ich habe nur ein kleines Problem. Wenn ein Kunde sich ein neues Passwort zusenden läßt und dabei eine andere eMail-Adresse angibt als die, mit der er sich angemeldet hat, kommt die Meldung „Wir haben Ihnen eine Bestätigungs-E-Mail gesendet.“ Offensichtlich wird die eMail aber nicht verschickt. Was ja auch richtig ist, sonst könnte sich ja jeder ein neues Passwort schicken lassen. Aber die Meldung ist falsch. Da sollte eigentlich so etwas stehen wie „Diese E-Mail-Adresse ist nicht bekannt“.
diese Meldung wäre ja geradezu leichtsinnig gefährlich. So könnte man von außen prüfen, welche Adressen im Shop überhaupt registriert sind. Man sollte höchstens den Text so anpassen, so daß klar ist, daß man nur eine Antwort erhält, wenn man die richtige E-Mail eingibt.
Aber das löst das Problem nicht. Denn dann bekommt auch derjenige, der die richtige E-Mail-Adresse eingegeben hat, diese Meldung. Es müßte also zwei Versionen geben. Eine für die falsche und eine für die richtige E-Mail-Adresse.
liest Du eigentlch was geschrieben wird? Es wird aus Sicherheitsgründen nie zwei derartige Versionen geben, so weit lehne ich mich für Shopware jetzt mal aus dem Fenster.
Ich würde auch dringenst davon abraten, deratige Informationen einem potentiellen Angreifer bekannt zu geben. So geht man nicht mit den einem anvertrauten Kundendaten um. Ich hoffe, die Shops in denen ich einkaufe, sind da etwas sicherheitsbewußter.
Man schreibt einfach einen Text, der die komplette benötigte Information für beide Anwendungsfälle enthält. Wer keine E-Mail erhält, kann sich dann seinen Teil denken. Bitte noch mal drüber nachdenken.
Das Ergenis ist doch schlicht das Gleiche. Wenn jemand versucht die E-Mails auszuspionieren und er keine Antwort bekommt, ist ihm klar das die E-Mail-Adresse falsch war. Wenn aber ein echter Kunde aus versehen eine falsche E-Mail-Adresse angegeben hat und dann keine Mail bekommt ist der ja wohl ziemlich sauer.
Der Unterschied ist, das man schon das betreffende Postfach besitzen muß, um festzustellen, ob eine E-Mail ankommt oder nicht. Bei Deiner Lösung kann ein Bot munter alle möglichen Adressen abgrasen. Es geht nicht um einen neugierigen Kunden, sondern um das massenhafte Ausspähen von Daten.
Amazon ist in Punkto Datenschutz nun nicht gerade das leuchtende Beispiel. Aber wir können das noch lange diskutieren, wir kommen da auf keinen Nenner. Wenn man das Thema wirklich ernst meint, dann gibt man so wenig wie möglich Daten heraus, ohne daß eine Notwendigkeit besteht.
Also im Standard is es wie @drakon schrieb. Die Meldung wird bewusst so ausgegeben, dass mögliche Angreifer nicht zwischen “registriert” und “nicht registriert” unterscheiden können. Wenn du soetwas möchtest, musst du es dir individuell umsetzen. Ich denke da wirst du um ein eigenes Plugin nicht drum herum kommen.