Also hier wurden jetzt mehrere Themen angesprochen, gebt gerne feedback ob ich alle habe:
- Zweitgerät einrichten erzeugt neuen key und Probleme
- Lösung dafür wäre Discover when user logged in a second time (instead of adding second device) and guide towards account transfer (erkenne das während dem setup und verweise Nutzer darauf lieber den setup second device flow zu machen)
- Die “Setup changed for email@example.com” Meldung ist ungenügend und sollte zumindest in die interne Hilfe/FAQ verlinken und am besten noch eine klarerer Formulierung bekommen
- Expiration of Invite/verify Codes → Technische vs Soziale Verifizierung
- Potentielle konzeptionelle Probleme im securejoin Protokoll
- meine frage dazu wäre wo der MITM dann genau sein müsste und ob die Attacke tatsächlich so funktionieren würde (Ich selbst bin hier eher UI mensch ich bin nicht so sehr in den Sicherheitsthemen drinnen)
- "QR Code deaktivieren” und "QR Code reaktivieren” sind sehr verwirrend