Silverstripe 3.1.x更改密码：强制管理员确认当前密码

有人能告诉我SilverStripe是否有一个可以启用的配置选项，以强制管理员用户在尝试更改密码时必须确认其当前密码吗

我刚刚收到一个客户项目的安全扫描结果，其中一个标记的中等风险安全问题（将在60天内修复）如下：

描述 观察：

管理员用户在更改密码时无需输入当前密码

受影响的URL示例：

**截图：**

影响： 一个恶意用户通过使用会话劫持，一个人在中间攻击， 跨站点请求伪造攻击或发现无人参与的登录会话可能会导致 在不知道当前密码的情况下更改帐户密码。而且，当用户 无法更改用户名或密码，他们无法主动防范 正在泄露用户凭据

推荐： 允许用户更改其用户名和密码是最佳做法。此外，它 应要求用户在提供密码的同时提供其当前密码 用于重新验证用户身份的新密码

---

任何帮助都将不胜感激。谢谢。

短期内，您可以使用DataExtension类为成员类扩展此功能，而无需修改核心。看看。

问得好。我找不到任何现有的解决方案。我想我们需要扩展。嗯，就我个人而言，我会让管理部门强制使用https进行通信。如果登录时密码只是通过http发布，那么攻击者使用该密码而不是明目张胆地更改密码是非常合乎逻辑的，因为这会给用户一种粘合剂，使他们的登录详细信息受到损害。Silverstripe非常注意防止XSS攻击，因此使用https可以很好地覆盖基础。。我想我也希望听到核心团队也这样做：）可以通过.htaccess/nginx配置来强制管理员使用HTTPS。关于密码确认，您可能希望在dev邮件列表上请求将其输入core，这可能是一个好主意：