Passwort Management / Registrierung

Feedback Bugs und Fehlerbehebung
1

Anbei mal die ersten Eindrücke von Olli (Softwaretester)

    1. Nach Passworteingabe + ENTER taste drücken, kommt keine Reaktion. Textfelder: Emailadresse oder Passwort.
    1. Registrierung: Meldung zur Verifizierung erscheint, obwohl die Bestätigung durchgeführt wurde wenn man den Button betätigt. Wenn man den zusätzlichen Link betätigt wird das Account erst verifiziert.
    1. Passwort vergessen: Bei nicht vorhandener Email kommt danach keine Meldung das die Emailadresse nicht existiert.
    1. Nach Passwortänderung kann man sich mit neuen Passwort nicht anmelden.
    1. Bei neu-registrierung mit gleicher Email-Adresse, erscheint keine Fehlermeldung.

Empfehlungen:

  • · Password Reset
  • · Password incorrect
  • · Password correct
  • · Fehlermeldungen zu jedem Szenario einbauen
  • · Hinweismeldungen (Reset, Registrierung) einbauen
  • · Warnmeldungen einbauen
  • · Passwortdefinitionen beachten (Länge, Upper+LowerCase, Spezialzeichen & co.)
  • · Fraud-Protection der Webseite/Login von Massen-Logins (Penetration Login)
  • · Password-Reset-Mails mit Timer (60 Minuten) muss auch getestet werden (Zeitlicher aufwand)
2

Ok, nichts wildes erstmal.

Danke für die Liste, wird dann die nächste Zeit eingebaut.
Die Protektionen sind, da wir Laravel nutzen, schon grundlegend eingebaut, müssen nur noch justiert werden.

Fehlermeldungen hat ich noch gar nicht angefangen was zu coden :slight_smile:

3
    1. Nach Passworteingabe + ENTER taste drücken, kommt keine Reaktion. Textfelder: Emailadresse oder Passwort.

Wurde eingebaut.

    1. Registrierung: Meldung zur Verifizierung erscheint, obwohl die Bestätigung durchgeführt wurde wenn man den Button betätigt. Wenn man den zusätzlichen Link betätigt wird das Account erst verifiziert.

Verstehe ich nicht. Resets wurden komplett überarbeitet und laufen nun gut durch. Bitte nachschauen, ob das jetzt so passt.

    1. Passwort vergessen: Bei nicht vorhandener Email kommt danach keine Meldung das die Emailadresse nicht existiert.

Server-Validationen kommen nun im Front-End an.

    1. Nach Passwortänderung kann man sich mit neuen Passwort nicht anmelden.

Kann ich nicht reproduzieren. Passwort lässt sich ändern und mit neuem Passwort kann man sich danach anmelden. Bitte nochmal testen, da Resets neu konzipiert wurde.

    1. Bei neu-registrierung mit gleicher Email-Adresse, erscheint keine Fehlermeldung.

Server-Validationen kommen nun im Front-End an.

Empfehlungen:

  • · Password Reset
  • · Password incorrect
  • · Password correct
  • · Fehlermeldungen zu jedem Szenario einbauen
  • · Hinweismeldungen (Reset, Registrierung) einbauen
  • · Warnmeldungen einbauen
  • · Passwortdefinitionen beachten (Länge, Upper+LowerCase, Spezialzeichen & co.)
  • · Fraud-Protection der Webseite/Login von Massen-Logins (Penetration Login)

Alle Auth Routen wurden grundlegend gesichert.
Passwort-Reset Links sind nur 1 Stunde gültig.
Passwörter müssen eine Stärke haben

Zusätzlich wurde eine Firewall installiert, die Angriffe entdeckt und die IP des Users dann sperrt.

** ‚firewall.ip‘,**
** ‚firewall.agent‘,**
** ‚firewall.bot‘,**
** ‚firewall.geo‘,**
** ‚firewall.lfi‘,**
** ‚firewall.php‘,**
** ‚firewall.referrer‘,**
** ‚firewall.rfi‘,**
** ‚firewall.session‘,**
** ‚firewall.sqli‘,**
** ‚firewall.swear‘,**
** ‚firewall.xss‘,**

727×259 5.5 KB

  • · Password-Reset-Mails mit Timer (60 Minuten) muss auch getestet werden (Zeitlicher aufwand)

Passwort-Reset Links sind nur 1 Stunde gültig.

1 „Gefällt mir“
4
5

Sehr geil!! Schauen uns später mal zusammen alles an, wenn ihr da seid :slight_smile: