Aufruf von Aktivierungslink führt zu Fehlermeldung

Huhu,

da kann ich mich mal fix einklinken: Dieses wirklich seltene Phänomen habe ich ebenfalls schon auf dem Schirm, da es in großen CF Foren von Kunden, die ich betreue, auch schon aufgetreten ist.

Offenbar hat da ein Mailanbieter oder Mailprogrammanbieter das Memo nicht bekommen, dass es grob fahrlässig ist, Links in E-Mails einfach mal so "anzupingen". Dies ist ja sogar mitunter gefährlicher, als ungefiltert externe Bildeinbettungen zu laden. Immerhin sagt man gerade bei Spam-Mails den Absendern ja damit deutlich: "Hey cool, die Mailadresse existiert, geben wir sie weiter".

Diese Praktik der automatischen Linkvorschau sorgt aktuell übrigens nicht nur dafür, dass von vielen Seiten und Foren Aktivierungs-Mails durch diesen Linkabruf beiläufig schon aktiviert werden. Es kann sogar gefährlicher werden: Beispielsweise jemand der einen Lösch-Request auf einen anderen auslöst und das Opfer, welches fragend die Mail öffnet, bestätigt den Request beiläufig, ohne es zu wissen. Oder auch nervige Dinge wie die Tatsache, dass der "Unsubscribe" Link von gewollten Newslettern getriggert wird und sich die Leute dann wundern, warum sie selbigen nicht mehr bekommen.


Entsprechend schätze ich mal, dass diese Schnapsidee (wer auch immer sie hatte) sich nicht so lange halten wird.


Übrigens: Bing lässt ja vermuten, dass Microsoft dahinter steckt, aber ich habe weder bei Outlook noch Outlook.com eine Funktion für Linkvorschau gefunden. Im Gegenteil: Microsoft bietet aktuell sogar für externe Bilder in Mails einen "Prüfdienst" an, der diese vorfiltert und abgesichert ausliefert. Also ich gehe fast davon aus, dass irgend ein Mailprogramm / Mailprogramm(plugin) oder ein Mailanbieter diese Praktik gerade macht, konnte aber noch nicht genau herausfinden wer oder was genau.


Okay aber zurück zum CBACK Forum:
Mit dem nächsten Update wird diese Möglichkeit dennoch behandelt: Ansätze wie extra ein zweites Mal per Klick zu bestätigen, dass man den Account aktivieren will oder ähnliches halte ich für problematisch. Die User sind eigentlich gewöhnt, dass nach dem Klick auf einen Aktivierungslink alles Weitere bereits automatisch passiert. Das könnte also zu mehr Verwirrungen führen. Und TANs vorhalten ist auch blöd, da füllt man die Datenbank ein bisschen an und so genau weiß man auch nicht, wann ein Pruning sinnvoll ist (bzw. man bastelt sich wieder zusätzliche DB Queries ins Board, die vermeidbar wären, aber ständig irgendwann einmal am Tag eine kleine Zusatzlast bringen - nicht viel, aber die Masse macht es irgendwann daher bin ich da immer penibel).

Deshalb wird die Lösung mit dem nächsten Update so aussehen, dass beim Aktivierungslink zusätzlich die AccountID übermittelt wird.
Bevor dann geschaut wird, ob die TAN gültig ist, prüft das System dann also zunächst, ob die zugeordnete AccountID vielleicht schon aktiviert ist. (Kann ja z.B. auch mal durch den Administrator passieren der vielleicht zufällig alle inaktiven Accounts gerade aktiviert hat).
Wenn dem so ist leitet er dann automatisch auf die Loginseite weiter und zeigt da eine recht neutrale Meldung darüber an wie "Alles bereit, Du kannst Dich jetzt hier einloggen".


Wenn dann also so eine Vorschau den Account schon aktiviert hat (und die TAN entwertet hat) ist der User zumindest nicht mehr verwirrt.


LG,
Chris

Genau ich würde dann auch bis zum Update den Text ein bisschen anpassen, dann geht das schon.


So eine automatische Linkprüfung oder Linkvorschau (auch ja gerne bei Chatprogrammen gemacht) kann ich auch noch nachvollziehen, meist ist es ja dann der Anwender selbst, der einen bestimmten Link irgendwo reinpostet. Aber ich stimme zu: Innerhalb einer Mailsituation ist das doch echt eine ziemlich schlechte Entscheidung so ein System einzurichten.

LG,
Chris