Üres jelszót miért enged az alaprendszer?

DruTa képe

Üdv!

A Drupal, regisztráció után, ha a látogató magát regelheti, akkor kap egy e-mailt, amiben van egy link, arra kattintva ideiglenesen beléphet és megváltoztathatja a jelszavát.

Mivel én ilyenkor mindig megadom jelszót, fel sem tűnt, hogy NEM KELL megadni jelszót, simán üresen hagyva is engedi menteni a profilt.

Aminek az a következménye, hogy később nem lehet belépni, mivel jelszót kér, de az nincs, üreset meg nem fogad el belépéskor.

Miért nincs megkövetelve jelszó megadása?

Végignéztem minden beállítási lehetőséget, de sehol sem tudom kikényszeríteni a jelszó megadást.

Melyik modulhoz, modulokhoz kapcsolódik a téma?: 
Drupal verzió: 
Dahar képe

Én is csodálta a D7 megjelenésekor, akkor utána is olvatam hogy biztonsági okai vannak meg a spammer-ek elkerülése végett, stb...de már nem is nagyon emlékszem rá, de ha akarod ez majd csinál neked password mezőt:
https://www.drupal.org/project/user_registrationpassword

0
0
DruTa képe

Hogy érted? Miért lenne biztonságos, ha valaki nem ad meg jelszót, hanem üresen hagyja? Az csak arra jó, hogy ne tudjon belépni.

Szerintem te másra gondolsz.

Én arra, amikor nem a rendszergazda regisztrálja a felhasználót, nem kel rendszergazdai ellenőrzés, hanem a látogató regisztrál. Ilyenkor nem ad meg jelszót, hanem kap egy e-mailt, abban egy link egy ideiglenes belépővel, ott megadja a jelszót és kész.

De ha nem adja meg...

Szóval itt sem biztonságról, sem SPAM veszélyről nem beszélhetünk.

Ui.: Mindazonáltal kipróbáltam az ajánlott modult és megteszi, amit meg kell tennie. :-)

0
0
nevergone képe

A kérdésedben a válasz is szerepel:

„A Drupal, regisztráció után, ha a látogató magát regelheti, akkor kap egy e-mailt, amiben van egy link, arra kattintva ideiglenesen beléphet és megváltoztathatja a jelszavát.”

Megváltoztathatja. Vagyis amikor regisztrál, akkor a Drupal automatikusan generál neki egy véletlenszerű jelszót:

https://api.drupal.org/api/drupal/modules!user!user.module/function/user...

  1. if (!variable_get('user_email_verification', TRUE) || $admin) {
  2. $pass = $form_state['values']['pass'];
  3. }
  4. else {
  5. $pass = user_password();
  6. }

A user_password() függvény pedig ezt mondja magáról:

„Generate a random alphanumeric password.”

Ha az egyszeri belépési linkre kattintva nem ad meg új jelszót, akkor ez a generált marad neki. Többféle módon ki lehet kényszeríteni, hogy kötelező legyen új jelszót megadnia, de azt már ennyiből is láthatod, hogy semmiképpen sem marad senki jelszó nélkül.

1
0
DruTa képe

Amit a rendszer generál neki, az nem ismert, csak akkor tudja használni az illető, ha adott időn belül (ha jól emlékszem 2 nap) belép. De ha nem lép be, akkor nem tud belépni később.
Persze kérhet új jelszót, de vannak - gondolom te is ismersz ilyeneket - felhasználók, akik ettől már elakadnak és vagy kérnek segítséget, vagy annyiban hagyják és nem fejezik be a regisztrációt.

Én csak azzal nem értek egyet, hogy miért nem szól a rendszer, mint a piros csillagos mezőknél, hogy hé ember, nem léphetsz tovább, nem mentheted a profilt, mert nem adtál meg jelszót.

Szerintem igazam van.

0
0
nevergone képe

Egy szóval sem mondtam, hogy nincs igazad. Sőt: igazad van.

Viszont a Drupalt, mint olyant, azért is szeretjük, mert roppant mód rugalmas: kiegészíthető, kiterjeszthető. Ez is egy ilyen történet: Ha ezt a működést szeretnéd, kiegészítő modulokkal vagy egy pár soros saját modullal könnyedén elérhető.
Így a kecske is megmarad, a káposzta is jól lakik… vagy fordítva? :)

0
0
DruTa képe

Nem az a lényeg, hogy igazam van-e, csak rosszul fogalmaztam. Hanem, hogy alapból ennek kéne lennie a beállításnak.
Ezt úgy mondom, mint egy javasolt hibajavítást, de mivel te, aki itt a hozzászólásokból úgy látom eléggé értesz a Drupalhoz és szerinted nem kéne alapból így működnie, arra lennék kiváncsi, szerinted miért nem kéne egy húzással úgy módosítani az alaprendszert, hogy eleve így működjön?

Nálam pl. a regelők több mint 10%-a emiatt nem fejezi be a reget, nem lép be.

Persze rá fogom tenni azt a kiegészítő modult, de ezt alapból kéne a rendszernek kezelnie, itt nincs értelme választásnak.

0
0
nevergone képe

Az elv az, hogy a linkre kattintva a felhasználót a saját profiljának a szerkesztéséhez viszi, ahol az adatait is szerkesztheti. Viszont normál esetben a profiloldalára akkor is elmehet, ha a többi adatát szeretné módosítani a jelszaván kívül.

0
0