it-swarm.com.de

Seite 'Bestätigen' zum Zurücksetzen des Passworts umgehen

Der Standardprozess zum Zurücksetzen des Joomla-Passworts besteht aus drei Schritten:

  1. Geben Sie die E-Mail-Adresse ein und fordern Sie einen Reset-Token an
  2. Vervollständigen Sie die Bestätigungsseite mit dem Benutzernamen und setzen Sie das Token zurück (entweder indem Sie das Token aus der E-Mail zum Zurücksetzen des Passworts kopieren, die Sie in den bereits geöffneten Browser-Tab erhalten haben, oder indem Sie dem Link zum Zurücksetzen in der E-Mail folgen, in der das Token-Feld vorab ausgefüllt ist, das jedoch noch erforderlich ist Benutzernamen eingeben).
  3. Legen Sie ein neues Passwort fest und überprüfen Sie es

Ich sehe keinen Sinn darin, den Benutzer zur Eingabe seines Benutzernamens aufzufordern, wenn er dem Link zum Zurücksetzen folgt, der ihm per E-Mail zur Verfügung gestellt wurde. Wenn er den Link erhalten hat, hat er die Kontrolle über die E-Mail-Adresse, die dem Benutzerkonto zugeordnet ist. Es ist überflüssig, sie nach ihrem Benutzernamen zu fragen.

Zugegeben, der Link enthält derzeit weder die E-Mail-Adresse noch den Benutzernamen als Abfrageparameter. Unter der Annahme, dass dies der Fall ist, könnte Schritt 2 vollständig umgangen werden, was den Vorgang vereinfacht. Sie könnten argumentieren, dass die Forderung, dass der Benutzer während des Rücksetzvorgangs auch seinen Benutzernamen angeben muss, die allgemeine Sicherheit erhöht. Wenn Sie jedoch die E-Mail-Adresse wie in meinem Fall als Benutzernamen verwenden, ist dies willkürlich und für die Benutzer nur ärgerlich. Der Rücksetzvorgang könnte durchgeführt werden, ohne den Benutzernamen überhaupt offenzulegen (indem lediglich die E-Mail-Adresse als zusätzlicher Abfrageparameter angegeben wird), wenn dies jedenfalls von Belang wäre.

Ich habe den Joomla-Code für das com_users-Modul überprüft und leider kann ich ohne Änderung des Joomla-Codes (den ich strikt meide) keine Möglichkeit finden, den in der Rücksetz-E-Mail enthaltenen Link zum Zurücksetzen des Passworts über ein Plugin oder auf andere Weise zu manipulieren es wird rausgeschickt. Kann jemand einen praktischen Weg finden, um dies zu erreichen?

5
John Rix

Gerade bin ich auf diese Erweiterung gestoßen, mit der ich als Alternative zu der anderen vorgeschlagenen Lösung eine Überschreibung der Registrierungscontrollerklasse com_users erstellen konnte (um den zusätzlichen Abfrageparameter zum Link zum Zurücksetzen hinzuzufügen):

https://gruz.ml/en/extensions/mvcoverride.html

Nur für erfahrene Entwickler. Könnte für jemanden nützlich sein, der auf diese Weise kommt.

1
John Rix

Wenn Sie nur das com_users-Modul ändern müssen, können Sie es sicherlich einfach überschreiben, indem Sie es in Ihre Vorlage kopieren, z. in: template/html/com_users/registration/default.php?

Dann möchten Sie das Feld username ausgeblendet und den Wert darauf setzen, den Sie von der Abfrage mit dem eindeutigen Teil zum Zurücksetzen des Links aus der Datenbank laden können.

(Alternativ könnte dies für Joomla 1 einige Hinweise enthalten, wenn Sie ein Entwickler sind: https://forum.joomla.org/viewtopic.php?t=50531 )

0
Nathan