführt. Seitdem kommen ständig Neuanmeldungen. Das ist ja auch ganz schön. Weniger schön ist allerdings, dass viele scheinbar alle zwei Wochen ihren Benutzernamen, ihr Paßwort oder beides vergessen und sich anschließend neu registrieren. Das ist ja nicht Sinn der Sache. Viele haben auch bei der Anmeldung Paßwörter angegeben, die wirklich primitiv und einfach geläufige Fachbegriffe aus dem Fachgebiet des Forums sind. Gerade eben habe ich einen rausgeworfen, der einfach seinen Benutzernamen als Paßwort angegeben hatte.

Nun geht es - wie nicht anders zu erwarten - schon los, dass irgendjemand die ganzen Paßwörter errät (beim Schreiben eines Beitrags muß nur das Paßwort, nicht der Benutzername angegeben werden). Und schon herrscht das schönste Chaos, dutzende Beiträge unter fremden Namen tauchen auf, jeder macht jeden dafür verantwortlich und alle schieben die Schuld auf den Admin.

Jetzt habe ich extra auf der Registrierungsseite schon dazugeschrieben, die Leute sollen sich anständige Paßwörter ausdenken. Aber nein, es kommen immer wieder Leute, die sich mit "Hallo" anmelden wollen. Oder die bei der Anmeldung zwar ein Paßwort, aber keinen Benutzernamen angeben und dann eine Beschwerdemail abschicken, wenn es nicht klappt. Und wenn man ihnen dann erklärt, wo ihr Fehler liegt, machen sie den gleichen Fehler nochmal und wieder und wieder. Total lernbefreit. Und irgendwann kommt dann eine Mail an: "Jetzt versuche ich es schon zum achten Mal, und es klappt immer noch nicht!" Tatsächlich ist die Liste der Neuanmeldungen voll mit Fehlermeldungen...

Nein, das war jetzt keine Anfrage im eigentlichen Sinne. Ich wollte mich nur mal unter verständnisvollen Mitmenschen ausheulen über die Dummheit der Menschen im Allgemeinen... Vielen Dank für euer Verständnis.

Christophorus

  1. Hallo Christophorus,

    Weniger schön ist allerdings, dass viele scheinbar alle zwei Wochen ihren Benutzernamen, ihr Paßwort oder beides vergessen und sich anschließend neu registrieren.

    Du könntest versuchen, nur Benutzername und E-Mail-Adresse zu verlangen
    und ein zufallsgeneriertes Passwort aus Zahlen und Buchstaben zu verschicken,
    dann haben die das als Mail und können es nicht vergessen.

    beim Schreiben eines Beitrags muß nur das Paßwort, nicht der Benutzername angegeben werden

    Das ist natürlich übel, da können ja nicht zwei Benutzer das selbe
    Passwort haben!

    Und dann sollte IMHO niemand die Möglichkeit haben, das eigene Passwort zu
    ändern, sondern nur die Möglichkeit, unter Angabe des Benutzernamens
    sich ein neues Passwort schicken zu lassen.

    Gruß
    Alexander Brock

    --
    Ceterum censeo Carthaginem esse delendam
    1. hi,

      beim Schreiben eines Beitrags muß nur das Paßwort, nicht der Benutzername angegeben werden

      Das ist natürlich übel, da können ja nicht zwei Benutzer das selbe
      Passwort haben!

      vor allem ist das dann übel, wenn ich schon beim anmeldeversuch den hinweis bekomme, "passwort xyz kannst du nicht nehmen, das ist schon vergeben" ...

      gruß,
      wahsaga

      --
      /voodoo.css:
      #GeorgeWBush { position:absolute; bottom:-6ft; }
    2. Moin!

      und ein zufallsgeneriertes Passwort aus Zahlen und Buchstaben zu verschicken,
      dann haben die das als Mail und können es nicht vergessen.

      Ich muß momentan ein Forum administrieren in dem das genauso läuft. Ein User bekommt bei der Anmeldung eine Mail mit einem vorläufigen Passwort à la H3#d.Rkö+ und dem Hinweis, daß man das Passwort nach dem ersten Login in den persönlichen Einstellungen ändern kann.
      Erstaunlicherweise ändern bestimmt mehr als 80% das Passwort nicht. Dummerweise sind viele aber auch nicht in der Lage sich so ein Passwort zu merken. Also bekomme ich ständig Mails, ob ich diesen Usern ihr Passwort verraten kann...
      Einige nutzen auch die Funktion des automatischen Logins mittels Cookies und vergessen dann ihr Passwort. Sobald diese User mal irgendwie die Cookies in ihren IE gelöscht haben, darf ich dann auch wieder neue Passwörter vergeben, weil sich ja niemand das Passwort gemerkt hat...
      Naja, wie auch immer: Jedenfalls sind es nicht immer nur die Programmierer, die dumm sind, wenn etwas nicht funktioniert.
      Viele User stellen sich so dämlich an, daß man das als Coder nicht einmal ansatzweise simulieren kann ;o)
      Außerdem hängt das Ganze auch immer stark vom Zielpublikum ab. Nur bei dem Reiter-Forum, daß ich administrie, stellen sich die User so extrem dämlich an (und nur dort nutzen über 99% den IE auf Windows...). Sind scheinbar ein besonderer Menschenschlag, die Pferdeleute :o)

      Gruß, rob

      1. Hi,

        Naja, wie auch immer: Jedenfalls sind es nicht immer nur die Programmierer, die dumm sind, wenn etwas nicht funktioniert.

        was haeltst Du denn davon neben dem Benutzernamen und einem Kennwort auch die E-Mailadresse als Pflichtfeld zu erfassen. Dann noch eine kleine Funktion (ihre E-Mailadresse und ihren Nick vergessen die Nutzer in aller Regel nicht) und das Kennwort wird automatisiert an die betreffende E-Mailadresse versandt.

        Von administrativen, "manuellen" Eingriffen ist wirklich dringenst abzuraten. Aus verschiedenen Gruenden.

        Gruss,
        Ludger

        1. hi,

          was haeltst Du denn davon neben dem Benutzernamen und einem Kennwort auch die E-Mailadresse als Pflichtfeld zu erfassen.

          bei foren mit registrierungs_pflicht_ doch idR. eh standard.

          Dann noch eine kleine Funktion (ihre E-Mailadresse und ihren Nick vergessen die Nutzer in aller Regel nicht) und das Kennwort wird automatisiert an die betreffende E-Mailadresse versandt.

          bei einer einwegverschlüsselten ablage des passwortes - und diese ist aus diversen gründen zu empfehlen - kannt dann aber nicht das "alte" passwort als erinnerung verschickt werden, sondern höchstens ein auf diese anfrage hin neu generiertes.
          (auch das ist bei den meisten (seriöseren) foren die ich kenne standard.)

          gruß,
          wahsaga

          --
          /voodoo.css:
          #GeorgeWBush { position:absolute; bottom:-6ft; }
          1. 你好 wahsaga,

            (auch das ist bei den meisten (seriöseren) foren die ich kenne standard.)

