[TYPO3-german] fe_login: Passwort vergessen schickt Emails an nicht registrierte User??
Marcus Krause
marcus#exp2009 at t3sec.info
Sat May 16 07:16:22 CEST 2009
bernd wilke schrieb am 05/16/2009 01:24 AM Uhr:
> Am Sat, 16 May 2009 00:08:10 +0200 schrieb Marcus Krause:
>
>> Markus Kobligk schrieb am 05/14/2009 10:27 PM Uhr:
>>> Hallo Bernd,
>>>
>>>> Aber ich halte solch ein Verhalten für nicht wünschenswert.
>>> Ich auch nicht :-)
>
> es geht mir um das Verhalten das Markus sich wünscht.
> dessen Nachteile ich beschrieben habe. s.u.
>
>>> [...]
>>>
>>>> dann sollte zumindest bei nicht eingetragener email keine Mail
>>>> rausgehen.
>>> Richtig, so sollte es sein. Wenn die eingegebene Adresse nicht im
>>> System existiert darf keine Email rausgehen.
>>>
>>> Ich werde per XClass-Verfahren probieren die entsprehende Methode in
>>> der fe_login-Klasse zu überschreiben, denn in der fe_login-Klasse
>>> direkt möchte ich nicht rumfummeln wegen der Updatefähigkeit.
>> Dieses Verhalten wird sich mit TYPO3 4.3 ändern (genauso wie du es für
>> die XCLASS vor hast). Außerdem gibt dann einen confirmation link in der
>> eMail, dem man zunächst aufrufen muss. Leider ist das ein "change of
>> behavior" and deshalb nicht möglich (core rules), es in 4.2 zu
>> portieren.
>
> Damit kann man demnächst also Emailadressen über TYPO3-Installationen
> testen und Anmeldungen ausspionieren.
> Sobald eine Emailadresse in der Installation bekannt ist gibt es KEINE
> Fehlermeldung sondern die Information über die verschickte
> Informationsmail, was eine eindeutige Identifizierung ermöglicht.
>
> Das ist etwas was ich mir nicht wünsche und was nicht wirklich
> Datenschutz ist.
Okay, ich dachte, meine Aussage sei verständlich gewesen; scheinbar
nicht. Ich habe Euren Wünschen zugestimmt und geschrieben, dass es
genauso sein wird (eMail geht nur raus, wenn der Account existiert).
Wie Du da in meinem Kommentar irgendetwas über Fehlermeldungen
herausliest, ist mir schleierhaft.
Zum Verständnis - das neue Verhalten:
Du kannst ein vergessenes Passwort anfordern (bzw. diesen Prozess
starten), indem Du Deinen Benutzernamen oder die eMailadresse, mit der
Du Dich angemeldet hattest, eingibst.
Wenn der Benutzername/eMailadresse existiert, bekommt der Accountinhaber
eine eMail mit einem Bestätigungslink.
Auf dem Bildschirm, egal ob TYPO3 Benutzername/eMailadresse kennt oder
nicht, liest Du nur sinngemäß:
"Vielen Dank für Ihre Anfrage; sollte der Benutzeraccount zu den
eingegebenen Daten existieren, bekommen Sie eine eMail zugesandt. Folgen
Sie dann den dort beschriebenen Anweisungen!"
Nichts mit testen oder ausspionieren!
Marcus.
--
TYPO3 Security blog: http://secure.t3sec.info/
More information about the TYPO3-german
mailing list