Einladungslink soll nach *Klick* ungültig werden.



  • Hallo

    bei nicht so internetaffinen Leuten in unserer Gemeinde ist folgendes Szenario passiert:

    1. Einladung zu ChurchTools wurde versendet
    2. Person klickt auf den Link in der Mail
    3. Person vergibt Passwort und ist eingeloggt
    4. Person schließt den Browser und weiß nicht mehr wie man auf ChurchTools kommt
    5. Person öffnet letzte Mail und klickt auf den Link
    6. Passwort wird ungültig und Person muss ein neues Passwort eingeben.

    Ich würde mir wünschen, dass der Einladungslink ungültig wird und man dann auf die Startseite von ChurchTools weitergeleitet wird.

    Dies hat auch den Vorteil das wenn bspw. das Postfach zu einem späteren Zeitpunkt kompromitiert wird oder die Email sonst irgendwie in andere Leute Hände fällt, der "Angreifer" nicht einfach das CT Passwort zu einem beliebigen Zeitpunkt zurücksetzen kann.

    Mir ist klar, das das auch jederzeit kann passieren, bspw. zum Zeitpunkt des erstmaligen Eintreffens dieser E-Mail. Alles verhindert kann man nicht, nur wollte ich mit dem obigen Angriffsszenario klar machen, das zu einem beliebigen Zeitpunkt das Passwort zurück gesetzt werden kann auch wenn es bereits gesetzt ist und das würde ich mir wünschen, das das geändert wird.

    Vielen Dank schonmal.



  • @ChrisSsy find ich ne super Idee


Anmelden zum Antworten
 

Es scheint als hättest du die Verbindung zu ChurchTools Forum verloren, bitte warte während wir versuchen sie wieder aufzubauen.