Passwort vergessen ohne Benutzeraccount
-
Bei uns hst sich heute eine Person einen Benutzeraccount erstellen lassen können, ohne dass diese je einmal zu CT eingeladen wurde. Dies funktioniert über den "Passwort vergessen"-Button auf der Login-Seite, sofern die eingegebene E-Mail zu einer erfassten Person gehört.
Ich gehe davon aus, dass dies ein Fehler ist?
Im Grunde genommen ist das ganze Szenario nicht sehr schlimm, da eine unberechtigte Person ohnehin keine Rechte zugewiesen hat.
-
Ich habe leider keine Antwort, aber noch eine ergänzende Frage.
Wie funktioniert die "Passwort vergessen" Funktion bei mehreren Benutzern mit der gleichen E-Mail Adresse (z.B: Ehepartnern, oder ggfs. Kindern ohne eigenen Adresse)? -
@seetalchile Nee, dürfte kein Bug sein. Sofern die Email-Adresse hinterlegt ist, kann sich die Person anmelden. Das wurde früher schon mal angesprochen. Sie muss ja nicht zwangsläufig irgendwelche rechte haben. D.H. sie sieht evtl "nichts".
-
@MRBaum sagte:
Wie funktioniert die "Passwort vergessen" Funktion bei mehreren Benutzern mit der gleichen E-Mail Adresse (z.B: Ehepartnern, oder ggfs. Kindern ohne eigenen Adresse)?
Ich vermute mal, dass man sich dann mit der einheitlichen E-Mail-Adresse und dem zurückgesetzten Kennwort anmeldet und dann diese Meldung erhält:
Also wie sonst auch bei einheitlichen E-Mail-Adressen.
Ggf. haben anschließend die anderen Nutzer mit gleicher Adresse ein Problem.
Aber da gab's schon Feature-Wünsche bzgl. Abgleich Adresse/Kennwort ... -
@seetalchile
Ich glaube, das ist z.Z. so gewollt.
Sozusagen als versteckter Registriervorgang. -
Genau, so kann sich jeder ein Login holen. Er sieht ja nur das was ihm berechtigt wurde.
