Newsletter mit Sicherheitslücke bei E-Mail-Änderung in Persönliche Daten?

**Stranger** · 20.12.2014, 14:03

Wenn ich das Modul "Persönliche Daten" verwende und dort erlaube, dass man die E-Mail-Adresse und den Newsletter ändern kann, dann wird der Empfänger bereits gespeichert, obwohl ich eine E-Mail-Adresse eingetragen habe, die bereits im System ist.
Es erscheint eine Fehlermeldung:
Doppelter Eintrag im Feld "E-Mail-Adresse"!

Das lustige ist, dass der Empfänger 100 mal eingetragen werden kann, wenn ich das Formular 100 mal abschicke. Dadurch könnte man einfach irgendwelche Leute eintragen, wenn man deren E-Mail-Adresse kennt.

Leider werden die falschen Empfänger nicht mal zurückgenommen, wenn ich eine korrekte E-Mail-Adresse eintrage und nochmal abspeichere.

Ist das bei euch auch so oder liegt das an irgendeiner Erweiterung?

**ciaobello** · 20.12.2014, 14:21

Welche Version von Contao und welche Erweiterungen hast installiert?

So kann man dass dann nachstellen.

**Stranger** · 20.12.2014, 16:12

Contao 3.4 aber ich denke mal das wird alle Versionen betreffen.
Hab jetzt testweise ALLE Erweiterungen deaktiviert, außer "newsletter". Und das Problem tritt trotzdem noch auf!

**tab** · 20.12.2014, 16:20

Im Prinzip sollte meiner Meinung nach bei einer Empfänger-Email Änderung - durch wen auch immer - sowieso zwingend ein double opt in erfolgen müssen, so wie bei der Registrierung eben auch. Nur so kann ja sicher verhindert werden, dass nicht jemand ungewollt in den Newsletter-Verteiler aufgenommen wird. Ansonsten kann ich mich mit einer Email-Adresse registrieren und diese dann ändern in welche Adresse auch immer. Jedenfalls auf eine, für die dann kein double opt in nachgewiesen werden kann. Und schon hat der Website-Betreiber ein potenziell teures Problem. Das gilt ja nicht nur für die hier geschilderte Problematik, die eventuell ein Bug sein könnte, sondern auch, wenn alles "wie gewollt" funktioniert. Dass man dann nur einen ungewollten Empfänger eintragen kann (als Ersatz für die eigene Email-Adresse) macht qualitativ keinen Unterschied.

**Stranger** · 20.12.2014, 16:24

Finde ich auch. Aber wie macht ihr das eigentlich bei Änderung einer E-Mail-Adresse in Contao?
Kann man das irgendwo einstellen, dass dann erneut eine E-Mail mit Aktivierungslink geschickt wird?