Suche

[Martin]

Hi,

ich setze die Registrierung per Aktivierungslink schon seit längerem ein.

Da ich gerade dabei bin, auf einen neuen Server zu ziehen, habe ich mich mal wieder selbst angemeldet.

Dabei hab ich gesehen, dass ich nur eine Mail mit dem Aktivierungslink zugeschickt bekomme.
Eine "normale" Bestätigungsmail mit meinen Anmeldedaten bekomme ich keine.

Folge: Wenn das Einloggen über den Button "sofort einloggen" nicht funktioniert, weiß ich (zumindest bei generiertem Passwort) meine Anmeldedaten nicht!

Bevor ich mir jetzt selbst was zusammenbastle, wollte ich mal nachfragen, ob ich der einzige bin, den das stört...

Viele Grüße,
Martin

[schnikemike]

Edit:


Usernamen
Angemeldete Emai

Domain  müssten rein mehr nicht.

Denke ich.


LG

[Martin]

... und eben das Passwort. Denn wie gesagt, ein automatisch generiertes Passwort bekommt ein neuer User ja garnicht erst zu sehen

Hab mir auch gerade schon was gebastelt, geht ohne großen Aufwand, der User bekommt dann einfach bei "richtiger Anmeldung", also wenn seine Daten in die $prefix_users geschrieben werden, die gleiche Mail, als wenn er sich direkt anmelden würde.

[schnikemike]

hm ja stimmt .Dann  natürlich auch das passwort.

Was hast du verändert.

[Martin]

Eigentlich nur das hier in der Datei User_Registration/index.php:
-------------------------------------------------------------------

function sendnewusermail()

Code Auswählen Erweitern


<?php
    } else if ($GLOBALS['vkpUserregoption'] == 3) {
        // / eigenes Passwort, Aktivierungslink zusenden
        $user_stat = 0;
        /* edit: Email auch bei Registrierung ueber Aktivierungslink */
        $subject = "" . _YA_REG_MAILSUBJ3 . " " . $GLOBALS['sitename'] . "";
        $message .= "" . _YA_FOLLOWINGMEM . "\n\n";
        $message .= "  -" . _NICKNAME . ":\t " . $uname . "\n";
        $message .= "  -" . _PASSWORD . ":\t " . $mailpass . "\n";
        $message .= "  -" . _EMAIL . ":\t " . $email . "\n";
        $message .= $optmessage;
        /* ENDE edit */

    } 
?>

function account_linkactivate()

Code Auswählen Erweitern


<?php
        $qry = "INSERT INTO ${user_prefix}_users SET " . implode(', ', $fields) . "";
        $result = sql_query($qry);
        if (!$result) {
            mxErrorScreen(_DATABASEERROR . "Insert from temptable into usertable");
            return;
        } else {
            $the_needed_uid = sql_insert_id();
        }
        /* edit: Email an User mit Name & Passwort */
        
        $userdata = Array (
          "uname" => $uname,
          "email" => $email,
          "mailpass" => $readable_password
        );
        
        /* ENDE edit */
        if (!empty($the_needed_uid)) {
            $the_needed_data = $row;
            $the_needed_data['pass'] = '';
            $the_needed_data['uid'] = $the_needed_uid;
            $the_needed_data['uname'] = $uname;
            sendnewusermail($userdata);
            sendnewuserpm($the_needed_data);
        }
?>


[jubilee]

Dabei hab ich gesehen, dass ich nur eine Mail mit dem Aktivierungslink zugeschickt bekomme.
Eine "normale" Bestätigungsmail mit meinen Anmeldedaten bekomme ich keine.

