Es wurde mir zur Kenntnis gebracht, dass seit Moin’s Beitrag die Einstellung require change email confirmation hinzugefügt wurde. Das bedeutet, dass die Nachricht jetzt an mehr als nur an Mitarbeiter gesendet werden kann.
Der ursprüngliche Grund für die Sperrung von Bearbeitungen an dieser Vorlage war zu der Zeit gültig, aber heute ist der Schutz, den sie bietet, anders. Ein Angreifer, der ein Admin-Passwort kennt, kann einfach:
- Das Passwort verwenden, um die Zwei-Faktor-Authentifizierung für dieses Konto einzurichten.
- Ein neues Konto erstellen.
- Den 2FA-Code verwenden, um dem neuen Konto Admin-Rechte zu gewähren.
Von dort aus können sie das Backup an ihre eigene E-Mail-Adresse senden, ohne dass ein Admin auf einen Link klicken muss, um eine Adressänderung zu bestätigen.
Die Frage ist also: Macht die Sperrung von Bearbeitungen an dieser Vorlage noch Sinn? Sie wird jetzt an normale Benutzer gesendet und schützt den Download eines Backups nicht mehr.
Außerdem ist Data Explorer jetzt immer installiert und kann verwendet werden, um auf die Datenbank zuzugreifen.