[CON-1233] Passwort vergessen funktioniert nicht mehr

Alle bestätigten Fehler in CONTENIDO 4.9 (erledigte Fehler werden durch geschlossene Beiträge gekennzeichnet).
Antworten
Seelauer
Beiträge: 186
Registriert: So 22. Jan 2006, 21:03
Wohnort: Mal da, mal da
Kontaktdaten:

[CON-1233] Passwort vergessen funktioniert nicht mehr

Beitrag von Seelauer » So 3. Mär 2013, 22:11

Hallo,
seit geraumer Zeit versuche ich mit allen mir denkbaren Möglichkeiten die Funktion "Passwort vergessen ?" beim Login in das Backend zu nutzen. Ich bekomme zwar sofort die E-Mail-Mitteilung mit einem Passwort dazu, aber das neue Passwort wird nicht akzeptiert und das alte (vergessene) Passwort ist ebenfalls futsch ? :x
Für sachdienliche Hinweise:
Zwei Portionen Chili con carne :lol:
Guten Gruß
Seelauer.

Spider IT
Beiträge: 1416
Registriert: Fr 3. Dez 2004, 10:15

Re: 4.9.0_RC1 Passwort vergessen ?

Beitrag von Spider IT » Mo 4. Mär 2013, 09:05

Moin Seelauer,

erstelle eine PHP-Datei mit

Code: Alles auswählen

<?php echo md5('Neues Passwort'); ?>
und ruf diese im Browser auf.
Den dann angezeigten Code speicherst du für dein Login in die Datenbanktabelle (con_phplib_auth_user_md5 bei der 4.8.x).

Gruß
René

Dodger77
Beiträge: 3626
Registriert: Di 12. Okt 2004, 20:00
Wohnort: Voerde (Niederrhein)
Kontaktdaten:

Re: 4.9.0_RC1 Passwort vergessen ?

Beitrag von Dodger77 » Mo 4. Mär 2013, 14:02

Das wird in der 4.9 nicht mehr funktionieren, da das Passwort-Hashing etwas komplexer geworden ist. Der Passwort-Hash wird aktuell so bestimmt:

Code: Alles auswählen

hash("sha256", md5($password).$salt)

Seelauer
Beiträge: 186
Registriert: So 22. Jan 2006, 21:03
Wohnort: Mal da, mal da
Kontaktdaten:

Re: 4.9.0_RC1 Passwort vergessen ?

Beitrag von Seelauer » Mo 4. Mär 2013, 21:34

Danke René,
danke Ingo für die Hinweise.
Es geht aber hier nicht darum, daß ich mich in das Backend nicht einloggen kann, sondern darum, dass schlicht und einfach die "Passwert vergessen ?"-Funktion bei mir nicht so will wie wahrscheinlich gedacht.
Guten Gruß
Seelauer.

Faar
Beiträge: 1915
Registriert: Sa 8. Sep 2007, 16:23
Wohnort: Brandenburg
Kontaktdaten:

Re: 4.9.0_RC1 Passwort vergessen ?

Beitrag von Faar » Di 5. Mär 2013, 11:57

Hi @Seelauer,
ich würde da mal die Passworterzeugung unter die Lupe nehmen, denn könnte durchaus sein, dass die Passworterzeugung und Prüfung bei der Installation anders ist als bei der Passwort Vergessen Funktion. Es reicht ja schon, wenn das Salt anders bestimmt wird.

Bei anderen Systemen wird zum Beispiel das alte Passwort quasi in Quarantäne gesteckt (aber nicht gelöscht) und das neue Passwort in die Tabellen-Spalte daneben gestellt und zugleich ein Hinweis in die Tabelle geschrieben, dass ein "Passwort Vergessen" angefordert wurde (damit wird das neue Passwort als gültig markiert).
Theoretisch könnten Fremde von außen Passwort Vergessen anfordern, wenn sie den Usernamen oder Emailadresse kennen, daher wird das alte Passwort beibehalten.
Logt der rechtmäßige User sich mit dem neuen Passwort ein, wird das alte gelöscht, dass neue Passwort in diese Spalte verschoben und der Vermerk aufgehoben.
Logt er sich mit dem alten Passwort ein, wird das neue gelöscht und der Vermerk aufgehoben.
Hat er die Email nicht bekommen, kann er jederzeit wieder ein neues Passwort anfordern, es wird nur immer das "neue Passwort" ausgetauscht aber das Alte bleibt.