            Hier nicht ;-)

            再见,
            克里斯蒂安

            --
            Sei ε kleiner Null.
            http://wwwtech.de/
            1. Hallo,

              (auch das ist bei den meisten (seriöseren) foren die ich kenne standard.)
              Hier nicht ;-)

              willst du damit behaupten, dies wäre ein "seriöses" Forum?

              Grüße
              Jeena Paradies

          2. Hi,

            bei einer einwegverschlüsselten ablage des passwortes - und diese ist aus diversen gründen zu empfehlen - kannt dann aber nicht das "alte" passwort als erinnerung verschickt werden, sondern höchstens ein auf diese anfrage hin neu generiertes.

            nur, um mal was zu lernen, warum ist das zu empfehlen?

            Gruss,
            Ludger

            1. Hallo Ludger,

              bei einer einwegverschlüsselten ablage des passwortes - und diese ist aus diversen gründen zu empfehlen - kannt dann aber nicht das "alte" passwort als erinnerung verschickt werden, sondern höchstens ein auf diese anfrage hin neu generiertes.

              nur, um mal was zu lernen, warum ist das zu empfehlen?

              Weil ein Angreifer, der die Passwort-Datei lesen kann nichts damit anfangen
              kann, wenn diese als Hash abgelegt sind, das wird auch von jeder
              vernünftigen Software so gemacht (ja, auch von deinem heißgeliebten Windoof)

              Gruß
              Alexander Brock

              --
              SelfCode: ie:{ fl:( br:> va:) ls:[ fo:) rl:( n4:? ss:| de:> js:( ch:| sh:( mo:} zu:}
              http://againsttcpa.com
              1. Hi,

                Weil ein Angreifer, der die Passwort-Datei lesen kann nichts damit anfangen
                kann, wenn diese als Hash abgelegt sind, das wird auch von jeder
                vernünftigen Software so gemacht (ja, auch von deinem heißgeliebten Windoof)

                Gegenargument, er erlangt dann eben Zugriff per Pruefsumme. Und das mit dem "haben wir immer so gemacht" ist mir auch etwas zu duenn.
                Ausserdem sind Pruefsummen zudem auch potentiell unsicherer und es koennte Kollisionen geben.

                Gruss,
                Ludger

                1. hi,

                  Gegenargument, er erlangt dann eben Zugriff per Pruefsumme.

                  und was hat er von der?
                  oftmals eingesetzt wird MD5 - und um da eine kollision zu finden, musst du schon 'ne menge starker rechner eine ganze zeit lang knobeln lassen.

                  Ausserdem sind Pruefsummen zudem auch potentiell unsicherer und es koennte Kollisionen geben.

                  ja, natürlich.
                  aber der aufwand, eine solche zu einer vorliegenden prüfsumme zu finden, ist immer noch extrem hoch.
                  ja, bei MD5 gab's vor einiger zeit von ein paar chinesen (IIRC) ein paper, das einiges an aufsehen erregt hat.
                  aber wem MD5 zu schwach erscheint, der kann ja SHA-1 o.ä. nehmen.

                  gruß,
                  wahsaga

                  --
                  /voodoo.css:
                  #GeorgeWBush { position:absolute; bottom:-6ft; }
                  1. Hi,

                    Gegenargument, er erlangt dann eben Zugriff per Pruefsumme.

                    und was hat er von der?

                    nun, der Angriff muesste dann zugegebenermassen naeher am System erfolgen, das ist richtig. Allerdings wenn der Angriff schon auf die Passwoerter bzw. Hashes der Benutzerdatenhaltung vorgedrungen ist, dann duerfte m.E. das Machbarkeitsargument bereits nachrangig geworden sein.

                    Ich tische jetzt mal meine (lustigere) Theorie auf, warum Passwoerter wirklich als Pruefsumme gespeichert werden:
                    Hat es aufgrund allegemeiner Inkompetenz oder aus "Gruenden fehlenden Gluecks" einen erfolgreichen Angriff gegeben, waere nichts fuer die verantwortlichen IT-Leute toedlicher (im sozialen Sinne des Erhalt des Arbeitsverhaeltnisses / der Partnerschaft) als die Publikation von Nutzernamen und Kennwoertern ("Vorstandsvorsitzender 'Harry Ackermann' mit Password 'victory' z.B.), waehrend der Verlust der Hashes laessig mit einem einfachen mea culpa (inkl. einer kleinen Aufforderung an die "Allgemeinheit" das Kennwort zu aendern) bearbeitet werden koennte. Der Vorfall ja moeglicherweise nicht einmal richtig verstanden werden wuerde von den Ochsen in der Geschaeftsfuehrung.

                    Und warum erzaehle ich diese kleine Geschichte? Weil ich bereits mehrfachst - wenn es um Sicherheit und so geht - dumme und duemmste Argumentationen vernehmen durfte. Nicht nur hier natuerlich.

                    BTW - habe ich recht?

                    Gruss,
                    Ludger

                    1. 你好 Ludger,

                      BTW - habe ich recht?

                      Nein.
                      Passwörter als Prüfsummen zu speichern ist deshalb sicherer, weil damit bei
                      einem Zugriff das System noch nicht zwangsläufig kompromittiert ist. Erlangt
                      der Angreifer durch Zufall Zugriff auf die Passwort-Hashes, kann er mit
                      diesen erstmal nichts anfangen, er muss sie durch eine Brute-Force-Attacke
                      “entschlüsseln”. Und erzähl mir nichts, das System sei eh schon
                      kompromittiert, wenn Zugriff auf die Passwort-Hashes stattfinden würde: dass
                      dem nicht so ist haben diverseste ?file=/etc/passwd-Lücken gezeigt.

                      Hätte er jedoch Zugriff auf die Klartext-Passwörter, braucht er nichts weiter
                      zu tun als das Passwort gemütlich einzutippen.

                      再见,
                      克里斯蒂安

                      --
                      Sich erinnern bedeutet, aus einer Erfahrung nicht ausreichend gelernt zu haben.
                      http://wwwtech.de/
                      1. Hi,

                        Nein.
                        Passwörter als Prüfsummen zu speichern ist deshalb sicherer, weil damit bei
                        einem Zugriff das System noch nicht zwangsläufig kompromittiert ist.

                        na gut, ich nehme dieses Argument mal wohlwollend zur Kenntnis. Weil Du es bist!

                        Hätte er jedoch Zugriff auf die Klartext-Passwörter, braucht er nichts weiter
                        zu tun als das Passwort gemütlich einzutippen.

                        Was noch die Frage aufwirft wie man die Effizienz der Routinen (regelmaessig und automatisiert) ueberprueft, die sicherstellen sollen, dass der Nutzer ein sicheres Passwort erfasst hat. "Irgendwo" sollten die Passwoerter also doch gespeichert werden, oder?

