Skip to content
This repository has been archived by the owner on Nov 3, 2023. It is now read-only.

[3.5] Modul "Passwort vergessen" erzeugt bei Passwortänderung weder Version noch System-Log-Eintrag #8301

Closed
Mynyx opened this issue Apr 5, 2016 · 9 comments
Assignees
Labels
Milestone

Comments

@Mynyx
Copy link
Contributor

Mynyx commented Apr 5, 2016

Das Forentend Modul "Passwort vergessen" erzeugt bei einer Passwortänderung weder eine neue Version noch einen System-Log-Eintrag.

@leofeyer
Copy link
Member

leofeyer commented Apr 7, 2016

Mir fallen dazu zwei Probleme auf:

  1. Die Diff-Ansicht berücksichtigt keine Passwortfelder. Wenn also nur das Passwort geändert wird, ist der Versionsvergleich leer.
  2. Sollten wir Passwortänderungen überhaupt versionieren? Sollte das Wiederherstellen einer früheren Version auch den Passwort-Hash ändern?

@contao/developers /cc

@Toflar
Copy link
Member

Toflar commented Apr 7, 2016

Die Diff-Ansicht berücksichtigt keine Passwortfelder. Wenn also nur das Passwort geändert wird, ist der Versionsvergleich leer.

Da würde ich für einen Platzhalter voten. Also man soll halt sehen, dass sich was geändert hat aber es soll nicht angezeigt werden (man kann mit der Info ja eh nichts anfangen). Z.B. [wurde geändert].

Sollten wir Passwortänderungen überhaupt versionieren? Sollte das Wiederherstellen einer früheren Version auch den Passwort-Hash ändern?

Was spricht dagegen? Mir fällt nix ein. Es wäre auch inkonsistent. Stell dir mal vor ich ändere das Mitglied ID 3 von Hans Muster in John Doe und vergebe ein neues Passwort. Nun fällt mir ein, "ah nee, Hans Muster war schon richtig". Dann stelle ich zurück auf Hans Muster aber er hat jetzt das Passwort von John Doe?

@leofeyer
Copy link
Member

leofeyer commented Apr 7, 2016

Ja, nur wenn der Benutzer sein Passwort ändert, will er das geänderte nutzen; egal, ob ich eine frühere Version seiner Adresse wiederherstelle oder nicht. Ich finde daher, dass wir Passwörter gar nicht versionieren sollten.

@Toflar
Copy link
Member

Toflar commented Apr 7, 2016

Da bin ich dann wohl anderer Meinung.

@leofeyer
Copy link
Member

leofeyer commented Apr 7, 2016

Ich finde beide Ansätze haben Vor- und Nachteile.

@aschempp
Copy link
Member

aschempp commented Apr 7, 2016

Ich sehe auch Vor- und Nachteile. Aber die Wahrscheinlichkeit dass jemand sein Passwort ändert (insbesondere mit dem Frontend-Modul!) und danach wiederherstellen will, halte ich doch für eher unwahrscheinlich :D

@Mynyx
Copy link
Contributor Author

Mynyx commented Apr 7, 2016

Wenn bei einer Änderung des Benutzers über das Backend nur das Passwort geändert wird, dann wird schließlich auch eine neue Version erstellt.

Die oben gezeigten Punkte müsste man also allgemein lösen, diese haben keinen unmittelbaren Zusammenhang mit der "Passwort vergessen" Funktion.

@leofeyer leofeyer added the defect label Apr 8, 2016
@leofeyer leofeyer added this to the 3.5.10 milestone Apr 8, 2016
@leofeyer leofeyer modified the milestone: 3.5.10 Apr 19, 2016
@leofeyer
Copy link
Member

Wie am 21. April auf Mumble besprochen, sollen Passwort-Änderungen versioniert werden und in der Diff-Ansicht angezeigt werden.

@leofeyer leofeyer modified the milestones: 3.5.12, 3.5.13 Apr 21, 2016
@leofeyer leofeyer self-assigned this Jun 13, 2016
@leofeyer
Copy link
Member

Geändert in 3164ebe.

Sign up for free to subscribe to this conversation on GitHub. Already have an account? Sign in.
Labels
Projects
None yet
Development

No branches or pull requests

4 participants