Schwieriger wird's bei "Passwort vergessen und Emailadresse ist gelöscht" (kommt öfter vor als man denkt).
Dann muss der Admin im Backend dem User eine neue Emailadresse zuordnen oder direkt in die Datenbank schreiben.
Vorausgesetzt, der User kann dann beweisen, dass er der User im Profil ist.
Somit kommt in jedem Fall der rechtmäßige User wieder rein, aber kein Fremder.

Manche gehen auch den Weg, dass das "neue Passwort" immer nur ein Übergangspasswort bleibt und nur einmal erfolgreich benützt werden kann und danach gleich ein neues Passwort angelegt werden muss. Das hat dann etwas mehr Sicherheit, weil das Passwort das per Mail verschickt wurde, nicht sicher ist (könnte ja jemand anders lesen).
Wieder andere versenden nur einen (einmalig gültigen) Aktivierungslink wonach man zuerst ein neues Passwort angeben muss mit dem man sich dann einloggen kann. Halte ich aber auch nicht für sicherer als das Übergangspasswort.

Ich weiß nicht wie Con49 das macht aber irgendwo auf dem Weg durch die Instanzen wird der Fehler liegen.
Fliegt der Bauer übers Dach, ist der Wind weißgott nicht schwach.

dominik.ziegler
Beiträge: 437
Registriert: Do 19. Jun 2008, 09:09

Re: 4.9.0_RC1 Passwort vergessen ?

Beitrag von dominik.ziegler » Di 5. Mär 2013, 17:40

Wir nehmen das noch einmal auf unsere Prüfliste. Ursprünglich hatten wir uns das eigentlich schon mal angesehen, vielleicht ist da etwas durchgerutscht.
Viele Grüße
Dominik

josh
Beiträge: 156
Registriert: Do 24. Jun 2004, 09:25
Wohnort: Ahlen
Kontaktdaten:

Re: 4.9.0_RC1 Passwort vergessen ?

Beitrag von josh » Mi 10. Apr 2013, 20:33

Den Fehler kann ich bestätigen.

Es scheint noch ein Problem zu geben:
Ich habe im Setup dieses Passwort eingegeben: dachs!"§
Damit konnte ich mich nicht einloggen. Das neu angeforderte Passwort kam sofort, funktionierte aber nicht.

Nach Neuinstallation mit dem Passwort dachs konnte ich mich einloggen.
Da scheint was mit den Zeichen !"§ nicht zu funktionieren.

Browser: ie8

Viele Grüße

Josh

Faar
Beiträge: 1915
Registriert: Sa 8. Sep 2007, 16:23
Wohnort: Brandenburg
Kontaktdaten:

Re: 4.9.0_RC1 Passwort vergessen ?

Beitrag von Faar » Sa 18. Mai 2013, 16:28

Hab jetzt auch das Problem gehabt, dass er mir das Passwort nicht mehr an nahm und hab die Passwort-Vergessen Funktion benützt.
Dieses setzt wohl in das Feld Passwort als auch für das Übergangspasswort den gleichen Hashwert ein, 32 Zeichen lang (md5 ? ).
Aber mit der Funktion wie jetzt das PAsswort erzeugt wird, ist es 64 Zeichen lang. Kann also gar nicht stimmen, mit den 32 Zeichen vorher.

Und tatsächlich, nachdem ich mir ein 64 Zeichen langes Passwort mit der neuen Funktion in die Datenbank geschrieben hatte, funktionierte das mit dem einloggen.
Ich würde mal sagen, dass da noch nicht alles auf die neue Funktion umgestellt ist.

VG,
Frank
Fliegt der Bauer übers Dach, ist der Wind weißgott nicht schwach.

frederic.schneider_4fb
Beiträge: 967
Registriert: Do 15. Apr 2004, 17:12
Wohnort: Eschborn-Niederhöchstadt
Kontaktdaten:

Re: 4.9.0_RC1 Passwort vergessen ?

Beitrag von frederic.schneider_4fb » Fr 7. Jun 2013, 12:27

Ich habe die Passwort-Generierung bei der "Passwort vergessen"-Funktion angepasst. Mit dem vom Skript erzeugten neuem Kennwort kann ich mich im Backend nun wieder anmelden. Im Folgenden die angepasste Klasse "class.password.request.php" aus dem Ordner "contenido/classes"
Dateianhänge
class.password.request.php.zip
Aus der Entwicklerversion von CONTENIDO 4.9.0
(3.75 KiB) 126-mal heruntergeladen
Frederic Schneider
Entwickler bei der four for business AG

Antworten