                        Gruss,
                        Ludger

                        1. Hallo Ludger,

                          Was noch die Frage aufwirft wie man die Effizienz der Routinen (regelmaessig und automatisiert) ueberprueft, die sicherstellen sollen, dass der Nutzer ein sicheres Passwort erfasst hat.

                          Man macht das einfach bei der Vergabe und der Änderung eines Passwortes.

                          "Irgendwo" sollten die Passwoerter also doch gespeichert werden, oder?

                          Nie im Leben[tm]

                          Gruß
                          Alexander Brock

                          --
                          SelfCode: ie:{ fl:( br:> va:) ls:[ fo:) rl:( n4:? ss:| de:> js:( ch:| sh:( mo:} zu:}
                          http://againsttcpa.com
                          1. Hi,

                            Was noch die Frage aufwirft wie man die Effizienz der Routinen (regelmaessig und automatisiert) ueberprueft, die sicherstellen sollen, dass der Nutzer ein sicheres Passwort erfasst hat.

                            Man macht das einfach bei der Vergabe und der Änderung eines Passwortes.

                            Datenhaltungen haben den starken Drang mit der Realitaet, die sie abbilden, auseinanderzulaufen. D.h. irgendwann kann man mit absoluter Sicherheit davon ausgehen, dass die moeglicherweise einstmals erfassten sicheren Kennwoerter (zumindest in Teilen) unsicher sind. Das ist ein Naturgesetz und am besten ist es bei wichtigen Daten gleich von Anfang an Jobs einzurichten die regelmaessig auf "logische Datenkonsistenz" pruefen.

                            "Irgendwo" sollten die Passwoerter also doch gespeichert werden, oder?

                            Nie im Leben[tm]

                            Och, man koennte ja vielleicht neben dem Hauptsystem ein (extrem ;-) wiederverwendbares Sekundaersystem fahren, das den Anmeldevorgang, also die Identifizierung, Authentifizierung und Autorisierung managt. Und diese zweite System, das ganz besonders gut an die Anforderungslage angepasst ist, also extrem sicher ist, koennte ja Passwoerter im Klartext speichern und Pruefungsanforderungen auf logische "Datenkonsistenz bearbeiten".

                            Gruss,
                            Ludger

                            1. Hallo Ludger,

                              [...] koennte ja Passwoerter im Klartext speichern und Pruefungsanforderungen auf logische "Datenkonsistenz bearbeiten".

                              Wenn man nachträglich Passwörter auf ihre Sicherheit überprüfen möchte
                              kann man eine Wörterbuchatacke o.ä. machen.

                              Wenn du dir mit deinen im Klartext gespeicherten Passwörtern selbst ins
                              Bein schießen willst, bitte. Sag aber nicht, es hätte dich niemand gewarnt.

                              Gruß
                              Alexander Brock

                              --
                              /voodoo.css:
                              #GeorgeWBush { position:absolute; bottom:-6ft; }
                            2. hi,

                              Och, man koennte ja vielleicht neben dem Hauptsystem ein (extrem ;-) wiederverwendbares Sekundaersystem fahren, das den Anmeldevorgang, also die Identifizierung, Authentifizierung und Autorisierung managt.

                              du also ein fan von sachen wie microsofts "passport"-service?

                              ich bin nicht wirklich überrascht.

                              gruß,
                              wahsaga

                              --
                              /voodoo.css:
                              #GeorgeWBush { position:absolute; bottom:-6ft; }
                              1. Hi,

                                Och, man koennte ja vielleicht neben dem Hauptsystem ein (extrem ;-) wiederverwendbares Sekundaersystem fahren, das den Anmeldevorgang, also die Identifizierung, Authentifizierung und Autorisierung managt.

                                du also ein fan von sachen wie microsofts "passport"-service?

                                kenne ich nicht. Ich kann mich zwar irgendwie erinnern, dass M$ ein ".NET-Password" an dne Mann bringen wollte, aber es war nicht Zweck meiner Beitraege darauf irgendwie hinzuweisen.

                                Aber es ist doch interessant, dass man entweder das Password im Klartext speichern muss bzw. auf die Moeglichkeit der Ueberpruefung der Qualitaet des Passwords verzichten muss. Das aufzuzeigen schien mir von Interesse (wobei ich vorher natuerlich nicht wusste, dass das als Quintessenz herauskommen wird).

                                Gruss,
                                Ludger

                                1. Hi Ludger,

                                  Dein ANsatz zur Erhöhung der Passwortsicherheit durch Klartextspeicherung ist verfehlt, nicht nur weil Du einen weiteren Angriffspunkt inszenierst. Der Zugriff auf sämtliche Passwörter würde zusätzlich auch die klare Identifikation aller Aktivitäten auf dem Server in Zweifel ziehen.

                                  Aber es ist doch interessant, dass man entweder das Password im Klartext speichern muss bzw. auf die Moeglichkeit der Ueberpruefung der Qualitaet des Passwords verzichten muss.

                                  http://aktuell.de.selfhtml.org/artikel/gedanken/passwort/
                                  Christian hat in seinem Artikel sehr schön ausgeführt, welche Qualitätmerkmale es für Passwörter gibt. Ein großer Teil dieser Merkmale hat rein mathematische Qualitäten, natürlich erhöht sich die Zahl der Möglichkeiten drastisch, je mehr Zeichenbereiche ich verwende:
                                  nur Kleinbuchstaben des englischen Alphabets -> Klein- und Großbuchstaben -> plus Zahlen -> plus Sonderzeichen (falls möglich)

                                  Dass dies der Fall ist, braucht man nicht immer neu zu erproben. Dass es dennoch einen subjektiven Faktor gibt, ist ebenfalls klar. Solche Nummern wie die, Buchstaben seines Namens zum Teil durch "ähnliche" Zahlen zu ersetzen, dürfte wenig erfolgversprechend sein...

                                  Viele Grüße
                                  Mathias Bigge

                                  1. Hi,

                                    Dein ANsatz zur Erhöhung der Passwortsicherheit durch Klartextspeicherung ist verfehlt, nicht nur weil Du einen weiteren Angriffspunkt inszenierst.

                                    nun, speichert man das Password nicht, dann kann man aber im Nachhinein die Qualitaet der gespeicherten Passwoerter nicht ueberpruefen. Und das ist schlecht. Es scheint mir so zu sein, dass es keine ideale Loesung (diese waere: kein zus. Angriffspotential, aber dennoch die Moeglichkeit "ex post" die Password-Qualitaet zu ueberpruefen) gibt?!

                                    Der Zugriff auf sämtliche Passwörter würde zusätzlich auch die klare Identifikation aller Aktivitäten auf dem Server in Zweifel ziehen.

