[GELÖST] Passwort vergessen Link Lebensdauer?

**rory_ch** · 15.03.2017, 08:37

Hallo zusammen

Habe einen Fall, bei dem Besucher die das Passwort zurückgesetzt haben, den Link zu lange ruhen gelassen haben und meinen die Lebensdauer davon ist zu klein.
Gibt es überhaupt eine Lebensdauer?
Kann ich diese beeinflussen?

Zudem, wie kann ich die Fehlermeldung die bei falscher Eingabe ausgegeben wird anpassen?
Ich kann den String "Anmeldung fehlgeschlagen (Benutzernamen und Passwörter unterscheiden zwischen Groß- und Kleinschreibung)!" im Github nicht finden.

Danke im Voraus

**DampfHans** · 15.03.2017, 15:29

Die verschiedenen Zeiten kannst Du im Backend anpassen unter "Einstellungen" im Bereich Speicherzeiten - wobei ich nicht weiß, ob eine der Speicherzeiten den von Dir beschriebenen Link beeinflussen - einfach mal probieren :-) Ich denke mal, dass das Session-Timeout ein guter Kandidat ist.

Der gesuchte String liegt in system/modules/core/languages/de/default.xlf - dort anpassen macht aber wenig Sinn, weil es nicht updatesicher wäre. Lieber in einer lokalen Config überschrieben.

Tschau

**rory_ch** · 16.03.2017, 07:48

Besten Dank schon mal für die Auskunft.

Das mit dem Login Fehler habe ich über das system/config/langconfig.php und einem neuen Eintrag gelöst:

PHP-Code:


 $GLOBALS['TL_LANG']['ERR']['invalidLogin'] = 'Benutzername oder Passwort stimmt nicht! <br>Passwort vergessen? <a href="passwort-vergessen.html">Hier zurücksetzen</a>';

Bezüglich Lebensdauer, das scheint mir auch nicht umbedingt die Lösung zu sein.
Diese Werte habe ich auch bereits gesehen, die scheinen aus meiner Sicht aber keinen Einfluss zu haben.

Im Code steht nur die Methode "findOneByActivation".
Daher habe ich das Gefühl, dass diese "ewig" haltbar sein sollte bzw. bis er verwendet wird.
Kann das sein?

**PaddySD** · 18.03.2017, 18:23

So sieht's zumindest im Code aus...? Es wird aber kein Zeitstempel beim erstellen des Token für die Rücksetzung angelegt bzw gespeichert... Fände ich irgendwie merkwürdig.

Also wenn's sowas noch nicht gibt, sollte man da aber eine Erweiterung für haben.

**rory_ch** · 20.03.2017, 08:21

Habe zurzeit einen Test laufen.
Per PRTG kontrolliere ich in der Datenbank diesen Token.

Seit 4 Tagen nun scheint dieser immer noch vorhanden zu sein, also auch nicht per Cron Job oder der gleichen bereinigt zu werden.
Nach 7 Tagen werde ich testen, ob das zurücksetzen des Passwort noch geht.
Aus meiner Sicht ist dieser Token tatsächlich "ewig" haltbar bzw. bis man Ihn mal verwendet.

Dann müssen die Fälle die mit gemeldet worden sind ein anderes Problem gehabt haben.

**PaddySD** · 20.03.2017, 11:15

Guter Plan, auch wenn ich dir anhand des Codes sagen kann, da wird sich nix tun...

Ich setze mich in den kommenden Tagen mal dran, und schreibe eine kleine Erweiterung dazu, das finde ich durchaus mal wichtig. Ausserdem habe ich noch eine andere Baustelle beim Login, da muss ich sowieso ziemlich in die "selbe Ecke" im Code.

Aber teste bitte weiter, nicht dass ich mich verlesen habe!

**PaddySD** · 21.03.2017, 23:26

So, ich hatte heute Abend ein bisschen Zeit.

Bist Du so nett, und testest das mal. Ich hoffe, ich hab nichts übersehen.

https://gitlab.com/paddy0174/activationLinkTimeout

**rory_ch** · 04.04.2017, 09:55

Danke für dein Feedback

Habe meinen Test 7 Tage lang laufen gelassen und hat auch dann noch funktioniert.
Aus meiner Sicht gibt es keine Ablaufzeit, es ist solange "ausstehend" bis man einen Versuch tätigt.

**PaddySD** · 05.04.2017, 11:14

Deshalb die Erweiterung von oberhalb... Probierst Du mal, oder keine Lust?

**rory_ch** · 05.04.2017, 12:16

Hallo

Sry ist bei mir etwas untergegangen.
Von mir aus kann der auch so alt werden wie er will, ich wollte ja dass es nicht zu schnell abläuft.

Schaue mir aber bei Gelegenheit mal deine Erweiterung an, danke schonmal für den Einsatz!