Hallo,
bei unserem Forum haben wir das so geregelt, das bei jeden Benutzer die Adresse hinterlegt sein muss. Die Adress-Daten bleiben geheim, der Name wird aber im Profil angezeigt.
Um zu verhindern, das Fake-Adressen eingegeben werden, sollen die Registrierungsdaten, also das 1. Paßwort per Post verschickt werden.
Ich habe die Registrierung erstmal so eingestellt, das Neuzugänge vom Admin freizugeben sind. Wenn ich die Leute freigebe, erhalten die zwar noch eine Mail, wo aber drinsteht das das Paßwort per Post verschickt wird.
Ich habe nun bedenken, das die Leute wenn die Freigeschaltet sind einfach die Paßwort-Vergessen-Funktion benutzen und so einfach ins Forum, mit Fakedaten spatzieren.
Welche Chancen habe ich das ganze sicherer zu machen?
Grüße
Norbert
sortiere die betreffenden user in eine extra gruppe ein
und verbiete die pwvergessenfunktion für eben diese gruppe.
(evtl mußte dafür am code was dazuschreiben)
Hmm Standardmäßig kann man scheinbar keiner Gruppe das PW-Vergessen deaktivieren. Gibts dafür ein Trick?
Programmierarbeiten möcht ich möglichst vermeiden.
Es gibt ja auch sowas wie einen Aktivierungscode. Könnte man damit nicht was deichseln? Ist mir gerade so aufgefallen. Also ich mir das ganze Admin nochmal angesehen habe.
Wenn die User nicht freischaltet sind, dann können sie auch nicht die Passwort-Vergessen-Funktion benutzen.
D.h. du verschickst einfach direkt nach der Registrierung ne Email, dass der Aktivierungscode per Post kommt und dann können die sich selber freischalten, wenn der Code angekommen ist.