                                    Fuer solche Aussagen "liebe" ich Dich!   :-(

                                    Aber es ist doch interessant, dass man entweder das Password im Klartext speichern muss bzw. auf die Moeglichkeit der Ueberpruefung der Qualitaet des Passwords verzichten muss.
                                    http://aktuell.de.selfhtml.org/artikel/gedanken/passwort/
                                    Christian hat in seinem Artikel sehr schön ausgeführt, welche Qualitätmerkmale es für Passwörter gibt. Ein großer Teil dieser Merkmale hat rein mathematische Qualitäten, natürlich erhöht sich die Zahl der Möglichkeiten drastisch, je mehr Zeichenbereiche ich verwende:
                                    nur Kleinbuchstaben des englischen Alphabets -> Klein- und Großbuchstaben -> plus Zahlen -> plus Sonderzeichen (falls möglich)

                                    Alles richtig.

                                    Dass dies der Fall ist, braucht man nicht immer neu zu erproben. Dass es dennoch einen subjektiven Faktor gibt, ist ebenfalls klar. Solche Nummern wie die, Buchstaben seines Namens zum Teil durch "ähnliche" Zahlen zu ersetzen, dürfte wenig erfolgversprechend sein...

                                    Wiederum sehr gut herausgearbeitet.

                                    Gruss,
                                    Ludger

                                    1. hi,

                                      nun, speichert man das Password nicht, dann kann man aber im Nachhinein die Qualitaet der gespeicherten Passwoerter nicht ueberpruefen. Und das ist schlecht. Es scheint mir so zu sein, dass es keine ideale Loesung (diese waere: kein zus. Angriffspotential, aber dennoch die Moeglichkeit "ex post" die Password-Qualitaet zu ueberpruefen) gibt?!

                                      dann schalte diese überprüfung doch in regelmässigen/zufälligen intervallen beim _einloggen_ zwischen.

                                      der user tippt sein passwort ein, es wird per formular an dich übermittelt - noch hast du es im klartext vorliegen (*).
                                      jetzt kannst du deine überprüfungsroutine darauf ansetzen, und dem nutzer ggf. hinweise geben, dass sein passwort nicht mehr den _aktuellen_ anforderungen deinerseits entspricht, und er es bitte ändern möchte.
                                      ist alles OK, bildest du nach wie vor einfach den hash, und vergleichst in mit dem in der Db abgelegten.

                                      (*) im klartext im kontext deines scriptes. wenn wir schon solchen aufwand betreiben, sollten wir es natürlich nicht auch noch im klartext durchs www schicken, also ist HTTPS empfehlenswert.

                                      gruß,
                                      wahsaga

                                      --
                                      /voodoo.css:
                                      #GeorgeWBush { position:absolute; bottom:-6ft; }
                                      1. Hi,

                                        dann schalte diese überprüfung doch in regelmässigen/zufälligen intervallen beim _einloggen_ zwischen.

                                        jetzt koennte ich noch damit argumentieren, dass mir das nicht ausreicht, da ich ja sicherzustellen habe, dass der Datenbestand konsistent ist.   ;-)

                                        Aber hoert sich schon ganz gut an. Ist das Password unsicher, wird der Nutzer gezwungen es in ein sicheres zu verwandeln bevor er Zugriff erhaelt.

                                        Gute Idee!

                                        Gruss,
                                        Ludger

                                        1. Hallo Ludger,

                                          jetzt koennte ich noch damit argumentieren, dass mir das nicht ausreicht, da ich ja sicherzustellen habe, dass der Datenbestand konsistent ist.   ;-)

                                          Da das dein letztes Argument zu sein scheint mach ich das jetzt auch noch platt:

                                          Du kannst ja speichern, wann das Passwort zum letzten Mal geändert wurde,
                                          gucken, ob es inzwischen Änderungen an der Prüfungsroutine gegeben hat
                                          und es in einem solchen Fall nach einer Gnadenfrist von x Wochen
                                          löschen (oder ein neues generieren und dem User per E-Mail schicken).

                                          Gruß
                                          Alexander Brock

                                          --
                                          [latex]\lim_{3 \to 4}{\sqrt{3}} = 2[/latex]
                                          1. Hi,

                                            jetzt koennte ich noch damit argumentieren, dass mir das nicht ausreicht, da ich ja sicherzustellen habe, dass der Datenbestand konsistent ist.   ;-)

                                            Da das dein letztes Argument zu sein scheint mach ich das jetzt auch noch platt:

                                            pass mal auf Junge, das ist nicht "mein letzte Argument", das ist eines der Grundprinzipien defensiven Programmierens. Ich habs weiter oben auch dem anderen "IT-Experten" Mathias Bigge erklaert.

                                            Du kannst ja speichern, wann das Passwort zum letzten Mal geändert wurde,
                                            gucken, ob es inzwischen Änderungen an der Prüfungsroutine gegeben hat
                                            und es in einem solchen Fall nach einer Gnadenfrist von x Wochen
                                            löschen (oder ein neues generieren und dem User per E-Mail schicken).

                                            Frickeln soll ich, was?   ;-)

                                            Gruss,
                                            Ludger

                                            1. Hallo Ludger,

                                              Frickeln soll ich, was?   ;-)

                                              Toller Satz. Was ist dein Argument?

                                              Gruß
                                              Alexander Brock

                                              --
                                              Ceterum censeo Carthaginem esse delendam
                                              1. Hi,

                                                Frickeln soll ich, was?   ;-)

                                                Toller Satz. Was ist dein Argument?

                                                nun, das was Du vorschlaegst ist "Frickeln"! (Frickeln wird von mir zurzeit als Zusammenfriemeln irgendwelchen Codes definiert, durchaus gangbar fuers front-end, wesentlich weniger OK fuers back-end.)

                                                Gruss,
                                                Ludger

                                                --
                                                "Frickelt ruhig weiter!"
                                                1. Hi,

                                                  noch ein kleiner Webverweis zum "frickeln":
                                                  http://www.welt.de/data/2005/06/04/727418.html

                                                  Gruss,
                                                  Ludger

                                                2. Hallo Ludger,

                                                  nun, das was Du vorschlaegst ist "Frickeln"! (Frickeln wird von mir zurzeit als Zusammenfriemeln irgendwelchen Codes definiert, durchaus gangbar fuers front-end, wesentlich weniger OK fuers back-end.)

                                                  Ich habe dir nicht empfohlen, irgendwelchen Code zusammenzufriemeln,
                                                  sondern eine Möglichkeit aufgezeigt, den Datenbestand an einwegverschlüsselten
                                                  Passwörtern ohne Speicherung derselben im Klartext konsistent zu halten.

                                                  BTW: Wo wird "frickeln" definiert und von wem?

                                                  Gruß
                                                  Alexander Brock

                                                  --
                                                  Ceterum censeo Carthaginem esse delendam
                                                  1. Hi,

                                                    Ich habe dir nicht empfohlen, irgendwelchen Code zusammenzufriemeln,
                                                    sondern eine Möglichkeit aufgezeigt, den Datenbestand an einwegverschlüsselten
                                                    Passwörtern ohne Speicherung derselben im Klartext konsistent zu halten.

