[TYPO3-german] fe_login: Passwort vergessen schickt Emails an nicht registrierte User??

[Markus Kobligk]

Hallo Bernd,

> Aber ich halte solch ein Verhalten für nicht wünschenswert.
Ich auch nicht :-)

> Warum?
> weil so jedermann emailadressen überprüfen kann.
> 1. auf gültige Addressen (wenn bei Eingabe einer Emailadresse keine 
> Fehlermeldung kommt ist diese Addresse aktiv)a
Naja, das stimmt so nicht ganz. Ob eine Emailadresse in Typo3 
registriert ist kann man damit nicht prüfen. Typo3 schickt ja so oder so 
eine Email raus an die Emailadresse und es kommt ja immer die 
Erfolgsmeldung. Aber das ist kein Anhaltspunkt dafür, ob diese 
Emailadresse im System aktiv ist.

> 2. ob bestimmte Leute auf dieser Site angemeldet sind. Je nach Site noch 
> problematischer.
Nö, das kann man damit nicht rausbekommen meiner Meinung nach (siehe 
oben). Wenn ich auf der Seite, an der ich gerade bastele Deine 
Emailadresse eintrage bei Passwort vergessen, dann bekomme ich eine 
Erfolgsmeldung und Du eine Email. Dann weiß ich aber immernoch nicht, ob 
Du auf meiner Seite als FE-User angemeldet bist ;)

Allerdings ist die Seite dadurch eine astreine Spam-Schleuder, wenn 
Typo3 so oder so eine Email rausschickt, egal welche Emaildresse man 
eingibt! Das kann man so natürlich in keinster Weise online stellen.
Es wundert mich auch, dass da noch niemand vor mir Probleme mit hatte 
oder drüber gestolpert ist, denn ich habe trotz intensivem googlen 
nichts dazu gefunden :(

> dann sollte zumindest bei nicht eingetragener email keine Mail rausgehen. 
Richtig, so sollte es sein. Wenn die eingegebene Adresse nicht im System 
existiert darf keine Email rausgehen.

Ich werde per XClass-Verfahren probieren die entsprehende Methode in der 
fe_login-Klasse zu überschreiben, denn in der fe_login-Klasse direkt 
möchte ich nicht rumfummeln wegen der Updatefähigkeit.

Grüße,
Markus