Hi,
mir ist eine Merkwürdigkeit mit der "Passwort-vergessen"-Funktionalität aufgefallen.
Ich betreibe ein Forum, in welchem die User ausschließlich durch einen Admin freigeschaltet werden.
Fordert ein User über die "Passwort-vergessen"-Funktion ein neues Passwort an, so erhält er eine Email mit einem Aktivierungslink für dieses
Passwort.
Dieser Link (z.B. ."../profile.php?mode=activate&u=9&act=d35533cd") kann jedoch ausschließlich durch einen Administrator benutzt werden. Der normale User erhält bei Klick auf den Link die Meldung "Not Authorised".
Quellcodemäßig ist das Ganze nachvollziehbar. Inhaltlich macht es aber wenig Sinn, oder ? Ist in meinen Augen also ein Bug.
Gibts schon einen Patch für dieses Problem.
Viele Grüße
Sven
"Passwort vergessen"-Funktion und Aktivierungsmodu
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Das ist normal.
Da nur der Administrator einen User freischalten kann, wird das standartmässig auch so gehandhabt, wenn ein Link für den PW-Reminder generiert wird.
Lösung: Aktiviere im ACP die Freischaltung per Mail und die User können auch mit den Links etwas anfangen. Evtl. gibt es auch ein Mod, welcher dir diese Funktion auch für User freischaltet, wenn sie sonst nur vom Administrator aktiviert werden können, aber dazu weiß ich nichts...
Jedenfalls ist das kein "Fehler".
Da nur der Administrator einen User freischalten kann, wird das standartmässig auch so gehandhabt, wenn ein Link für den PW-Reminder generiert wird.
Lösung: Aktiviere im ACP die Freischaltung per Mail und die User können auch mit den Links etwas anfangen. Evtl. gibt es auch ein Mod, welcher dir diese Funktion auch für User freischaltet, wenn sie sonst nur vom Administrator aktiviert werden können, aber dazu weiß ich nichts...
Jedenfalls ist das kein "Fehler".
So long,
dat Jonäs von dat Forum. Grafiken, Banner, etc. sind in Signaturen nicht erlaubt
Signaturen dürfen maximal 3 Zeilen lang sein
dat Jonäs von dat Forum. Grafiken, Banner, etc. sind in Signaturen nicht erlaubt
Signaturen dürfen maximal 3 Zeilen lang sein
Das Forum soll aber nun mal restriktiv gehandhabt werden. Das bedeutet, dass bei der Registrierung immer ein Admin einen Blick auf die Registrierungsdaten werfen soll.
Für die PW-Reminder macht eine Intervention durch einen Admin allerdings keinen Sinn.
Sinnvoller wäre es doch, wenn die Freischaltung eines neuen Passworts über ein separates Skript gesteuert werden würde, für dessen Ausführung man in diesem Fall keine Admin-Rechte braucht.
So wie es momentan implementiert ist, ist jedenfalls die PW-Reminder-Funktion unbenutzbar, wenn man im Admin-Bereich die "Freischaltung durch Admin" aktiviert hat.
Für die PW-Reminder macht eine Intervention durch einen Admin allerdings keinen Sinn.
Sinnvoller wäre es doch, wenn die Freischaltung eines neuen Passworts über ein separates Skript gesteuert werden würde, für dessen Ausführung man in diesem Fall keine Admin-Rechte braucht.
So wie es momentan implementiert ist, ist jedenfalls die PW-Reminder-Funktion unbenutzbar, wenn man im Admin-Bereich die "Freischaltung durch Admin" aktiviert hat.
Ich hab's nicht programmiert und möchte auch nicht urteilen, in wie weit das sinnvoll sein kann, oder nicht.
Soweit ich weiß, gibt es mindestens einen Mod (s. Mod-DB), der über Neuanmeldungen informiert, auch wenn sich die User zunächst selbst freischalten können. Dann wäre auch der PW-Reminder wieder "nutzbar".
That's all, i can say...
Soweit ich weiß, gibt es mindestens einen Mod (s. Mod-DB), der über Neuanmeldungen informiert, auch wenn sich die User zunächst selbst freischalten können. Dann wäre auch der PW-Reminder wieder "nutzbar".
That's all, i can say...
So long,
dat Jonäs von dat Forum. Grafiken, Banner, etc. sind in Signaturen nicht erlaubt
Signaturen dürfen maximal 3 Zeilen lang sein
dat Jonäs von dat Forum. Grafiken, Banner, etc. sind in Signaturen nicht erlaubt
Signaturen dürfen maximal 3 Zeilen lang sein
Re: "Passwort vergessen"-Funktion und Aktivierungs
swende hat geschrieben:Hi,
mir ist eine Merkwürdigkeit mit der "Passwort-vergessen"-Funktionalität aufgefallen.
Ich betreibe ein Forum, in welchem die User ausschließlich durch einen Admin freigeschaltet werden.
Fordert ein User über die "Passwort-vergessen"-Funktion ein neues Passwort an, so erhält er eine Email mit einem Aktivierungslink für dieses
Passwort.
Dieser Link (z.B. ."../profile.php?mode=activate&u=9&act=d35533cd") kann jedoch ausschließlich durch einen Administrator benutzt werden. Der normale User erhält bei Klick auf den Link die Meldung "Not Authorised".
Quellcodemäßig ist das Ganze nachvollziehbar. Inhaltlich macht es aber wenig Sinn, oder ? Ist in meinen Augen also ein Bug.
Gibts schon einen Patch für dieses Problem.
Viele Grüße
Sven
bin da ebenfalls deiner meinung,
ist echt blöde das diese funktion unbrauchbar ist...
hatte das auch schon bemerkt und dachte es wäre ein bug!
lieben gruß
