]> git.koha-community.org Git - koha.git/commit
Bug 18653: Possible privacy breach with OPAC password recovery
authorMarc Véron <veron@veron.ch>
Tue, 23 May 2017 05:08:41 +0000 (07:08 +0200)
committerJonathan Druart <jonathan.druart@bugs.koha-community.org>
Mon, 5 Jun 2017 15:56:20 +0000 (12:56 -0300)
commiteddf975cf0244c731f987c64af5126090f73f9f2
tree6b1362560c5ed647959defdc2f68f86b7b7879f8
parent5f6e1e00c265a552cf6faa7b7fa30db725204eb6
Bug 18653: Possible privacy breach with OPAC password recovery

OPAC password recovery allows to find out which email address belongs to an account. An attacker could systematically guess login names. If they hit an existing one, OPAC displays a message like:
An email has been sent to "xxx@yyy.zz".

Having a combination of login name and email, attackers could use the information e.g. for phishing or other personalized actions.

To reproduce:
- Enable OPAC password recovery (syspref OpacResetPassword)
- 'Guess' a login name e.g. by using a common pattern like ptester for Peter Tester
- If such account exists, you get to know the related email address

This patch removes the email address from the success message. Additionaly, it changes
wording to address Bug 18570 ('will be sent' instead of 'has been sent')

Signed-off-by: Marcel de Rooy <m.de.rooy@rijksmuseum.nl>
Simplified the wording. "Will be sent shortly" is used elsewhere too.

Signed-off-by: Jonathan Druart <jonathan.druart@bugs.koha-community.org>
koha-tmpl/opac-tmpl/bootstrap/en/modules/opac-password-recovery.tt