Ich sehe das mit der Mail etwas anders. Wenn ein Hacker Zugriff auf deine Mailadresse hat, ist es meistens doch sowieso zu spät. Weil das Passwort für den Hoster z.B. dort drin sein sollte. Oder die Passwort zurücksetzen Funktion von ihm. Der Blog ist dann die kleinste Sorge.
Naja, die hoster die ich empfehle geben Passwörter und Daten nur per 2-Factor-Auth wieder. Ich müsste mich dann telefonisch oder per SMS/Handy zusätzlich autorisieren.
Wir könnens von mir auch auch erstmal in einem Plugin umsetzen, aber imho gehört das in den Core. Deaktivierbar. Sonst erreicht das die Leute überhaupt nicht, denen das helfen könnte.
Darüber lässt sich diskutieren; auf jeden Fall würde ich es nicht standardmäßig aktiviert sehen wollen.
LG,
Garvin
# Garvin Hicking (s9y Developer)
# Did I help you? Consider making me happy: http://wishes.garv.in/
# or use my PayPal account "paypal {at} supergarv (dot) de"
# My "other" hobby: http://flickr.garv.in/
onli wrote:Wir haben sogar ein browserid-Plugin, und das ist der beste Loginweg überhaupt.
Das mag technisch stimmen, aber das kennt und benutzt kein Mensch. Bei allem Enthusiasmus für Open Source und dezentrale Netzwerke, aber das ist in meinen Augen am Normalnutzer vorbei gedacht.
Der Normalnutzer kennt Login per Facebook, Google und Twitter, aber weder OpenID noch browserid.
Es ist auch völlig egal, ob das jemand kennt. Es fragt den Nutzer nach einer Emailadresse zum Login, die kennt er. Ich mein das schon in mehr als nur dem technischen oder ideologischen Sinn.
Es löst aber nicht das konkrete Problem hier, außer wir würden s9y ganz drauf umstellen. Das ist wohl eher illusorisch.
FrauStaenki wrote:Bitte für die EIngabe des Passworts im Backend zwei Möglichkeiten berücksichtigen:
Entweder Eingabe im Klartext (ich sehe nicht, warum der Admin selber nicht sein eigenes Passwort sehen sollte …) oder zumindest die Möglichkeit, das Passwort in einem zweiten Eingabefeld zu überprüfen, damit man nicht aus Versehen ein falsches Passwort anlegt und das noch nicht einmal sieht …
Unabhängig von der Frage, ob das Problem wirklich da liegt, ein Tip: ich lege ein neues Passwort (ganz egal, ob von einem Passwortgenerator erzeugt oder von mir selbst ausgedacht) immer zuerst in einem Texteditor ab und kopiere es von da mit copy&paste ins Eingabefeld. Danach speichere ich es sofort in meinem Passwortmanager (alternativ: in einer (verschlüsselten) Datei, drucke es aus, schreibe es ab ...). Auf diese Weise sind Vertipper und Vergessen ausgeschlossen. (Das passiert mir nämlich sonst dauernd.)