                                                    na gut, ich lese mirs noch mal durch. Also:

                                                    Du kannst ja speichern, wann das Passwort zum letzten Mal geändert wurde,

                                                    OK, ich setze einen Zeitstempel bei der Neuanlage und bei der Aenderung eines Passwords.

                                                    gucken, ob es inzwischen Änderungen an der Prüfungsroutine gegeben hat

                                                    Wann gucken? Und ist es cool zu gucken, wann Code geaendert worden ist? Und wie macht man das genau und zuverlaessig? Mit dem Filesystem? Oder Codeaenderungen ans RDBMS binden? Und ist das dann denn auch schoen robust und defensiv?

                                                    und es in einem solchen Fall nach einer Gnadenfrist von x Wochen

                                                    löschen (oder ein neues generieren und dem User per E-Mail schicken).

                                                    Huestel.   ;-)

                                                    BTW: Wo wird "frickeln" definiert und von wem?

                                                    Nirgendwo. Das Wort gibt es (noch) nicht offiziell.
                                                    http://app.mr-check.de/a31db05310e9661a316a6a618b708208/v2.0/Mrcheck.php?CID=tanto1&SB=frickeln
                                                    Scheint aber ein Reizwort zu sein hier.
                                                    Google hat auch nur 6.870 Treffer.
                                                    Wahrscheinlich eine reizausloesende Antwort auf os und LINUX oder so aus dem "Bauernmilieu", vom "Holz", von Heise M$-Fans?

                                                    Gruss,
                                                    Ludger

                                                    1. Hallo Ludger,

                                                      gucken, ob es inzwischen Änderungen an der Prüfungsroutine gegeben hat

                                                      Wann gucken? Und ist es cool zu gucken, wann Code geaendert worden ist? Und wie macht man das genau und zuverlaessig? Mit dem Filesystem? Oder Codeaenderungen ans RDBMS binden? Und ist das dann denn auch schoen robust und defensiv?

                                                      Einfach Änderungen an der Prüfroutine protokollieren und
                                                      immer beim einloggen schauen, ob Passwort oder Prüfroutine
                                                      älter ist.

                                                      und es in einem solchen Fall nach einer Gnadenfrist von x Wochen
                                                      löschen (oder ein neues generieren und dem User per E-Mail schicken).

                                                      Huestel.   ;-)

                                                      Wo ist das Problem? Wenn dir E-Mail zu unsicher ist kannst
                                                      du es ja verschlüsselt oder per Briefpost verschicken.

                                                      Nirgendwo. Das Wort gibt es (noch) nicht offiziell.

                                                      Warum verwendest du es dann so häufig?

                                                      Gruß
                                                      Alexander Brock

                                                      --
                                                      [latex]\lim_{3 \to 4}{\sqrt{3}} = 2[/latex]
                            3. Hi Ludger,

                              D.h. irgendwann kann man mit absoluter Sicherheit davon ausgehen, dass die moeglicherweise einstmals erfassten sicheren Kennwoerter (zumindest in Teilen) unsicher sind.

                              Dem begegnet man durch den Zwang zur regelmäßigen Passwortänderung.

                              Viele Grüße
                              Mathias Bigge

                              1. Hi,

                                D.h. irgendwann kann man mit absoluter Sicherheit davon ausgehen, dass die moeglicherweise einstmals erfassten sicheren Kennwoerter (zumindest in Teilen) unsicher sind.

                                Dem begegnet man durch den Zwang zur regelmäßigen Passwortänderung.

                                gut, aber wenn die Routine, die nur "sichere" Passwoerter durchlaesst, buggy ist?

                                Hintergundinformation:
                                Eine Routine kann buggy sein, darum versucht man immer defensiv zu programmieren und - doppelt haelt besser - sicherzustellen, dass zwei Bugs zusammenwirken muessen, damit unerwuenschte Ergebnisse in der Datenhaltung auftreten. (Ein seltenes Ereignis tritt selten auf, ein Ereignis der o.g. Art tritt "selten * selten" auf.)
                                Man macht das dann in der Praxis oft so, dass man mit Einstellungen auf Tabellen oder Spaltenebene eines RDBMS arbeitet. Ist der Datenzugriff buggy, dann wird eine geeignete Einstellung auf Datenfeldebene die versuchte Speicherung der Daten ins RDBMS mit einer Fehlermeldung quittieren.
                                Und genau diese "doppelte Sicherheit" ist bei Passwoertern nur programmierbar, wenn diese im Klartext gespeichert werden.

                                Gruss,
                                Ludger

                  2. 你好 wahsaga,

                    oftmals eingesetzt wird MD5 - und um da eine kollision zu finden, musst du
                    schon 'ne menge starker rechner eine ganze zeit lang knobeln lassen.

                    Nee, nicht mehr wirklich. Xiaoyun Wang & Co habens in vier Stunden
                    geschafft.

                    Ausserdem sind Pruefsummen zudem auch potentiell unsicherer und es
                    koennte Kollisionen geben.

                    ja, natürlich.
                    aber der aufwand, eine solche zu einer vorliegenden prüfsumme zu finden,
                    ist immer noch extrem hoch.
                    ja, bei MD5 gab's vor einiger zeit von ein paar chinesen (IIRC) ein
                    paper, das einiges an aufsehen erregt hat.
                    aber wem MD5 zu schwach erscheint, der kann ja SHA-1 o.ä. nehmen.

                    Ich muss hier nochmal deutlich betonen: MD5 ist broken und nicht mehr
                    sicher. Dasselbe gilt für SHA-0 und SHA-1; es sind zwar immer noch 2^69
                    (SHA-1) bzw. 2^39 (SHA-0) Operationen nötig, aber es ist wohl absehbar,
                    dass sich das noch weiter verringern lässt. Wer sichere Hashing-Algorithmen
                    braucht (etwa, um Passwörter zu speichern), der sollte auf die SHA-2-Familie
                    setzen.

                    再见,
                    克里斯蒂安

                    --
                    <g[oma]> peter lustig ist auf jeden fall besser als peter huth, obwohl der auch lustig ist.
                    http://wwwtech.de/
  2. Hi,

    Weniger schön ist allerdings, dass viele scheinbar alle zwei Wochen ihren Benutzernamen, ihr Paßwort oder beides vergessen und sich anschließend neu registrieren. Das ist ja nicht Sinn der Sache.

    mache ein dauerhaftes Bestehen attraktiv.

    Viele haben auch bei der Anmeldung Paßwörter angegeben, die wirklich primitiv und einfach geläufige Fachbegriffe aus dem Fachgebiet des Forums sind.

    Errechne einen Sicherheitswert für Passwörter. Lehne solche unter einer bestimmten Grenze ab.

    Nun geht es - wie nicht anders zu erwarten - schon los, dass irgendjemand die ganzen Paßwörter errät (beim Schreiben eines Beitrags muß nur das Paßwort, nicht der Benutzername angegeben werden).

