From 5ed265f03279d1541fa78a83fad927aa8b7858af Mon Sep 17 00:00:00 2001
From: Marcel Werk <burntime@woltlab.com>
Date: Fri, 3 May 2019 20:06:08 +0200
Subject: [PATCH] Improve error messages in "new password" form

---
 .../files/lib/form/NewPasswordForm.class.php      | 15 ++++++++++++---
 wcfsetup/install/lang/de.xml                      |  1 +
 wcfsetup/install/lang/en.xml                      |  1 +
 3 files changed, 14 insertions(+), 3 deletions(-)

diff --git a/wcfsetup/install/files/lib/form/NewPasswordForm.class.php b/wcfsetup/install/files/lib/form/NewPasswordForm.class.php
index 009093e453..27e4e1694b 100644
--- a/wcfsetup/install/files/lib/form/NewPasswordForm.class.php
+++ b/wcfsetup/install/files/lib/form/NewPasswordForm.class.php
@@ -4,6 +4,7 @@ use wcf\data\user\User;
 use wcf\data\user\UserAction;
 use wcf\data\user\UserEditor;
 use wcf\system\exception\IllegalLinkException;
+use wcf\system\exception\NamedUserException;
 use wcf\system\exception\PermissionDeniedException;
 use wcf\system\exception\UserInputException;
 use wcf\system\request\LinkHandler;
@@ -67,12 +68,16 @@ class NewPasswordForm extends AbstractForm {
 			$this->user = new User($this->userID);
 			if (!$this->user->userID) throw new IllegalLinkException();
 			
-			if (!$this->user->lostPasswordKey) throw new IllegalLinkException();
+			if (!$this->user->lostPasswordKey) {
+				$this->throwInvalidLinkException(); 
+			}
 			if (!\hash_equals($this->user->lostPasswordKey, $this->lostPasswordKey)) {
-				throw new IllegalLinkException();
+				$this->throwInvalidLinkException();
 			}
 			// expire lost password requests after a day
-			if ($this->user->lastLostPasswordRequestTime < TIME_NOW - 86400) throw new IllegalLinkException();
+			if ($this->user->lastLostPasswordRequestTime < TIME_NOW - 86400) {
+				$this->throwInvalidLinkException();
+			}
 			
 			(new UserEditor($this->user))->update([
 				'lastLostPasswordRequestTime' => 0,
@@ -158,4 +163,8 @@ class NewPasswordForm extends AbstractForm {
 			'passwordRulesAttributeValue' => UserRegistrationUtil::getPasswordRulesAttributeValue()
 		]);
 	}
+	
+	private function throwInvalidLinkException() {
+		throw new NamedUserException(WCF::getLanguage()->getDynamicVariable('wcf.user.newPassword.error.invalidLink'));
+	}
 }
diff --git a/wcfsetup/install/lang/de.xml b/wcfsetup/install/lang/de.xml
index 007c87eed3..5f2526730d 100644
--- a/wcfsetup/install/lang/de.xml
+++ b/wcfsetup/install/lang/de.xml
@@ -4479,6 +4479,7 @@ dann wird diese Anfrage am {$mailbox->getUser()->lastLostPasswordRequestTime+864
 		<item name="wcf.user.newPassword"><![CDATA[Neues Kennwort]]></item>
 		<item name="wcf.user.newPassword.info"><![CDATA[{if LANGUAGE_USE_INFORMAL_VARIANT}Du bist{else}Sie sind{/if} im Begriff das Kennwort des Benutzers „{$user->username}“ zu ändern.]]></item>
 		<item name="wcf.user.newPassword.success"><![CDATA[Das Kennwort des Benutzers „{$user->username}“ wurde erfolgreich geändert. {if LANGUAGE_USE_INFORMAL_VARIANT}Du kannst dich{else}Sie können sich{/if} nun mit dem neuen Kennwort einloggen.]]></item>
+		<item name="wcf.user.newPassword.error.invalidLink"><![CDATA[Der aufgerufene Link zur Festlegung eines neuen Kennwortes ist nicht mehr gültig. Aus Sicherheitsgründen ist dieser Link zeitlich beschränkt und kann nur einmalig verwendet werden. {if LANGUAGE_USE_INFORMAL_VARIANT}Du kannst{else}Sie können{/if} über die folgende Seite einen neuen Link anfordern: <a href="{link controller='LostPassword'}{/link}">Kennwort vergessen</a>]]></item>
 		<item name="wcf.user.userID.error.invalid"><![CDATA[{if LANGUAGE_USE_INFORMAL_VARIANT}Du hast{else}Sie haben{/if} eine ungültige Benutzer-ID angegeben.]]></item>
 		<item name="wcf.user.accountManagement"><![CDATA[Benutzerkonto-Verwaltung]]></item>
 		<item name="wcf.user.accountManagement.warning"><![CDATA[{if LANGUAGE_USE_INFORMAL_VARIANT}Du bearbeitest dein{else}Sie bearbeiten Ihr{/if} eigenes Benutzerkonto. Unbedachte Änderungen können dazu führen, dass {if LANGUAGE_USE_INFORMAL_VARIANT}du dich nicht mehr anmelden kannst. Bitte sei entsprechend vorsichtig!{else}Sie sich nicht mehr anmelden können. Bitte seien Sie entsprechend vorsichtig!{/if}]]></item>
diff --git a/wcfsetup/install/lang/en.xml b/wcfsetup/install/lang/en.xml
index bde5f809a1..67c1c4278f 100644
--- a/wcfsetup/install/lang/en.xml
+++ b/wcfsetup/install/lang/en.xml
@@ -4478,6 +4478,7 @@ the website <a href="{link isEmail=true}{/link}">{@PAGE_TITLE|language}</a>.</p>
 		<item name="wcf.user.newPassword"><![CDATA[New Password]]></item>
 		<item name="wcf.user.newPassword.info"><![CDATA[You are setting a new password for the user “{$user->username}”.]]></item>
 		<item name="wcf.user.newPassword.success"><![CDATA[The password of the user “{$user->username}” has been changed successfully. You may now login with your new password.]]></item>
+		<item name="wcf.user.newPassword.error.invalidLink"><![CDATA[The link to set a new password is no longer valid. For security reasons, this link expires after some time and can only be used once. You can request a new link on the following page: <a href="{link controller='LostPassword'}{/link}">Lost Password</a>]]></item>
 		<item name="wcf.user.userID.error.invalid"><![CDATA[The User ID is invalid.]]></item>
 		<item name="wcf.user.accountManagement"><![CDATA[Account Management]]></item>
 		<item name="wcf.user.accountManagement.warning"><![CDATA[Warning! You are editing your user account, careless changes might lock you out!]]></item>
-- 
2.20.1