Multiple Accounts ermöglichen

Seferd · October 20, 2020 at 10:25 PM

Hi!

Ich versuche gerade heraus zu finden, wie man es ermöglichen kann sich mit meheren Accouns auf eine EMail-Adresse anzumelden. Da die EMail-Adresse nicht der PrimaryKey ist, dürfte es da eigentlich auch keine Probleme geben, da die EMail-Adresse nicht für die Identifizierung benutzt wird.

Man müsste es also nur die Überprüfung bei der Registrierung deaktivieren. Des weiteren darf der Login und das PW zurück setzen nur noch mit dem Benutzernamen und nicht mehr mit der Email-Adresse möglich sein.

Nun hab ich etwas gestöbert und habe die Datei RegisterNewActivationCodeForm.class.php gefunden. In dieser wird die EMail-Adresse validiert. Problem ist nun, selbst wenn ich die Überprüfung ausbaue und die Datei auf den Server schiebe, kann ich immer noch nicht eine Email-Adresse doppelt verwenden.

Da ich keine weitere Datei finden konnte, die die EMail-Adresse überprüft, bin ich mir ziemlich sicher, an der richtigen Stelle zu sitzen. Meine Vermutung ist daher eher, dass die Datei auf dem Server nicht aktualisiert wird. Am Cache liegt es nicht, den habe ich geleert.

Hat einer ansonsten noch eine Idee?

Hier mal die Methode die zuständig ist.

Code

    /**
     * Validates the email address.
     */
    public function validateEmail() {
        if (!empty($this->email)) {
            // check whether user entered the same email, instead of leaving the input empty
            if (mb_strtolower($this->email) != mb_strtolower($this->user->email)) {
                if (!UserRegistrationUtil::isValidEmail($this->email)) {
                    throw new UserInputException('email', 'invalid');
                }
                
                // Check if email exists already.
                if (!UserUtil::isAvailableEmail($this->email)) {
                    throw new UserInputException('email', 'notUnique');
                }
            }
            else {
                $this->email = '';
            }
        }
    }

Display More

**Alexander Ebert** · October 20, 2020 at 10:45 PM Official Post

Die Mehrfachverwendung der selben E-Mail-Adresse wird technisch nicht unterstützt und führt bei einer Doppelt- bzw. Mehrfachbelgung zu Laufzeitfehlern. Eine Aushebelung dieser Prüfmaßnahmen wird von uns unter keinen Umständen empfohlen.

Seferd · October 20, 2020 at 10:48 PM

Wird es in Zukunft eine Möglichkeit für multiple Accounts geben?

Tobias777 · October 21, 2020 at 1:33 AM

Quote from Seferd

Wird es in Zukunft eine Möglichkeit für multiple Accounts geben?

Wozu genau soll es denn gut sein, dass mehrere Accounts die selbe E-Mail Adresse haben? Accounts erstellen lassen kannst du deine Mitglieder ja so viel du willst, bei deaktivierter E-Mail Verifizierung auch ohne echte Mailadresse.

Seferd · October 21, 2020 at 10:42 AM

Ist auf meinem Baord "von nöten". Wäre aber auch eine Idee, danke dir.

SoftCreatR · October 21, 2020 at 10:45 AM

Darf man fragen, warum das von Nöten ist?

Darklord · October 21, 2020 at 10:46 AM

Moin zusammen,

hinzukommt, das man bei den meisten E-Mailanbietern sogenannte Alias E-Mailnamen anlegen kann, welche dann in dem normalen E-Mail-Postfach landen, aber eben unter z.B. User1@domain.de statt User@domain.de.

Seferd · October 21, 2020 at 1:15 PM

Quote from SoftCreatR

Darf man fragen, warum das von Nöten ist?

Betreibe ein Forenrollenspiel-Forum. Da haben viele Spieler automatisch mehrere IDs, mit denen sie parallel spielen. Da haben wenige nur einen Account und da ist es in meinem Fall halt schlecht, dass man sich nur ein Account pro Spieler hat.