    Der Ersteller dieses Forums ist blöd. Ein Passwort hat niemals alleine eine Bedeutung; ausschließlich im Kontext seines Benutzers kann es existieren. Stell Dir mal die Meldung "Bitte wählen Sie ein anderes Passwort; dieses ist bereits vergeben." bei der Registrierung vor ...

    Und schon herrscht das schönste Chaos, dutzende Beiträge unter fremden Namen tauchen auf, jeder macht jeden dafür verantwortlich und alle schieben die Schuld auf den Admin.

    Und mit was? Mit Recht. Der Admin ist verantwortlich für die Software, und die Software ist extrem mangelbehaftet.

    Jetzt habe ich extra auf der Registrierungsseite schon dazugeschrieben, die Leute sollen sich anständige Paßwörter ausdenken. Aber nein, es kommen immer wieder Leute, die sich mit "Hallo" anmelden wollen.

    Natürlich. Wozu sollten sie auch die Bitte von irgend einem Hansel erfüllen, den sie gar nicht kennen wollen?

    Oder die bei der Anmeldung zwar ein Paßwort, aber keinen Benutzernamen angeben und dann eine Beschwerdemail abschicken, wenn es nicht klappt.

    Hat ihnen die Software den Grund dazu nicht mitgeteilt? Sechs, setzen.

    Und wenn man ihnen dann erklärt, wo ihr Fehler liegt, machen sie den gleichen Fehler nochmal und wieder und wieder. Total lernbefreit.

    Natürlich. Der Benutzer ist immer nur so gut wie die Benutzerführung.

    Und irgendwann kommt dann eine Mail an: "Jetzt versuche ich es schon zum achten Mal, und es klappt immer noch nicht!" Tatsächlich ist die Liste der Neuanmeldungen voll mit Fehlermeldungen...

    Warum landen Fehler in einer Liste von Neuanmeldungen? Fehler bei der Anmeldung führen zu dem Fehlen der Anmeldung.

    Nein, das war jetzt keine Anfrage im eigentlichen Sinne. Ich wollte mich nur mal unter verständnisvollen Mitmenschen ausheulen über die Dummheit der Menschen im Allgemeinen... Vielen Dank für euer Verständnis.

    Gerne doch. Allerdings findest Du bei mir solange kein Verständnis, wie Du mir nicht klar machen kannst, dass die von Dir eingesetzte Software brauchbar ist. Laut Deiner Beschreibung ist sie es nicht mal im Ansatz.

    Cheatah

    --
    X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
    X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
    X-Will-Answer-Email: No
    X-Please-Search-Archive-First: Absolutely Yes
    1. Hallo,

      mache ein dauerhaftes Bestehen attraktiv.

      Was heißt das praktisch gesehen?

      Errechne einen Sicherheitswert für Passwörter. Lehne solche unter einer bestimmten Grenze ab.

      Das habe ich eine Weile lang versucht. Einige Benutzer haben es danach nur einmal versucht, sich anzumelden, und als das nicht klappte, haben sie es aufgegeben.

      Der Ersteller dieses Forums ist blöd.

      http://www.parsimony.net - Stimmt. Aber es ist vorgegeben vom eigentlichen Besitzer der Seite. Ich bin mehr oder weniger nur der Betreuer. (Ist ein bißchen kompliziert.)

      Und schon herrscht das schönste Chaos, dutzende Beiträge unter fremden Namen tauchen auf, jeder macht jeden dafür verantwortlich und alle schieben die Schuld auf den Admin.

      Und mit was? Mit Recht. Der Admin ist verantwortlich für die Software, und die Software ist extrem mangelbehaftet.

      Wie gesagt, Admin heißt hier, dass er die fehlerhafte Software betreuen und warten muß. (Das alleine ist schon schwierig genug.)

      Jetzt habe ich extra auf der Registrierungsseite schon dazugeschrieben, die Leute sollen sich anständige Paßwörter ausdenken. Aber nein, es kommen immer wieder Leute, die sich mit "Hallo" anmelden wollen.

      Natürlich. Wozu sollten sie auch die Bitte von irgend einem Hansel erfüllen, den sie gar nicht kennen wollen?

      Kann man denn, was Sicherheitsfragen angeht, so blauäugig sein?

      Oder die bei der Anmeldung zwar ein Paßwort, aber keinen Benutzernamen angeben und dann eine Beschwerdemail abschicken, wenn es nicht klappt.
      Hat ihnen die Software den Grund dazu nicht mitgeteilt? Sechs, setzen.

      Hat sie.

      Natürlich. Der Benutzer ist immer nur so gut wie die Benutzerführung.

      Die Benutzerführung ist mittelmäßig, aber durchschaubar. Aber die Benutzer sind viel dümmer. Beides bringt mich zur Verzweiflung. Schau doch mal, wenn dransteht: "Bitte geben Sie einen Benutzernamen ein!" - ist das in irgendeiner Weise mißverständlich? Und trotzdem schaffen viele nicht einmal das.

      Und irgendwann kommt dann eine Mail an: "Jetzt versuche ich es schon zum achten Mal, und es klappt immer noch nicht!" Tatsächlich ist die Liste der Neuanmeldungen voll mit Fehlermeldungen...
      Warum landen Fehler in einer Liste von Neuanmeldungen? Fehler bei der Anmeldung führen zu dem Fehlen der Anmeldung.

      Weil in dieser Liste alle Ereignisse landen, geglückte und gescheiterte Neuanmeldungen.

      Gerne doch. Allerdings findest Du bei mir solange kein Verständnis, wie Du mir nicht klar machen kannst, dass die von Dir eingesetzte Software brauchbar ist.

      Sie ist brauchbar. Genauso wie ein alter Lada als Auto brauchbar ist. Es funktioniert. Mehr aber auch nicht. Doch auch einen Lada kann man entweder von A nach B fahren oder nach der ersten Ecke rückwärts in den Graben setzen.

      Laut Deiner Beschreibung ist sie es nicht mal im Ansatz.

      Darauf habe ich leider keinen Einfluß...

      Christophorus

      1. Moin!

        mache ein dauerhaftes Bestehen attraktiv.

        Was heißt das praktisch gesehen?

        Deine bisherige Schilderung läßt erwarten, dass die Benutzer als einzigen Vorteil einer Registrierung nur die Tatsache haben, dass sie dann ins Forum reinschreiben können. Ansonsten hat die Existenz eines Accounts keinerlei Mehrwert, wie beispielsweise in diesem Forum (welches eine Anmeldung ausschließlich wegen Mehrwerteffekten anbietet).

        Solange es aber irrelevant ist, ob man sich zum Schreiben einer Nachricht nun mit einem neuen oder alten Account anmeldet, solange wird es den Leuten beim Vergessen ihrer Zugangsdaten auch herzlich egal sein, sich einfach neu anzumelden. Und ich bezweifle auch, dass es als Grund ausreichen würde, wenn man nur mit seinem alten Account seinen Nickname im Forum benutzen könnte - dann wechselt man eben seinen Namen, oder zählt irgendeine Nummer hoch.

