tomstig
OC Addicted
|
angenommen, ihr seid böse...
ihr kommt in ein inetcafe und jemand hat sich bei oc.at vergessen auszuloggen. ihr versucht, diesen account durch passwortänderung zu "übernehmen". in der user cp unter "edit password" wird das nicht möglich sein, da man das "present password" nicht weiß. aber es gibt ja einen button "forgotten password?". hierzu braucht man aber die email-adresse des users -- aber kein problem, die kann man ja ändern. wenn man nun die email-adresse geändert hat, bekommt man auf die angegebene email-adresse ein email um die änderung zu bestätigen.
so, um klartext zu sprechen: einem "freund" ist das mal auf meinem pc passiert, dass er sich wo eingelogged hat und sich dann nicht mehr ausgelogged hat. ich hab dann eben das oben beschrieben gemacht, nur bin ich beim email-adressen ändern stecken geblieben, weil er das bestätigungsemail nicht an meine angegebene email-adresse geschickt hat, sondern an die alte. dadurch war es mir nicht möglich, seine emailadresse geschweige denn sein passwort zu ändern.
[ot]jetzt bitte net flammen, weil ich das machen wollte: hatte ehrlich gesagt nur im sinn, dass ich eam ein wenig schreck... weil was mach ich in einem c&c generals forum, wenn ichs gar nicht spiele?[/ot]
hier auf oc.at wäre das mögliche, weil man das bestätigungsemail an seine eigene adresse geschickt bekommt und nicht an die alte.
so, frage(n): ist das beabsichtigt oder ein fehler? wenn beabsichtigt: wieso? glaubt ihr so an die user, dass sie sich jedesmal auf fremden pcs wieder abmelden?
|
watchout
Legendundead
|
naja, auf fremden PC's sollte man mal garnicht das Cookie aktivieren...
Obwohl ich eigentlich das Verhalten des anderen Forums auch falsch finde. Normal sollte man eine PW-Abfrage beim ändern der E-Mail Adresse haben um ganz sicher zu gehen, aber nicht an die Alte Adresse das PW schicken, weil die existiert ja normal nicht mehr wenn man die Neue einträgt...
|
othan
Layer 8 Problem
|
naja, auf fremden PC's sollte man mal garnicht das Cookie aktivieren...
Obwohl ich eigentlich das Verhalten des anderen Forums auch falsch finde. Normal sollte man eine PW-Abfrage beim ändern der E-Mail Adresse haben um ganz sicher zu gehen, aber nicht an die Alte Adresse das PW schicken, weil die existiert ja normal nicht mehr wenn man die Neue einträgt... true. was hat es für einen sinn die funktion der neuen e-mail adresse zu checken, wenn die bestätigung an die alte geht? am besten beim e-mail adressen ändern auch eine pw-abfrage einbauen und somit kann man ohne pw die "wichtigsten" daten (e-mail und passwort selbst) nicht ändern.
|