[Info Harvest] Verhalten bei Registrierung von im Sys. bekannten E-Mail/Benutzer

#0
21.10.2017, 08:00
TrueITK
zu Gast
#1 Hallo Forum,
wir programmieren gerade ein Userlogin, für unseren Kunden- und Händlerbereich, und versuchen dabei alles nach allen Anforderungen richtig zu machen. ;)

Wie ist das "Datenschutz respektierende" Verhalten für den Fall, wenn ein Besucher bei seiner Registrierung, versucht eine in der Datenbank schon bekannte also hinterlegte E-Mail-Adresse oder Benutzernamen zu verwenden?

Selbstverständlich kann die Registrierung somit nicht durchgeführt werden.
Allerdings eine Rückmeldung in Form von "Die gewählte E-Mail-Adresse wird schon verwendet" könnte man ja, bzw. wird ja auch gerne für informations gathering genutzt.

Meine Idee: Wenn versucht wird eine E-Mail-Adresse zu registrieren, welche bekannt ist, würde ich ohne offensichtliche Rückmeldung der Adresse eine Mail senden und dem Benutzer dahinter informieren, was versucht wurde, mit der rein rhetorischen fragen, ob " und wenn ja, ihm die Passwortvergessen Funktion anzubieten. (???)

Dem aktuellen Besucher würde ich die Registrierung, auch wegen dem "Beweis der nicht Funktion" allerdings noch vormachen müssen das die Registrierung weiter und erfolgreich abläuft. (????)

Begündete Meinungen würden mich freuen.

Vielen Dank und Gruß
Seitenanfang Seitenende
24.10.2017, 19:28
Member
Avatar TurnRstereO

Beiträge: 1543
#2 Da läuft also ein Loginscript gegen Dein System und jede richtig geratene E-Mail wird mit einer E-Mail im Posteingang belohnt?
Kann ich das dann 1000 mal laufen lassen und jeder bei Dir hat 1000 E-Mails im Fach?
10000 mal?

Geil.

Ansonsten denke ich mal, hier wird wenig response kommen, jeder will ja auch was vom Kuchen haben.
Seitenanfang Seitenende
24.10.2017, 19:56
TrueITK
zu Gast

Themenstarter
#3 Hallo TurnRstere0,
vielen Dank für deine Rückmeldung.

Du denkst an eine Brute Force Attacke? Diese ist ja leicht mit einem CAPTCHA gelöst.
In erster Linie geht es nicht um den Login, sondern um die Registrierung eines neuen Accounts.

Bei einem Login ist das Thema meiner Meinung nach einfach. Dort gibt es eine Rückmeldung das die Kombination aus E-Mail-Adresse und Passwort nicht bekannt sind... "bitte versuchen Sie es noch ein Mal oder verwenden die Passwort vergessen Funktion". Das sagt nicht aus das explizit diese E-Mail-Adresse in Verwendung ist.

Es geht um die tatsächliche Neuregistrieung, dort würde eine Rückmeldung im Sinne von "Diese E-Mail-Adresse ist schon in verwendung" u.a. den Besucher eindeutig aussagen das diese E-Mail (= Kundendaten) tatsächlich existieren.

Mir kommt keine andere Lösung in den Sinn, als bei einer versuchten Neuregistrierung eines vorhandenen Accounts, den Inhaber der E-Mail-Adresse eine Mitteilung zu senden. Wenn der vorhande Benutzer tatsächlich diese Registrierung nicht veranlasst hat, liegt das ursprüngliche Problem ja nicht am Login, sondern beim aktuellen Benutzer - er wird ja durch eine solche Aktion versucht zu Schaden.

Zum Schluß, was meinst du mit "Ansonsten denke ich mal, hier wird wenig response kommen, jeder will ja auch was vom Kuchen haben."?

Meinst du damit meinen Beitrag?
Seitenanfang Seitenende
25.10.2017, 18:33
Member
Avatar TurnRstereO

Beiträge: 1543
#4 Ja gut, nicht Login sondern Accountregistrierung..
Anyway, ist das gleiche.
Script ist script und auszufüllende Formularmaske ist Formularmaske.
Im Endeffekt müllst Du nur die echten bereits registrierten Accounts voll... also werfe den Gedanken einfach über Bord.
Zu kompliziert, zu fehleranfällig.

Und sagtest Du Captcha? Ich geh kaputt...
Wenn mir ein Dienstleister oder auch Angestellter mit Captcha kommen würde, würde ich ernsthaft über Entlassung nachdenken...