        In letzter Konsequenz wirkt so ein Registrierungszwang möglicherweise sogar so negativ, dass irgendwann keiner mehr am Forum teilnimmt, außer den Vollidioten und Trollen (die ja kein Problem haben, nach Sperrung ihres alten Accounts einfach einen neuen aufzumachen).

        Das habe ich eine Weile lang versucht. Einige Benutzer haben es danach nur einmal versucht, sich anzumelden, und als das nicht klappte, haben sie es aufgegeben.

        Was ja irgendwie beweist, dass so ein Registrierungszwang für Foren keinen Hochsicherheitsbereich eröffnen kann, also auch Anforderungen an Passworte nicht zu hoch sein können. Wer als Benutzer ein leicht zu ratendes Passwort benutzt und damit Fremdbenutzung ermöglicht, der hat die Nachteile zu tragen. Wenn es keine Nachteile gibt, weil die Registrierung eigentlich nur zum Bremsen des Postingflusses von Trollen dienen soll, warum soll man sich dann drum scheren, was mit dem Account passiert?

        Du wirst einfach auf keinerlei Problembewußtsein treffen, weshalb freiwillige Mitarbeit ausgeschlossen ist. Also entweder verzichtest du auf deine hohen Anforderungen, oder du setzt Zwangsmaßnahmen durch. Aber je stärker der Zwang, desto weniger Benutzer werden übrig bleiben, die diese Hürde überwinden wollen.

        Natürlich. Wozu sollten sie auch die Bitte von irgend einem Hansel erfüllen, den sie gar nicht kennen wollen?

        Kann man denn, was Sicherheitsfragen angeht, so blauäugig sein?

        Ja.

        • Sven Rautenberg
        1. Hallo zusammen,

          Du wirst einfach auf keinerlei Problembewußtsein treffen, weshalb freiwillige Mitarbeit ausgeschlossen ist. Also entweder verzichtest du auf deine hohen Anforderungen, oder du setzt Zwangsmaßnahmen durch. Aber je stärker der Zwang, desto weniger Benutzer werden übrig bleiben, die diese Hürde überwinden wollen.

          Wobei hier die Frage zu stellen ist, ob es dem Betreiber des Forums darauf ankommt, dass viele Benutzer sein Forum frequentieren oder ob vielleicht weniger Benutzer einen qualitativ hochwertigeren Aufenthalt garantieren.

          Vernünftige Menschen sehen, gerade in diesem doch recht anonymen Bereich, den ein Internetforum darstellt, Zwangsmassnahmen ein, wenn sie entsprechend erklärt sind. Diejenigen, die die Zwangsmassnahmen trotz entsprechender Erklärung nicht einsehen möchten, sind meist auch identisch mit der Gruppe der Trolle und Querulanten, die sowieso kein Mensch braucht.

          Vielleicht möchtest du, Christophorus, dem Betreiber des Forums den Unterschied zwischen Quantität und Qualität erklären. Das könnte einige deiner nicht-softwareseitigen Problem recht schnell lösen.

          File Griese,

          Stonie

          --
          Ein schlechtes Statement spricht für sich - jeder Kommentar ist verschwendete Energie, die einem bei wirklich wichtigen Unterfangen fehlen könnte.
    2. Hi,

      Der Ersteller dieses Forums ist blöd.

      richtig, es ist nie der Nutzer, der bloed ist, sondern immer der Entwickler. Ausnahmslos!
      Oder anders gesagt, der Nutzer darf bzw. muss kontextabhaengig bloed sein, der Entwickler darf es fast nie sein, bestenfalls fuer so zu sagen mit dem Nutzer konkurrierende Emulationszwecke darf dieser sich temporaer ein wenig, aeeh, verbloeden.

      Und wenn man ihnen dann erklärt, wo ihr Fehler liegt, machen sie den gleichen Fehler nochmal und wieder und wieder. Total lernbefreit.

      Natürlich. Der Benutzer ist immer nur so gut wie die Benutzerführung.

      Lustig ist, dass man den Nutzer nie begruendet kritisieren kann, dafuer aber um so mehr den Abnehmer bzw. "Produktmanager".

      Nein, das war jetzt keine Anfrage im eigentlichen Sinne. Ich wollte mich nur mal unter verständnisvollen Mitmenschen ausheulen über die Dummheit der Menschen im Allgemeinen... Vielen Dank für euer Verständnis.

      Gerne doch.

      Ja, das war schoen lustig.

      Gruss,
      Ludger

      --
      "Man nennt mich auch den Verstaendnisvollen."
  3. Moin!

    obwohl Stammposter, schreibe ich heute nicht unter meinem richtigen Namen--ich will nicht, dass Personen, die mein Forum benutzen, hier reinschauen und sich angepißt fühlen.

    Denn Grund dazu hätten sie durchaus.

    Naja, bei so einem blöden Forumsadmin ja auch kein Wunder, oder? :)

    Nachdem öfters Trolle versucht haben, das Forum (teilweise mit sehr persönlichen Angriffen) zu sabotieren, habe ich einen Registrierungszwang eingeführt.

    Erfahrungswert Nr. 1 aus dem Betrieb DIESES Forums hier: Technik verhindert keine Blödheit. Wenn du Probleme mit Trollen hast, hast du ein Problem mit Menschen, welches auch auf menschlicher Ebene gelöst werden muß. Und wohlmöglich administrativ, also löschen, löschen, löschen...

    Weniger schön ist allerdings, dass viele scheinbar alle zwei Wochen ihren Benutzernamen, ihr Paßwort oder beides vergessen und sich anschließend neu registrieren.

    Passiert. Kannst du einfach ignorieren. Wenn die Accounts nach einer Zeit der Nichtbenutzung verfallen und gelöscht werden, sammelt sich da auch nichts unnötiges an. Wird in diesem Forum hier auch gemacht (da kriegt der Benutzer IIRC aber vorher noch eine Mail - und er kann sich sein Passwort auch zumailen lassen, wenn er es vergessen hat).

    Das ist ja nicht Sinn der Sache.

    Du machst dir zuviele Gedanken.

    Viele haben auch bei der Anmeldung Paßwörter angegeben, die wirklich primitiv und einfach geläufige Fachbegriffe aus dem Fachgebiet des Forums sind.

    Ein vernünftiges Passwort zu erzwingen ist Sache des Programmierers. Also DEINE Sache. Wenn du Passwörter mit einem Zeichen zuläßt, oder mit welchen, die keine Zahlen und/oder keine Sonderzeichen enthalten, und mit einer Wörterbuchattacke angreifbar sind, dann sind die Resultate deine Schuld. Du hättest ja die Anforderungen an die Passwörter strenger machen können.

    Gerade eben habe ich einen rausgeworfen, der einfach seinen Benutzernamen als Paßwort angegeben hatte.

    Selbst schuld, wenn du keine Abfrage "$password==$username" einbaust. Denjenigen deswegen rauszuwerfen würde mich allerdings nicht wirklich einfallen.

