Fehlermeldung bei "Passwort zurücksetzen"

Hi Ansgar,

wurde das neue Passwort denn schon aktiviert? (Also können die User sich mit dem neuen Passwort aus der Mail einloggen nach dem Reset?) Haben die User vielleicht neugierige E-Mail-Programme, wo ein "tolles KI-Tool“ oder ein tolles "Link mal vorprüfen und einen schönen Screenshot davon generieren"-Feature den Link schon beim Lesen der Mail auslöst und deshalb die Aktion bereits ausgeführt wurde? Es gab da mal solche Dinge hier und da, die furchtbar unsicher sind per se und glücklicherweise langsam wieder aus der Mode kommen. Manchmal hat sogar ne installierte Sicherheitssoftware so ein Phänomen ausgelöst, weil irgend ein "Phishing Schutz" erstmal knackhart auf alle Links geklickt hat und die IPs der User damit eher exposed hat, als wenn sie nicht installiert gewesen wäre. Super Sache das ... (not).

Manchmal sind es die User auch selbst, wenn sie zum Beispiel auf dem Smartphone einen "Force Touch" auslösen (bzw. Link länger drücken), die Vorschau gerade aufploppen will und den Link entsprechend öffnet, die User danach aber erst tippen und sich der Link dann erst im Browser (wieder) öffnet, aber durch die Vorschau ja im Grunde schon aufgerufen wurde. Die Seite wurde ja dann in der Vorschau schon angerufen, auch wenn der Nutzer das vielleicht nur kurz hat aufploppen sehen, aber der HTTP(s) request an den Server ist damit ja schon durch.

Für (gerade eingeloggte) Bereiche des Forums verhindert CFProtect mit dem zusätzlich intern generierten Rollcode ja solche Dinge, aber beim Passwort Reset ist der (ausgeloggte) Link ja die zweite Bestätigung, sonst müsste der User da nochmal selbst irgendwas zusätzlich eingeben (Captcha, Zahlencode, was auch immer - wie beispielsweise bei der neuen 2FA Registrierungsfunktion seit der v4.13). Das würde ein Reset ja nochmal verwirrender machen und das über einen langen Link-Schlüssel zu machen sorgt dafür, dass man in einer Vorschau-Meldung (z.B. auf dem Smartphone) keinen Zahlencode sehen kann als unbefugter, sorgt aber dann wieder dafür, dass alles was vorher auf den Link klickt (auf Userseite), diesen mitunter schon aktiviert. Da so etwas bei suboptimalen Mail-Clients aber maximal dann passiert, wenn der User die Mail ohnehin geöffnet hat, und solche glücklicherweise eine Rarität darstellen, ist die aktuelle Implementierung vermutlich der beste Kompromiss für dieses Feature.

Einen anderen Einfall hätte ich da nicht, wenn der Link korrekt aufgerufen wird, mit dem vollständigen Schlüssel daran, und so etwas ja nur sporadisch bei wenigen Usern auftritt. Die Funktion selbst ist ja recht isoliert von allem anderen, was man so ändern könnte. Hab auch gerade kürzlich ein Forum von einer anderen Software zu CF4 konvertiert für einen Kunden, wo die Leute (wegen der Verschlüsselung) sich ein neues Passwort zusenden müssen und in der Umgebung (PHP 8.3) keinerlei solche Rückmeldungen erhalten, dass die Funktion nicht mehr tut. Datenbank als Problem schließe ich auch aus, der temporäre Schlüssel wird nur in der Usertabelle abgelegt, beim Aktivieren überprüft, und dann dort wieder geleert. Also wenn die User-DB kaputt wäre, dann hätte das Forum definitiv noch viele andere Probleme. Da sollte also alles passen.

Denke also eher Userproblem als Forenproblem, insbesondere, wenn es nur bei manchen passiert.

Viele Grüße,
Chris

Hi Markus,

habt Ihr denn die neueste CF4-Version installiert und auch das Template auf dem aktuellen Stand?

Der Code, der in der Mail angefügt wird, ist in der UserDB zu finden bei dem User, der gerade einen Reset durchführt, im Feld user_actkey und hat 40 Stellen. Nach Klick des Links wird dieses Feld wieder geleert, wenn der Code stimmt, und das Passwort aktiviert.


Viele Grüße,
Chris

Hi Markus,

ist der Code auch 1:1 so im entsprechenden Feld in der Usertabelle zu finden?
Wurde da vielleicht die Länge des Feldes in der DB geändert und es wird etwas abgeschnitten? Im Zweifel aus dem Feld z.B. mal ein VARCHAR(100) machen.

Ansonsten wäre beim Passwort Reset die classes/account/AccountManager.class.php und im Template die password_reset.htm verantwortlich.
Ggf. könntest Du die mal neu hochladen, wenn die Probleme bestehen und die Codes in DB & Link gleich aussehen.

Wenn das immer noch nicht geht, dann wäre es glaube ich recht hilfreich, wenn ich das mal vor Ort "debuggen" dürfte.

In dem Fall wäre es nett, wenn Du mir einen FTP Zugang & phpMyAdmin Zugang sowie einen Testaccount im Forum zukommen lassen würdest, wenn Du magst.
Dann kann ich das mal prüfen. Die Logindaten werden nach dem Support dann natürlich direkt wieder gelöscht.
Ansonsten wären alle weiteren Tipps ein bisschen ein Blindflug, in seltenen Fällen könnte ja z.B. auch ein Plugin oder was ganz exotisches auf dem Server so ein Problem auslösen, das ist dann immer geschickter, da mal "vor Ort" zu recherchieren.


Viele Grüße,
Chris



PS: Habe gerade mit 3 verschiedenen Testsystemen nochmal die Funktion des Hauptpaketes überprüft (PHP 7.4, 8.3 und 8.4 mit MySQL 8 strict) - läuft perfekt, also kein Fehler im normalen Forenpaket, das muss etwas spezifisches bei Euch sein.

Hallo Raimund,

vielen Dank für Deine Rückmeldung!

CHAR(64) ist für das Feld der Default, der sollte auch in jeder Konstellation passen. Aber was Du berichtest, bestätigt dann recht deutlich meinen ursprünglichen Verdacht: Outlook "Classic" bzw. auch manche frühere Versionen von Outlook.com (mittlerweile wohl nicht mehr) waren definitiv bei den (wenigen) Clients dabei, wo das so umgesetzt wurde. Und Edge löst (keine Ahnung, ob das immer noch so ist) manchmal durch seine integrierten KI-Tools so etwas aus, weil offenbar Webinhalte und sogar Folgeseiten direkt gespidert werden.

Aus meiner Sicht sollte man hier definitiv einen Wechsel des E-Mail-Clients in Betracht ziehen, da man auch bei Phishing- oder Werbemails ansonsten (ungewollt) auslöst, dass man den Versendern ein "ich existiere"-Beacon zukommen lässt. Etwas, was gerade im Bereich E-Mails eigentlich seit Jahrzehnten als mögliche Sicherheitslücke bekannt ist, weshalb so gut wie jeder anständige Client sogar direkt eingebettete / verlinkte Bilder erst einmal blockiert, außer, man entscheidet sich bewusst dagegen.


Viele Grüße,
Chris