Mach Dich mal schlau, was alles machbar ist.. Captchas sind out of state of art sozusagen...
Schon lange weder den Menschen vorbehalten noch unknackbar.
Da genügt ein Blick in Wikipedia um das SOFORT auszuschließen.

Aber eventuell bilde ich mir das nur ein?

Und wegen der Response...
erstens ist das Forum hier tot.
zweitens sieht es ja so aus, als ob Du damit Geld verdienen willst?
Frag doch mal gleich ob Dir das jemand codet? Eventuell findet sich ja jemand.

Nee ernsthaft.. falsche Stelle hier, versuchs mal auf reddit oder sowas.
Seitenanfang Seitenende
25.10.2017, 18:57
TrueITK
zu Gast

Themenstarter
#5 Hallo TurnRstere0,

also vielen Dank für deine Rückmeldung.

Leider sind wir nicht auf einer Höhe.
Ich widersprech dir vollkommen, außer bei der Beurteilung des Forums. Wobei ich dich mal auf deine Ausdrucksweise aufmerksam machen muss.

Zum Schluß, vom einer Programmierung hat niemand jemals was gesagt, ich wollte "eure" begründete und plausible Meinung zum Verhalten hiervon haben, und es geht auch nicht um eine Auftragsarbeit sondern um meine eigene Benutzerverwaltung. (Welche wir auf Github veröffentlichen werden.)

Ließ dir noch mal deine Antworten durch und halte dir mal den Spiegel vor.

Vielen Dank und Gruß
Dieser Beitrag wurde am 25.10.2017 um 19:11 Uhr von TrueITK editiert.
Seitenanfang Seitenende
25.10.2017, 19:11
Member
Avatar TurnRstereO

Beiträge: 1543
#6 Ja sorry, ich spreche natürlich nur für mich.
Just my 2 Cent

Und da habe ich wohl "wir programmieren gerade ein Userlogin" etwas falsch verstanden. Ist ja auch nicht wichtig wo Deine Rolle nun ist. Auf jeden Fall iwo im Projekt, um das es geht.

Und hier nochmal meine Meinung:
- keine E-Mail an einen vorhandenen Account... das bringt nur Last, die keine will.
- keine Captchas! Wenn man feststellen will, ob da ein Mensch sitzt, gibt es bessere Möglichkeiten (Tippverhalten, Responsezeit, Browserdaten... was weiß ich)

Und ich drücke Dir die Daumen, gibt ja viele die hier mitlesen und bestimmt findet sich noch die eine oder andere Meinung zu Deinem Projekt. Viel Glück.

Ich für meinen Teil, bin raus aus der Diskussion, es sei denn es wird noch mal spannend.

T S
Seitenanfang Seitenende
27.10.2017, 22:32
Moderator
Avatar hevtig

Beiträge: 2312
#7 Hallo TrueITK,
das ist ja ein interessantes Projekt, was du da vorhast.

Zitat

TrueITK postete
Wie ist das "Datenschutz respektierende" Verhalten für den Fall, wenn ein Besucher bei seiner Registrierung, versucht eine in der Datenbank schon bekannte also hinterlegte E-Mail-Adresse oder Benutzernamen zu verwenden?

Selbstverständlich kann die Registrierung somit nicht durchgeführt werden.
Allerdings eine Rückmeldung in Form von "Die gewählte E-Mail-Adresse wird schon verwendet" könnte man ja, bzw. wird ja auch gerne für informations gathering genutzt.

Meine Idee: Wenn versucht wird eine E-Mail-Adresse zu registrieren, welche bekannt ist, würde ich ohne offensichtliche Rückmeldung der Adresse eine Mail senden und dem Benutzer dahinter informieren, was versucht wurde, mit der rein rhetorischen fragen, ob " und wenn ja, ihm die Passwortvergessen Funktion anzubieten. (???)

Dem aktuellen Besucher würde ich die Registrierung, auch wegen dem "Beweis der nicht Funktion" allerdings noch vormachen müssen das die Registrierung weiter und erfolgreich abläuft. (????)

Begündete Meinungen würden mich freuen.

Vielen Dank und Gruß
Dem User etwas vorzumachen halte ich für grundfalsch. Er könnte ja auch ein berechtigtes Interesse haben den Bereich mit der genannten Emailadresse zu nutzen... Letztendlich erhebst du da ja auch wieder Daten die wozu dienen? Da hast du mE eher ein datenschutzrechtliches Problem als dem User zu sagen "Hoppla, da ist wohl etwas falsch gelaufen...".