Geronimo · October 21, 2020 at 3:16 PM

Vielleicht könnte man generell darüber nachdenken, weshalb die E-Mail-Adresse eine solche Sonderstellung besitzt, und man sie bspw. auch nicht als Pflichtfeld entfernen kann, auch wenn man überhaupt keine E-Mail-Adressen benötigt und verarbeiten möchte. Der Benutzer könnte ja immer noch später eine E-Mail-Adresse hinterlegen, wenn er Benachrichtigungen empfangen, oder die Möglichkeit haben möchte, sein Passwort per E-Mail zurückzusetzen. Mehrere Benutzer unter einer E-Mail-Adresse zu ermöglichen, wäre aber tatsächlich ein guter erster Schritt, denn es sollte egal sein, ob bereits jemand anderes diese E-Mail-Adresse verwendet.

norse · October 21, 2020 at 6:02 PM

Alle Jahre wieder.....

Gruß norse

Geronimo · October 21, 2020 at 7:10 PM

Ja. Das Thema bleibt aktuell. Bei vielen Anwendungen braucht man schlicht und ergreifend keine persönliche Mailadresse. Und im Sinne der Datensparsamkeit sollte man zumindest gut begründen können, weshalb man zwingend eine Mailadresse voraussetzt, obwohl dazu technisch keine Notwendigkeit besteht und man sie lediglich für einige Komfortfunktionen (Benachrichtigungen, Passwortzurücksetzung, ???) benötigt.

SoftCreatR · October 21, 2020 at 8:18 PM

Zum Beispiel zur Legitimation bei Anfragen bzgl. DSGVO. Zudem sehe ich die Möglichkeit der Passwort-Rücksetzung nicht als Komfortfunktion.

Quote from Geronimo

sollte man zumindest gut begründen können, weshalb man zwingend eine Mailadresse voraussetzt, obwohl dazu technisch keine Notwendigkeit besteh

In der WoltLab Software besteht die technische Notwendigkeit. Begründung gefunden.

Geronimo · October 21, 2020 at 8:26 PM

Quote from SoftCreatR

Zum Beispiel zur Legitimation bei Anfragen bzgl. DSGVO.

Würden sich Benutzername und Passwort nicht deutlich besser dafür eignen?

Quote from SoftCreatR

In der WoltLab Software besteht die technische Notwendigkeit. Begründung gefunden.

Das verhindert deren Verwendung aber rechtfertigt keine Datenverarbeitung.

SoftCreatR · October 21, 2020 at 8:47 PM

Quote from Geronimo

Würden sich Benutzername und Passwort nicht deutlich besser dafür eignen?

Und wenn ich mein Kennwort vergessen habe?

Geronimo · October 21, 2020 at 10:17 PM

Bei personenbezogenen Daten sollte genau dieser vermeintliche Personenbezug doch nachvollziehbar sein. Wenn die E-Mail-Adresse des Anfragenden mit der E-Mail-Adresse des Benutzers übereinstimmt, ist das bestenfalls ein erster Anhaltspunkt, aber es ermöglicht keine eindeutige Identifizierung. Ganz im Gegensatz zu Zugangsdaten. Wenn diese nicht (mehr) vorhanden sind, bspw. weil sich der Benutzer hat löschen lassen, müsste man als Betreiber alternative Möglichkeiten ergreifen - und im Zweifelsfall von der Auskunft absehen.

