From: "Bernd Brodesser" <B.Brodesser@t-online.de>
Wo läge das Problem ? Das sollte doch wohl ne Kleinigkeit sein , das dieses Verfahren nur mit Passwort oder anderer Identifikationsmöglichkeit möglich ist.
Wieviele Paßwörter soll man sich noch merken? Und man braucht es doch nie.
Hallo, ne, nicht so. Anders. :-) Fall 1, "Normalfall": Account A will sich austragen, und schickt eine Mail an die Listensoftware. Allein durch die Herkunft ist eine ausreichende Verifizierung gegeben, Austrag, finito. Fall 2, "Problemfall": Account B will Account A austragen, da dieser nur noch lesend nutzbar ist. Daher kann A nicht an die Liste schreiben. Also schreibt B an die Listensoftware, daß A raus will. Gefahr des Mißbrauchs! Also schreibt die Software an A(!) zurück "Bitte bestätigen unter Angabe dieses gräßlich langen Sicherheitscodes: 12345678987654321!" Die Mail kommt an (A kann ja gelesen werden) und wird beantwortet (über B, denn nur B kann schreiben). Wieder bekommt die Listensoftware ein unsubscribe vom "falschen" Sender, aber diesmal mit Sicherheitscode. Jetzt ist die Adresse hinreichend verifiziert, es wird ausgetragen. Spielen wir den Mißbrauch durch: Ich schreibe eine Mail, um dich auszutragen. Kommt an, wird aber über B.Brodesser@t-online.de verifiziert. Diese Mail geht an dich, also kann ich nicht bestätigen - dir passiert nix, und im gleichen Schritt bist du gewarnt, daß jemand spielt. Potentielles Sicherheitsloch: Ich schicke einige Trilliarden Mails mit allen denkbaren Sicherheitscodes, um dich aus Suse-Linux auszutragen. Ähm...damit dürfte ich in die Geschichtsschreibung des Netzes eingehen... :-) Praktisch alle mir bekannten Webanbieter nutzen solche Verfahren. Gruß, Ratti