Neben den ganzen technischen Einzelheiten ob z.B. Captcha oder nicht sollte man sich den Prozess erst einmal grob überlegen.
Willst du Nachricht von DIESEM Forum haben, wenn jemand versucht sich mit deiner Emailadresse zu registrieren?
Willst du das bei jedem Versuch?
Willst du das selber wählen können, ob du Nachrichten diesbezgl. bekommst?
Wenn du vergessen hättest, dass du hier im Forum angemeldet bist, und du dich neu registrierst... willst du, dass dir hier einer vorgemacht wird bzgl. erfolgreicher Registrierung?

VG
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
28.10.2017, 16:43
TrueITK
zu Gast

Themenstarter
#8 Hallo hevtig,
vielen Dank für deine Antwort.

Vorab: Es ist ein Kundenbereich, der Besucher / Nutzer kann sich dazu zuerst registrieren (um ein "Kunde zuwerden") und später anmelden um dort seine Daten zu sehen und ändern, oder Rechnungen / Angebote usw. einzusehen.

Zitat

hevtig postete
Dem User etwas vorzumachen halte ich für grundfalsch. Er könnte ja auch ein berechtigtes Interesse haben den Bereich mit der genannten Emailadresse zu nutzen...
Ja. Dem echten bekannten User will ich auch nichts vo machen.
Es geht um den Prozess den ein unbekannter User startet wenn er versucht eine vorhandene also bekannte E-Mail-Adresse eines bekannten Users für die Registrierung versucht zu nutzen.

Zitat

hevtig postete
Letztendlich erhebst du da ja auch wieder Daten die wozu dienen? Da hast du mE eher ein datenschutzrechtliches Problem als dem User zu sagen "Hoppla, da ist wohl etwas falsch gelaufen...".
Das verstehe ich nicht.

Zitat

hevtig postete
Willst du Nachricht von DIESEM Forum haben, wenn jemand versucht sich mit deiner Emailadresse zu registrieren?
Willst du das bei jedem Versuch?
Damit hast du verstanden was ich meine... Ich persönlich würde sagen, ja.
Denn wenn ich mich versuche irgendwo zu registrieren, wo ich schon registriert bin, habe ich es ja offentsichtlich vergessen das dem so ist. Dann eine "Erinnerungs-Mail" zubekommen halte ich für hilfreich.

Zitat

hevtig postete
Willst du das selber wählen können, ob du Nachrichten diesbezgl. bekommst?
Ist nur technisches. Klären wir später.


Zitat

hevtig postete
Wenn du vergessen hättest, dass du hier im Forum angemeldet bist, und du dich neu registrierst... willst du, dass dir hier einer vorgemacht wird bzgl. erfolgreicher Registrierung?
So jetzt hast du's! GENAU darum geht es.
Welche Reaktion ist denn wirklich empfohlen? Tatsächlich "Hoppla, da ist wohl etwas falsch gelaufen..." Ausgabe?
Dann aber die Frage: was ist falsch gelaufen?
Jetzt so sagen "Die E-Mail-Adresse wird schon verwendet" halte ich für nicht datenschutz konform.
Da es ja eine Offenlegung tatsächlicher persönlicher Daten möglich macht.

Vielen Dank und Gruß
Seitenanfang Seitenende
02.11.2017, 23:36
Moderator
Avatar hevtig

Beiträge: 2312
#9 Geht nur bei mir dir quote Funktion nicht mehr?

Nun ja, du hast ja eine genaue Vorstellung, was du erreichen möchtest.
Ich könnte mir vorstellen, dass du es so wie google machst, wenn ich mich zum ersten Mal an einem neuen Rechner bei Google anmelde. á la "Waren Sie das wirklich?"
Da muss man halt zusehen, dass man nicht zig Emails pro Stunde bekommen kann.
Dem User etwas vorzuspielen halte ich weiterhin für falsch, ihm allerdings zu sagen, dass eine Nachricht an sein Postfach versendet wurde halte ich für rund. Damit hättest du ja auch alles abgedeckt.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!
Seitenanfang Seitenende
03.11.2017, 15:39
Member
Avatar TurnRstereO

Beiträge: 1543
#10 ja quote ist kaputt wohl!

Da schlägt bei mir sofort Regel #6 an: there is always a reason for

T S
Seitenanfang Seitenende