Forgot password form not working when session cookies are disabled

WBCE / WBCE_CMS

Core package of WBCE CMS. This package includes the core and the default addons. Visit https://wbce.org (DE) or https://wbce-cms.org (EN) to learn more or to join the WBCE CMS community.

https://wbce-cms.org

GNU General Public License v2.0

32 stars 22 forks source link

Forgot password form not working when session cookies are disabled #517

Closed instantflorian closed 2 years ago

instantflorian commented 2 years ago

When the flag define('NO_SESSION_COOKIE',true); is set in the config.php, it is not possible to submit forms which use the WBCE built in captcha mechanism. But: Since the "Forgot password" form uses that captcha too to avoid brute force attacks, it is no longer possible to get a new password if session cookies are disabled. Probably the only solution is to show the captcha only if the flag NO_SESSION_COOKIE is not set.

ghost commented 2 years ago

This is an already known Issue by design see release notes

instantflorian commented 2 years ago

Issue wieder aufgemacht. Auf Kontaktformulare kann man verzichten bzw. bei diesen das Captcha ausschalten. Beim Passwort-Vergessen-Formular haben die Nutzer:innen nicht diese Möglichkeit, deshalb muss das mMn systemseitig abgefangen werden.

ghost commented 2 years ago

@instantflorian ich hab mir deinen Code und den Entwicklungsthread auf die schnelle angesehen.

In der wsession.php#L70 gibt es einen pattern, hier sollte es reichen den include hinzuzufügen aber bitte den entsprechenden Thread berücksichtigen, da es Nebenwirkungen haben könnte.

Wenn man admin, modules und include ausnimmt dann bringt einem der no cookie Modus nichts mehr, da nur mehr Bereiche keine Cookies machen dürfen, die von Haus aus keine Cookies erzeugen