Hier zusammen, von einem kleiner Bug über den ich gestolpert bin möchte ich euch berichten. Stört nicht, aber kann sicherheitrelevant sein:
Nach der ersten Anmeldung wird der User gezwungen sein PW zu ändern, das ist sehr gut. Diesen Zwang kann man aber umgehen in dem man bei der PW Änderung Maske einfach die URL der Startseite von Hand nochmal aufruft.
So bleibt das alte PW bestehen und die Aufforderung zur Änderung kommt nicht mehr.