Passwort zurück setzen - Meldung falsch oder Vorgang falsch

HorstG · 15. Oktober 2018

Ein Kunde meldete sich heute das die Funktion Passwort zurück setzen nicht ging.

Ich also mit meinen Testuser versucht es zu reproduzieren. Ging aber 1a. Was mir aber dabei aufgefallen ist wäre folgendes:

Nach Eingabe einer Mailadresse kommt diese Meldung:

Die Meldung macht einen ja weis man bekommt eine weitere Mail mit dem Bestätigungscode!

Dieser wurde aber sofort vom System direkt eingetragen und es kam natürlich auch keine Mail mehr. Nach Eingabe des Benutzernamens ging es auch ganz normal mit neuen Passwort usw. vorwärts!

Ist da von mir irgendwas falsch eingestellt oder diese Meldung, also der Text an für sich, einfach nur falsch?

HorstG · 18. Oktober 2018

Hm, gar keiner irgendeine Meinung?

firstlady · 18. Oktober 2018

Die Meldung stammt aus Joomla 3.9 im Zusammenhang mit den neuen Funktionen des Datenschutzpakets. Insofern schon sehr eigenartig, da diese Version erst im stadium RC ist.

Oder hats du eine Erweiterung im Einsatz, die diese Meldung verwendet?

HorstG · 18. Oktober 2018

Da ist als einzige "größere" Komponente OSG Seminar Manager im Einsatz. Hmm, dann müsste aber doch von dieser, oder einer anderen, Komponente ein Override existieren, oder?

firstlady · 18. Oktober 2018

Ich sehe gerade, die Meldung gabe es auch schon bei 3.8.1x. Ist mir erst jetzt aufgefallen, denn ich vergesse keine Passwörter und meine User anscheinend auch nicht

Es kommt mir aber seltsam vor, dass der Key der 2FaktorAuthentifizierung.sichtbar ist. Vielleicht ist zero24 hier der richtige?

zero24 · 19. Oktober 2018

Hi,

sorry für die späte Antwort. Ich hab mir das ganze gerade angesehen.

Zitat

Es kommt mir aber seltsam vor, dass der Key der 2FaktorAuthentifizierung.sichtbar ist.

Das Token ist das so genannte Resettoken - Damit stellt Joomla sicher das nur jemand welcher auch die Mail bekommen hat (also der owner vom account ist) auch das PW ändern kann. Das hat nichts mit dem 2fa Token zu tuen

Zitat von HorstG

Die Meldung macht einen ja weis man bekommt eine weitere Mail mit dem Bestätigungscode!

Jein. Die Meldung wird zu zwei Zeitpunkten angezeigt. Zum einen wenn nachdem man seine e-Mail eingetragen und abgeschickt hat. (Dann wird noch eine Mail kommen) und einmal wenn man auf den Link aus dem Mail klickt (dann ist die Mail schon da).

Zitat von HorstG

Dieser wurde aber sofort vom System direkt eingetragen und es kam natürlich auch keine Mail mehr. Nach Eingabe des Benutzernamens ging es auch ganz normal mit neuen Passwort usw. vorwärts!

Ja über den Link aus der Mail wird das Token direkt übernommen.

Ich kann die Verwirrung verstehen und habe entsprechend einen Patch Vorgeschlagen um den String ggf. etwas anpassen zu lassen:

https://github.com/joomla/joomla-cms/pull/22736

Mal sehen was die native Speaker dazu sagen und ggf. noch an dem Vorschlag etwas ändern. Wenn wir das im Core drin haben können wir das auch in der deutschen Übersetzung anpassen.

Danke!

firstlady · 19. Oktober 2018

Zitat

Das Token ist das so genannte Resettoken - Damit stellt Joomla sicher das nur jemand welcher auch die Mail bekommen hat (also der owner vom account ist) auch das PW ändern kann. Das hat nichts mit dem 2fa Token zu tuen

Danke dass du dich kümmerst! Ich habe in den Code geschaut und gesehen dass der Wert von "tfa" in das Feld eingetragen wird .. das war also ein Trugschluss. Asche auf mein Haupt.