... und eben das Passwort. Denn wie gesagt, ein automatisch generiertes Passwort bekommt ein neuer User ja garnicht erst zu sehen

Eine Option bei generierten Passwort einen Aktivierungslink zu senden, gibt es beim Pragmamx nicht.
Alle Anmeldeoptionen, bei denen mit Aktivierungslink gearbeitet wird, sind immer mit selbst generierten Passwort und niemals mit systemgenerierten Passwort.
Die Optionen mit systemgenerierten Passwort sind :
Generiertes Passwort zusenden
und
Generiertes Passswort zusenden mit Adminfreischaltung

Im ersten Fall wird das generierte Passwort sofort zugesendet (gestetet und funktioniert einwandfrei)
Im zweiten Fall wird erst nur eine ANMELDEBESTÄTIGUNG zum User gesendet. Das Passwort wird erst verschickt, NACHDEM der Admin den Account freigeschaltet hat (gestestet und funktioniert einwandfrei)

Bei den Anmeldeoptionen mit eigenem Passwort OHNE Adminfreischaltung, wird der Account sofort nach Bestätigung über den Aktivierungslink freigeschaltet (i.d.R. wenige Minuten nach Registrierung). da kann man ja erwarten, das der User sichg das Passwort so lange merken kann.

In der Option eigenes Passwort mit Aktivierungslink und Adminfreischaltung, wird das Passwort wieder nach der Freischaltung durch den Admin in der Bestätigungsmail versendet (getestet und funktioniert einwandfrei).

Also die einzige Option in der nicht nochmal eine Mail mit dem Passort versendet wird, ist die in der der User seinen Account innerhalb weniger Minuten selbst über den Aktivierungslink freischalten kann (eigenes Passwort, Aktivierungslink zusenden). Wenn der User sich nicht mal für wenige Minuten sein Passwort merken kann ....

Also aus meiner Sicht kann ich da keinerlei Problem erkennen ....

MfG

[Martin]

Hi Jubilee,
du hast fast recht
Bei Anmeldung über Aktivierungslink, ohne Adminfreischaltung steht bei Passwort "optional" dabei. Was auch richtig ist, denn wenn ich keines eingebe, wird ein Passwort generiert.

Und eben dann brauche ich die Mail mit den Zugangsdaten.

Ansonsten hast du natürlich recht. Aber geh doch mal von dir als User aus - ist es nicht angenehm, wenn du - auch bei eigenem Passwort - eine Mail mit den Zugangsdaten bekommst? Bei Anmeldung in -zig Foren kann man schon mal den Überblick verlieren und hat damit eine Möglichkeit, die Anmeldetaten nachzuschlagen.

Außerdem darf man den DAU - Faktor nie vergessen...

[jubilee]

Schau diese index.php aus modules/User_Registration/
Mit den Änderungen (schau nach //Changed here for Password-Mail at Reg-Option 3 )
sollte es funktionieren.
Dann bekommt der User auch wenn ein generiertes Passwort in Registrations - Option 3 erstellt wurde
nach absenden des Aktivierungslinkes eine Mail mit dem Passwort.

MfG


[gelöscht durch Administrator]

[Martin]

jo, (fast) genau so hab ich´s ja weiter oben auch gepostet. Wunderbar!

Meinst du, ihr baut das fest ins System ein? Fänd ich schon sinnvoll...

[jubilee]

Meinst du, ihr baut das fest ins System ein? Fänd ich schon sinnvoll...

Jo. ich denke, das kann man machen.
Obwohl das nicht gerade die Sicherheit vergrössert.


MfG

[NeMeSiSX2LC]

Aber die Benutzerfreundlichkeit

[jubilee]

Aber die Benutzerfreundlichkeit

MOOOOOMENT. Normalerweise gibt es dort noch den Auto-Login Button ("sofort einloggen").
Der wird bei einem aktivierten Account eigentlich immer mit den korrekten Usernamen und Passwort
versorgt und ich habe bisher noch nicht erlebt, das der nicht funktioniert wenn der aktivierungslink korrekt angegeben/ausgeführt wurde .....

das nur mal zur Info .... 


MfG

[Martin]

Den Button hab ich schon entdeckt.

Aber von meinen ~ 15 Testanmeldungen hat er 3 Mal nicht funktioniert, davon war wohl zweimal eine noch vorhandene Session einer vorigen Anmeldung schuld, aber einmal klappte es aus einem anderen Grund nicht. Und vielleicht mag ich mich ja einfach nicht gleich einloggen

Also, ich fänds schon sinnvoll und die Sicherheit förtert es nicht - verringert sie aber auch nicht weiter als bei "normaler" Anmeldung...