·        LimeSurvey Cloud Version 3.27.4·        Betriebssystem Windows 10·        Browser Google Chrome 1.      Werden die Tokens zufällig, einzigartig und sicher generiert?2.      Sind Mail und MySQL vom Internet aus erreichbar?
--> Ich habe mir mal den server angeschaut. Dort laeuft noch ein mailer
(Postfix port 25), ein ssh server (openssh port 888) und eine mysql
(port 3306). Die sind zwar alle auf dem aktuellsten stand, aber mail und
mysql sollte nicht vom Internet aus erreichbar sein.Vielen Dank im Voraus

Was meinst du mit Sicherheit der E-Mailadressen?
Das hat mit der Tokengenerierung wenig zu tun, oder?

Man kann z.B. Token ohne E-Mailadressen in LimeSurvey hinterlegen.
Und den Versand von Einladungen außerhalb von LimeSurvey machen.

Ein Token sollte so generiert werden, dass er nicht erraten werden kann.
Da kann man sich über die Länge und Nutzung von Algorithmen unterhalten.

Der Portscan ist wieder eine völlig andere Baustellen. Einen Maildienst ohne Portöffnung zu betreiben, wäre schwierig. Auch MySQL-Datenbanken via Port verfügbar zu machen, ist nicht ungewöhnlich. Die Absicherung der Dienste, die am Port lauschen, ist hier entscheidend. Wenn man Dienste nicht extern braucht, dann sollte man diese abschalten. Wenn ich Datenbank und Webserver auf einen Server betreibe, dann gibt es nur wenige Gründe, die Datenbank extern zugreifbar zu machen. Aber es gibt Gründe. Ob die vorliegen, kann nur die LimeSurvey GmbH sagen.