hallo

Statt die Verbindung mit SSL/TLS bzw. STARTTLS zu verschlüsseln könnte ich das sein lassen und stattdessen Login und Passwort mit PGP verschlüsseln, damit würde ich Login und Passwort genauso wie den E-Mail Inhalt verschlüsseln. Warum ist die Verschlüsselung von Login und Passwort über SSL/TLS bzw. STARTTLS besser als die Verschlüsselung über PGP? Mann könnte doch mit PGP alles lösen und würde dann kein SSL/TLS bzw. STARTTLS mehr benötigen.

Tja, PGP setzt Schlüsseltausch voraus, plus die Tatsache, dass beide Teilnehmer das implementiert haben.

Aber hier der Weg wie man einen Acount einrichtet über https

Voraussetzung: Es besteht eine anonyme Session und Formulare sind mit CSRF-Tokens an die Session gebunden.

1. Server gibt User ein Account-Creation Formular
2. User gibt Email-Adresse an und sendet
3. Falls Acount nicht existitiert:

• Server sendet Onetime Token an Emailadresse
• Server sendet LoginForm mit 3 Felder, Name=EmailAdresse und Passwort(vom Server erstellt) sind bereits ausgefüllt.

4. User gibt das OneTime Token ins Login-Formular
5. Server verifiziert, dass der Mail-Account dem User gehört. Account wird definitiv erstellt.

Btw. die Listen-Interpretation ist mehr als buggy.