FEU-Benutzername Case-Sensitive

[rethus]

Hallo Leute,

aufgrund einer eigenen Anpassung (Eigene Verzeichnisse für FEU in der Dateiverwaltung, die case-Sensitive basiert arbeiten) ist mir aufgefallen, dass beim FEU-Login der Benutzername nicht Case-Sensitive sein muss - was ich in bestimmten Fällen für eine lockerung der Sicherheitsmaßnahmen halte... stellen doch Groß-KleinSchreibung in Benutzername und passwort weitere Zugriffshürden für Angreifer dar.

Wie denkt Ihr darüber, sollte dass nicht standard-mäßig mit rein, und nur optional über die Mandanteneinstellungen deaktiviert werden können?

Hat ggf. schon einer gefunden, wo der strtolower für die FEU-Eingaben durchgeführt wird?

[xmurrix]

Hallo rethus,

die Groß-/Kleinschreibung wird auf DB-Ebene kontrolliert und vermutlich ist bei dir die Kollation der Tabelle mit *_ci am Ende, was dann bei einem SELECT die Groß-/Kleinschreibung ignoriert.

Während das Ignorieren der groß-/Kleinschreibung für die Suche ideal ist, ist das halt beim Login eventuell Problematisch.

Entweder man äbdert die Kollation der Usertabelle oder man passt die Query in der conlib/local.php an, z. B. mit einem "select binary". Vermutlich ist es besser, wenn man dies in der conlib/local.php macht, da nicht jeder User darauf achtet, die Kollation der Usertabelle umzustellen.

Lässt es Contenido eigentlich überhaupt zu, dass man einen User mit gleichen Usernamen aber mit unterschiedlicher Groß-/ Kleinschreibung anlegt?

Gruß
xmurrix

[Oldperl]

Hallo rethus,

...stellen doch Groß-KleinSchreibung in Benutzername und passwort weitere Zugriffshürden für Angreifer dar.

Beim Passwort stimme ich dir zu, beim Username muß ich widersprechen.
Der Usernname sollte, egal ob groß oder klein geschrieben, einmalig sein, das erhöht die Sicherheit. Damit gibt es dann nur wirklich einen User mit gleichlautendem Namen im System. Beachten man die Schreibweise nicht, könnte es auch mehrer User mit gleichem Namen aber unterschiedlicher Schreibweise geben (nicht gut!)

Gruß aus Franken

Ortwin

[rethus]

danke für eure Meldungen, aber ich denke, man sollte das eine tun, aber das andere nicht lassen:

@oldpearl:
Der User name kann Case-Sensitiv sein, sollte aber nur einmal vorkommen.
Ist ja absolut kein Ding, beim anlegen eines neuen Usernamens alle bestehenden auszulesen, tolowercase() zu machen, zu prüfen ob eingegebener name (tolowercase) schon existiert, und falls nicht vorhanden dann "Case-Sensitive" in die Datenbank zu schreiben.

So hat man keine Dubletten, aber einen Step bessere Password-Verifizierung.

@xmurrix.

Dein Tipp war Gold-Richtig.
In der DB steht es zwar Case-Sensitiv, aber die Select-Anweisung fragt an der Stelle nicht nach groß und Kleinschreibung.
Heißt,: gibt es ein FEU "TesT" und ich "Selecte" nach "test", findet der "TesT" auch.

Ich habe daher in der loacl.php folgende minimale Anpassung gemacht, womit Contenido ohne große weitere Änderungen beim FEU-Login-Benutzername Case-Sensitive wird.... Ich wünsche mir, dass dies in die nächste Version aufgenommen wird... wo kann man das beantragen?

Datei /conlib/local.php Zeile 723:

VORHER:

Code: Alles auswählen

    /* Authentification via frontend users */
    $this->db->query(sprintf("SELECT idfrontenduser, password FROM %s WHERE username = '%s' AND idclient='$client' AND active='1'", 
    						 $this->fe_database_table,
    						 Contenido_Security::escapeDB(urlencode($username), $this->db )));
   
	if ($this->db->next_record())
	{
		$uid  = $this->db->f("idfrontenduser");
		$perm = "frontend";
		$pass = $this->db->f("password");	
	}

NACHHER:

Code: Alles auswählen

    /* Authentification via frontend users */
    $this->db->query(sprintf("SELECT username, idfrontenduser, password FROM %s WHERE username = '%s' AND idclient='$client' AND active='1'", 
    						 $this->fe_database_table,
    						 Contenido_Security::escapeDB(urlencode($username), $this->db )));
   
	if ($this->db->next_record())
	{
		# check if Username is exactly the same (Case-Sensitive also if db-koalition not support it by request)
		if($this->db->f("username")==$username){
			$uid  = $this->db->f("idfrontenduser");
			$perm = "frontend";
			$pass = $this->db->f("password");	
		}
	}

[rethus]

Ich wünsche mir, dass dies in die nächste Version aufgenommen wird... wo kann man das beantragen?

[Dodger77]

Ich habe das mal verschoben, das sollte dann als Beantragung reichen.

[kummer]

Also das mit der Eindeutigkeit von Benutzernamen ist so eine Sache. Eindeutigkeit ist zwar nicht schlecht. Aber wenn ein Benutzer sich selber registrieren kann (was ja bei FEU nicht unüblich ist), dann erfährt er genau durch die Anforderung der Eindeutigkeit, dass ein bestimmter Benutzername vorliegen muss. Nämlich dann, wenn er versucht, einen Benutzer anzulegen und vom System die Information erhält, dass ein solcher bereits bestehen würde. Umgekehrt muss freilich die Kombination von Benutzername und Passwort eindeutig sein. Wenn der Benutzername alleine nicht eindeutig ist, müsste die Kombination auf Eindeutigkeit geprüft werden. Das ist der Grund, weshalb zumeist bereits beim Benutzernamen Eindeutigkeit gefragt ist.

Besser wäre es deshalb, wenn als Benutzeridentifikation z.B. die Email des Benutzers verwendet werden würde oder eine andere, den Benutzer tatsächlich identifizierende und über das CMS hinaus eindeutige Referenz. Eine zufällige Übereinstimmung wäre dann ausgeschlossen. Ausserdem wäre damit dann auch die Integration von Message-Authentication möglich, wobei gar kein Passwort übertragen werden muss, was insbesondere bei ungesicherten Systemen (nach meiner Einschätzung der überwiegende Teil) günstig wäre. Ein weiterer Vorteil wäre dabei, dass sich diese Information ggf. auch in Client-Zertifikaten finden würde, was bei einer Selbstdeklaration nicht sichergestellt ist (immerhin kommt es vor, dass zwei Leute denselben Namen tragen).