Seite 1 von 1

Versand von Paßwörtern im Klartext DEAKTIVIEREN! Wie?

Verfasst: 16.11.2008 11:59
von Enkidu
Hallo,

ich hab mir das Board neulich installiert. Jetzt muß ich feststellen, daß das Paßwort zusammen mit den Registrierungsdaten per eMail versendet werden. :evil:

Wie kann ich das verhindern?

Ein Passwort darf aus Sicherheitsgründen zum einen nur gehashed (nicht encrypted!) in der DB stehen und zum andern niemalsnicht mehr das System verlassen. Wenn einer mal sein PW vergißt, muß entweder ein ErsatzPW gesetzt werden oder ein Link zum PW-Ändern verschickt werden. In keinem Falle darf es möglich sein es aus der DB auszulesen. (Falls sonst doch mal wer unerlaubten Zugriff auf die DB bekommt, ist Polen offen und er hat alle PWs aller User!)

Kann ich das in phpBB so einstellen? Wenn ja, wie?


Lg,
Enkidu

Verfasst: 16.11.2008 12:04
von Dr.Death
Hallo,

entferne einfach den betreffenden Teil in den Email Vorlagen.

Beispiel:

Öffne die Datei:

language / de / email / user_welcome.txt

SUCHE UND ENTFERNE:

Code: Alles auswählen

Passwort: {PASSWORD}
KB:166

Verfasst: 16.11.2008 14:07
von Yorikke
Auch alle anderen txt-Dateien in dem Ordner mit dem Wort "welcome" in der Bezeichnung enthalten ebenso die Paßwortangabe.

Verfasst: 16.11.2008 14:09
von Metzle
Hallo,

es wurde ja auch nichts Gegenteiliges behauptet ;) Dr.Death hat dir ja ein Beispiel gegeben und sagte auch, dass du es eben in allen E-Mailvorlagen entfernen musst.

Verfasst: 16.11.2008 15:09
von HJW
Hallo,

wenn man das in allen Vorlagen macht, wie soll dann einem User bei Paßwort-Vergessen ein neues zugeschickt werden? :o

Gruß
Hermann Joseph

Verfasst: 16.11.2008 15:41
von Metzle
Hallo,

naja, soviel hab ich dann mal reininterpretiert, dass es in dieser Vorlage nicht gelöscht wird, aber vielleicht hab ich auch zu viel reininterpretiert ;)