    Nun geht es - wie nicht anders zu erwarten - schon los, dass irgendjemand die ganzen Paßwörter errät (beim Schreiben eines Beitrags muß nur das Paßwort, nicht der Benutzername angegeben werden).

    Das ist ja auch richtig scheiße programmiert von dir. Was ist das denn für ein System, wo man nur ein gültiges Passwort erraten muß? Und offenbar hat dabei jemand so richtig viel Spaß. Konsequenz: Entweder implementierst du diese Anmeldung richtig, oder du schmeißt sie wieder raus.

    Und schon herrscht das schönste Chaos, dutzende Beiträge unter fremden Namen tauchen auf, jeder macht jeden dafür verantwortlich und alle schieben die Schuld auf den Admin.

    Stimmt ja auch.

    Jetzt habe ich extra auf der Registrierungsseite schon dazugeschrieben, die Leute sollen sich anständige Paßwörter ausdenken. Aber nein, es kommen immer wieder Leute, die sich mit "Hallo" anmelden wollen.

    Fünf Buchstaben aus einem Wörterbuch als Passwort zuzulassen -> deine Schuld.

    Oder die bei der Anmeldung zwar ein Paßwort, aber keinen Benutzernamen angeben und dann eine Beschwerdemail abschicken, wenn es nicht klappt. Und wenn man ihnen dann erklärt, wo ihr Fehler liegt, machen sie den gleichen Fehler nochmal und wieder und wieder. Total lernbefreit.

    Schlechte Benutzerführung. Eindeutige Fehlermeldungen und vernünftige Benutzeroberflächen würden sowas verhindern.

    Und irgendwann kommt dann eine Mail an: "Jetzt versuche ich es schon zum achten Mal, und es klappt immer noch nicht!" Tatsächlich ist die Liste der Neuanmeldungen voll mit Fehlermeldungen...

    Da solltest du mal den Fehler bei dir und deiner Anmeldung suchen. Ist das Prinzip und die Vorgehensweise klar? Dir bestimmt, aber auch den anderen? Werden sinnvolle Fehlermeldungen ausgegeben, und zwar nicht allgemein "Ein Fehler ist aufgetreten", sondern konkret beschrieben, a) was das Problem ist und b) wie man es lösen kann?

    Nein, das war jetzt keine Anfrage im eigentlichen Sinne. Ich wollte mich nur mal unter verständnisvollen Mitmenschen ausheulen über die Dummheit der Menschen im Allgemeinen... Vielen Dank für euer Verständnis.

    Nein, das war jetzt auch keine Antwort im eigentlichen Sinne, ich ... ;)

    • Sven Rautenberg
    1. Heißa, Sven,

      Passiert. Kannst du einfach ignorieren. Wenn die Accounts nach einer Zeit der Nichtbenutzung verfallen und gelöscht werden, sammelt sich da auch nichts unnötiges an. Wird in diesem Forum hier auch gemacht (da kriegt der Benutzer IIRC aber vorher noch eine Mail - und er kann sich sein Passwort auch zumailen lassen, wenn er es vergessen hat).

      Nach welchem Zeitraum geschieht das denn hier im Forum? Heißt das, dass wenn ich mal länger in den Urlaub oder sonst wohin fahre, dass dann mein Account gelöscht wird?

      Gautera!
      Grüße aus Biberach Riss,
      Candid Dauth

      --
      „Zigaretten bei Leuten sorgen dafür, dass es mich nicht mehr interessiert, ob jene Leute Zigaretten besitzen, da mich solche Leute dann nicht mehr interessieren.“ | Mein SelfCode
      http://cdauth.de/
    2. 你好 Sven,

      [... Accounts verfallen lassen ...] Wird in diesem Forum hier auch
      gemacht (da kriegt der Benutzer IIRC aber vorher noch eine Mail [...]

      Nein, das wird hier nicht gemacht. Schlicht und ergreifend deshalb, weil
      die Benutzerverwaltung inzwischen vollkommen losgelöst vom Forum selber
      ist.

      再见,
      克里斯蒂安

      --
      <g[oma]> peter lustig ist auf jeden fall besser als peter huth, obwohl der auch lustig ist.
      http://wwwtech.de/
  4. N'Obend

    Hallo Forum,

    Denn Grund dazu hätten sie durchaus. Herrje, ich habe selten einen idiotischeren Haufen gesehen.

    "Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning." Rich Cook

    Deine Aufgabe ist es dennoch zu versuchen zu gewinnen. Der Benutzer ist nie schuld wenn was nicht klappt.
    Das macht die Sache aber auch so spannend :)

    Tschö,
    dbenzhuser

    --
    Heute in der Reihe „unser Ranking soll schöner werden“:
    Gefälschte Musikinstrumente Marke Bessons
    1. Hi,

      "Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning." Rich Cook

      ich hatte mal mit einem Freund von mir diskutiert, was die sinnvollste Definition der Idiotie ist. Wir hatten uns darauf geeinigt, dass ein Idiot jemand ist, dessen Verhalten nie auch nur halbwegs begruendet auf das Anstreben irgendeines Ziels schliessen laesst.

      Das wuerde dann bedeuten, dass Idiotie als limitiert zu verstehen ist.

      Waere diese es nicht, dann wuerde der groesste und beste Idiot ja irgendwann - wenn auch ganz langsam - schlau werden. Oder es gaebe Widersprueche mit der Definition. (So wie der eine oder andere Forumsnutzer hier.   ;-)

      Gruss,
      Ludger

  5. Hallo,

    ich will nicht, dass Personen, die mein Forum benutzen, hier reinschauen und sich angepißt fühlen.

    warum nicht? Wie soll sich denn ein Angepißter sonst fühlen?

    Herrje, ich habe selten einen idiotischeren Haufen gesehen.

    vermutlich denken Deine User über Dich genauso, wie Du über sie. Über Trolle würde ich mich da nicht wundern...

    Weniger schön ist allerdings, dass viele scheinbar alle zwei Wochen ihren Benutzernamen, ihr Paßwort oder beides vergessen und sich anschließend neu registrieren.

    hehe :-), schonmal daran gedacht, daß es der Troll vielleicht witzig findet, sein PW zu "vergessen"?

    (beim Schreiben eines Beitrags muß nur das Paßwort, nicht der Benutzername angegeben werden).

    eieiei... dümmer geht's wohl kaum. Richte es doch gleich so ein, daß der im Posting angegebene Absendername zugleich automatisch das Passwort ist ;-)

    alle schieben die Schuld auf den Admin.

    richtig so.

    Total lernbefreit.

    vielleicht versuchen sie, Dein Niveau zu unterbieten. Man soll ja nicht intelligenter sein als der Chef - jedenfalls soll er es nicht merken ;-)

    Gruß, Andreas

    --
    SELFFORUM - hier werden Sie geholfen,
    auch in Fragen zu richtiges Deutsch