Ich nutze 2 verschiedene Mastodon Instanzen zu unterschiedlichen Zwecken (privat/beruflich).
Wenn ich nun bei Instanz A die Zugangsdaten von Instanz B eingebe, könnten diese theoretisch im Log auftauchen.
Wie ist das Log bei Mastodon gestaltet? Kann darüber das andere Pw bei versehentlicher Eingabe ausgelesen werden?
Prinzipiell sollte es ja möglich sein, den Input der Eingabemaske umzuleiten. Da kann man den Admins der gewählten Instanz letzlich nur vertrauen.
Welche Maßnahmen ausser „besser aufpassen“ und beides bei der gleichen Instanz zu haben gäbe es noch?
Vielen Dank.
Du könntest mit einem Passwortmanager arbeiten, der das Passwort via Autotype eintippt und z.B. von der URL abhängig macht, welcher Eintrag gewählt wird. Somit wäre der Fehler ausgeschlossen.
Sollte anhand der E-Mail-Adresse (z.B. mastodon.social-202211@domain.tld) ersichtlich sein, zu welcher Instanz (mastodon.social) die Zugangsdaten gehören, würde ich dort jedenfalls das Passwort ändern.
Dazu müsste das Kennwort ja in Klartext übertragen werden, das wäre ja ein GAU per Design.
Normal sollte das Kennwort nirgendwo im klartext auftauchen.
Das ist eigentlich Standard. Das Passwort wird im Klartext über eine verschlüsselte Verbindung übertragen, serverseitig gehashed und mit dem in der Datenbank gespeicherten Hash abgeglichen. Die Alternative wäre das Passwort clientseitig zu hashen. Dazu müsste man allerdings die Web-Variante und alle Apps anpassen. So eine Umstellung wäre nicht einfach.
Das clientseitige Hashing bringt ja auch keine Sicherheit. Nehmen wir mal an, der zweite Serverbetreiber ist böswillig und zeichnet den Hash auf. Dann kann er sich mit einem manipulierten Client, der den Hash an den ersten Server schickt, dort einloggen.