[TYPO3-german] newloginbox forgot passwort verhalten
Andreas Wolf
typo3ml at andreaswolf.info
Thu Apr 5 21:37:22 CEST 2007
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
>> Die sendet keine E-Mail, sondern gibt die Fehlermeldung aus:
>>
>> Es existiert kein Benutzer mit dieser E-Mail Adresse!
>
> Auch das kann ein unerwünschtes Verhalten sein, denn man
> kann damit ggf. herausfinden, ob eine bestimmte Person
> einen Account hat. Wenn das ein Problem ist, dann kann es
> durchaus sinnvoll sein, eine Email an denjenigen zu
> verschicken, dessen Adresse eingegeben wurde
> (a là "jemand, wahrscheinlich Sie, hat versucht ...")
>
> Je nach dem konkreten Einsatzzweck kann das eine oder
> andere Verhalten erwünscht sein und man sollte es
> konfigurieren können.
Das stimmt natürlich - auf jeden Fall sollte man das berücksichtigen.
Mal sehen, vielleicht hab ich die nächsten Tage bisschen Zeit und kann
da was dran tun.
> Problematischer finde ich, dass man via "forgot passwort"
> das Passwort eines anderen Benutzers umsetzen kann
> (bei newloginbox+sr_feuser_register+kb_md5fepw) ohne dass
> der sich dagegen wehren kann.
Da wäre es am sinnvollsten, eine Mail zu verschicken mit einem Link, der
wiederum die Passwortänderung triggert. Oder gibt es ein "geschickteres"
Verfahren? Eine geheime Frage vielleicht, "Geburtsname der Mutter" oder
so - am besten noch auswählbar. Noch jemand Feature-Wünsche? Das werden
ja größere Renovierungsarbeiten ;)
Grüße
Andreas
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.3 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFGFU/ywA09wjioC/0RAhmoAJ93zXmO3YKh/iEPm/dLN56bs+oe0QCfYS9R
0A2xUYQ5zhPwZRuIVDaIh7I=
=EWWU
-----END PGP SIGNATURE-----
More information about the TYPO3-german
mailing list