Opened 11 years ago
Last modified 11 years ago
#490 closed Bug/Fehler
An Fehlermeldung kann man erkennen ob eine Email-Adresse im Shop existiert — at Version 1
| Reported by: | Volker Strähle | Owned by: | somebody |
|---|---|---|---|
| Priority: | hoch | Milestone: | modified-shop-2.0.0.0 |
| Component: | Sicherheit | Version: | 2.0.0.0 |
| Keywords: | Cc: | ||
| Blocked By: | Blocking: |
Description (last modified by )
Wenn man beim Versuch sich einzuloggen ein falsches Passwort eingibt kommt nach einigen Fehlerversuchen zusätzlich ein Captcha. Dies setzt aber voraus, ass die Email-Adresse im Shop existiert.
Existiert die Email-Adress im Shop nicht, dann kommt auch nach 10 Anmeldeversuchen kein Captcha.
Ein Angreifer kann so erkennen, dass die für den Login-Versuch benutzte Email-Adresse gültig oder ungültig ist.
Note:
See TracTickets
for help on using tickets.
