presseportale

History

Kevin Adametz ae79d5bee4 Security: JSON-Login durchläuft die is_active-/Verifizierungschecks RoleAwareLoginResponse gab bei wantsJson() sofort 204 zurück – VOR den Sicherheitschecks. Ein XHR/JSON-Login eines verifiziert-inaktiven Accounts erhielt damit eine Session ohne Logout. Checks laufen jetzt zuerst: verifiziert-inaktiv → Logout + Session-Invalidate + 403 (JSON) bzw. Login mit Fehler (HTML); unverifiziert → 204 (JSON) bzw. Notice (HTML); danach der Erfolgsfall. Tests: JSON-Login eines inaktiven Accounts (403, guest), JSON-Login eines aktiven Users (204, authentifiziert). Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>	2026-06-16 10:19:32 +00:00
..
RoleAwareLoginResponse.php	Security: JSON-Login durchläuft die is_active-/Verifizierungschecks	2026-06-16 10:19:32 +00:00

Kevin Adametz ae79d5bee4 Security: JSON-Login durchläuft die is_active-/Verifizierungschecks

RoleAwareLoginResponse gab bei wantsJson() sofort 204 zurück – VOR den
Sicherheitschecks. Ein XHR/JSON-Login eines verifiziert-inaktiven Accounts
erhielt damit eine Session ohne Logout. Checks laufen jetzt zuerst:
verifiziert-inaktiv → Logout + Session-Invalidate + 403 (JSON) bzw. Login mit
Fehler (HTML); unverifiziert → 204 (JSON) bzw. Notice (HTML); danach der
Erfolgsfall.

Tests: JSON-Login eines inaktiven Accounts (403, guest), JSON-Login eines
aktiven Users (204, authentifiziert).

Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>

2026-06-16 10:19:32 +00:00

RoleAwareLoginResponse.php

Security: JSON-Login durchläuft die is_active-/Verifizierungschecks

2026-06-16 10:19:32 +00:00