Navigation

    • Register
    • Login
    • Search
    • Recent
    • Tags
    • Popular
    • Users
    • Groups
    • Search

    Einladungslink soll nach *Klick* ungültig werden.

    Archiv
    2
    2
    489
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • C
      ChrisSsy last edited by

      Hallo

      bei nicht so internetaffinen Leuten in unserer Gemeinde ist folgendes Szenario passiert:

      1. Einladung zu ChurchTools wurde versendet
      2. Person klickt auf den Link in der Mail
      3. Person vergibt Passwort und ist eingeloggt
      4. Person schließt den Browser und weiß nicht mehr wie man auf ChurchTools kommt
      5. Person öffnet letzte Mail und klickt auf den Link
      6. Passwort wird ungültig und Person muss ein neues Passwort eingeben.

      Ich würde mir wünschen, dass der Einladungslink ungültig wird und man dann auf die Startseite von ChurchTools weitergeleitet wird.

      Dies hat auch den Vorteil das wenn bspw. das Postfach zu einem späteren Zeitpunkt kompromitiert wird oder die Email sonst irgendwie in andere Leute Hände fällt, der "Angreifer" nicht einfach das CT Passwort zu einem beliebigen Zeitpunkt zurücksetzen kann.

      Mir ist klar, das das auch jederzeit kann passieren, bspw. zum Zeitpunkt des erstmaligen Eintreffens dieser E-Mail. Alles verhindert kann man nicht, nur wollte ich mit dem obigen Angriffsszenario klar machen, das zu einem beliebigen Zeitpunkt das Passwort zurück gesetzt werden kann auch wenn es bereits gesetzt ist und das würde ich mir wünschen, das das geändert wird.

      Vielen Dank schonmal.

      MaxStro 1 Reply Last reply Reply Quote 10
      • MaxStro
        MaxStro @ChrisSsy last edited by

        @ChrisSsy find ich ne super Idee

        1 Reply Last reply Reply Quote 0
        • First post
          Last post