SoftCreatR · October 22, 2020 at 4:43 AM

Wir reden aneinander vorbei. Aber egal jetzt

GangstaSunny · October 22, 2020 at 6:00 AM

Die E-Mail ist technisch nicht notwendig. Aber: zum gegebenen Zeitpunkt schon, für die Software. Ich persönlich bin auch kein Fan mit der Verifizierung von Zugangsdaten, da diese oftmals ohnehin im Browser gespeichert werden und man sich so gut wie nie abmeldet. Jeder Dulli der den PC bedienen kann, hat damit Zugriff auf das Benutzerkonto. Das jeweiliger Benutzer fahrlässig mit seinen Daten umgeht in diesem Fall, sei Mal dahingestellt. Fakt ist: Wer mir eine PN schickt er möchte alle Daten haben (das habe ich vor längerer Zeit schonmal erwähnt), wird direkt auf eine E-Mail-Anfrage verwiesen. Ich möchte mich und mein Netzwerk zwar auch nicht klein reden, jedoch denke ich, das Microsoft, Google, Yahoo und Co. doch etwas sicherer Serverstrukturen haben wie meine. Zumal ich es durch meine "Szene" oft erleben musste, dass viele Nutzer Ihr Passwort woanders auch verwenden, wo nicht verschlüsselt wird. Besagte Person meldet sich dann mit diesen Zugangsdaten an. Da ich die IPs meiner Besucher nicht sehe (Cloudflare) kann ich auch nicht bestimmen, ob die gleiche IP-Adresse genutzt wurde.

Wie dem auch sei, Long Story Shot.

E-Mail: Ja, mit der Möglichkeit mehrere Konten auf einer Adresse zu führen.

Geronimo · October 22, 2020 at 8:51 AM

Quote from GangstaSunny

Fakt ist: Wer mir eine PN schickt er möchte alle Daten haben (das habe ich vor längerer Zeit schonmal erwähnt), wird direkt auf eine E-Mail-Anfrage verwiesen. Ich möchte mich und mein Netzwerk zwar auch nicht klein reden, jedoch denke ich, das Microsoft, Google, Yahoo und Co. doch etwas sicherer Serverstrukturen haben wie meine.

Du verweist also deine Benutzer von einer relativ gut geschützten Plattform, mit verschlüsselter Kommunikation und sicherer Authentifizierung, auf einen deutlich weniger verlässlichen Kommunikationsweg. Eine (Inhalts-)Verschlüsselung mit S/MIME-Zertifikat oder PGP-Schlüssel ist vorhanden? Und vergiss nicht, diese E-Mail bei den gespeicherten Daten mit anzugeben, ansonsten ist die Auskunft auch noch fehlerhaft.

GangstaSunny · October 22, 2020 at 3:18 PM

Quote from Geronimo

Du verweist also deine Benutzer von einer relativ gut geschützten Plattform, mit verschlüsselter Kommunikation und sicherer Authentifizierung, auf einen deutlich weniger verlässlichen Kommunikationsweg. Eine (Inhalts-)Verschlüsselung mit S/MIME-Zertifikat oder PGP-Schlüssel ist vorhanden? Und vergiss nicht, diese E-Mail bei den gespeicherten Daten mit anzugeben, ansonsten ist die Auskunft auch noch fehlerhaft.

Ja und nein.

Ich habe ohnehin nur geringe Daten die unter entsprechendes Gesetz fallen. Das meiste ist Fiktion (zum. Laut der Nutzer). Ich habe also tatsächlich gar nicht die Möglichkeit zu prüfen ob eingeloggter User auch Besitzer des Accounts ist. Schreibt der User mir eine E-Mail, mit der vom Account, dann ist das für mich tatsächlich die identifizierbarste Sache.

Geronimo · October 22, 2020 at 5:29 PM

Eine eindeutige Identifizierung wäre allerdings die einmalige Kombination aus Benutzername und Kennwort. Wie verschlüsselst du diesen E-Mails und die übermittelten Inhalte? Nach meiner Erfahrung besitzen recht wenige „normale“ Internetnutzer ein S/MIME-Zertifikat oder einen PGP-Schlüssel. Wer sich per E-Mail meldet, sollte sich immer über die Community authentifizieren, und auch eine sichere Kommunikation gelingt sehr viel leichter per Konversation.

Participate now!