Beiträge: 82
Themen: 11
Registriert seit: 28.01.2017
MyBB-Version: 1.8.21
27.05.2017, 02:41
(Dieser Beitrag wurde zuletzt bearbeitet: 05.06.2017, 16:10 von StefanT.)
Hallo zusammen,
ich habe mein Forum so eingestellt, daß bei Neuregistrierung automatisch ein Passwort per Mail versendet werden soll. Das funktioniert soweit auch..........ABER:
Als Mail bekommt der User dann folgenden Text:
Hallo test02,
vielen Dank für die Registrierung bei unserem Forum. Hier ist dein Benutzername und dein zufallsgeneriertes Passwort. Um dich bei unserem Forum einzuloggen, benötigst du diese Daten:
Benutzername: test02
Passwort: a962bdc1430412fc2f9ed812919e69f9
Bitte ändere das Passwort so schnell wie möglich. Du kannst das Passwort in deinem Benutzer-CP ändern.
Vielen Dank,
Dein Admin
Mit dem versendetem Passwort kann sich niemand einloggen. Wenn der User dann ein neues Passwort anfordert, bekommt er folgene Mail:
Hallo test02,
ein neues Passwort für unser Forum wurde erstellt.
Dein neues Passwort ist: m7W8Qher
Du benötigst dieses Passwort, um dich im Forum einzuloggen. Bitte ändere das Passwort in deinem Benutzer-CP.
Vielen Dank,
Dein Admin
Wie kommt das, daß man sich erst einloggen kann, nachdem man sich ein neues Passwort angefordert hat ?
Schönen Gruß
Peter
Ich hab´gerade aus dem Fenster geguckt, um zu sehen, wie das Wetter ist.
AUS DEM FENSTER......OBWOHL MEIN HANDY NEBEN MIR LIEGT !!
Wie im Mittelalter
Beiträge: 236
Themen: 28
Registriert seit: 06.12.2016
27.05.2017, 08:29
(Dieser Beitrag wurde zuletzt bearbeitet: 27.05.2017, 08:30 von Erkan.)
Zitat:Passwort: a962bdc1430412fc2f9ed812919e69f9
Bei so langem Passwort kommt es gezwungenermaßen zur falsch Eingabe bei Manueller Eingabe, da hilft Copy und Paste.
bei neuem Passwort ist es kürzer Fehlerquote weniger bei der Eingabe.
Beiträge: 8.516
Themen: 59
Registriert seit: 20.04.2010
MyBB-Version: 1.8*
Erkan, dir ist bestimmt bekannt, dass 99,9% aller User sowieso copy/paste machen. Und nach nur einmal probieren der Passworteingabe wird es in der Regel auch nicht bleiben, wenn eine Fehlermeldung erscheint.
PS: Hast Du rein zufällig in der Schule eine andere Rechtschreibung genossen als der Rest der Deutschen ? Wenn Du mit deutsch nicht klar kommst, lass es einfach oder schreibe in englisch, falls Du das besser kannst,
Mit freundlichen Grüßen
MrBrechreiz
Beiträge: 1.761
Themen: 22
Registriert seit: 18.02.2017
MyBB-Version: 1.8.*
27.05.2017, 10:11
(Dieser Beitrag wurde zuletzt bearbeitet: 27.05.2017, 10:14 von bv64.)
das erste PW sieht doch verdächtig so aus, wie die PW in der Datenbank gespeichert sind, nämlich nicht im Klartext
Wieso, weshalb, warum, keine Ahnung, ich teste das mal in meinem Testboard
edit: das Problem kann ich jetzt bestätigen
Beiträge: 82
Themen: 11
Registriert seit: 28.01.2017
MyBB-Version: 1.8.21
@bv64, jetzt habe ich mal in der DB nachgeschaut und Du hast Recht: es ist das PW aus der DB.
Ist das Problem erst bei 1.8.12 oder schon bei früheren Versionen aufgefallen ?
(27.05.2017, 09:30)MrBrechreiz schrieb: PS: Hast Du rein zufällig in der Schule eine andere Rechtschreibung genossen als der Rest der Deutschen ? Wenn Du mit deutsch nicht klar kommst, lass es einfach oder schreibe in englisch, falls Du das besser kannst, Ich möchte jetzt keine Diskussion über die Rechtschreibung mancher User anfangen, aber ich muss Erkan jetzt mal in Schutz nehmen:
Im Vergleich zu anderen, ist die Rechtschreibung noch vertretbar,......ist zumindest meine Meinung ! Und ob Englisch besser wäre, wage ich mal zu bezweifeln
Schönen Gruß
Peter
Ich hab´gerade aus dem Fenster geguckt, um zu sehen, wie das Wetter ist.
AUS DEM FENSTER......OBWOHL MEIN HANDY NEBEN MIR LIEGT !!
Wie im Mittelalter
Beiträge: 316
Themen: 18
Registriert seit: 06.01.2017
MyBB-Version: 1.8.*
hi!
naja, rechtschreibung vertretbar...
nicht immer...
zum prob:
nun, wir sind ein geschlossenes forum und die leute werden mit invitation system eingeladen. da werden nur die kürzeren passwörter verschickt. diese elendslangen kenn ich nur vom smf
greets
sjfm
Beiträge: 82
Themen: 11
Registriert seit: 28.01.2017
MyBB-Version: 1.8.21
Aber das Problem ist ja, daß das Passwort, welches dem User geschickt wird, schon das richtige Passwort ist, aber eben so, wie es in der DB gespeichert wird !! Also nicht im Klartext !
Dann müßte es doch eigentlich so sein, daß einfach nur ein falscher Wert aus der DB beim Mailversand mit übernommen wird.
Und was mir auch noch aufgefallen ist: Ich als Admin bekomme keine Mail mehr, daß sich ein neuer User angemeldet hat !
Ich muß direkt mal testen, ob es bei 1.8.11 auch so ist.
Schönen Gruß
Peter
Ich hab´gerade aus dem Fenster geguckt, um zu sehen, wie das Wetter ist.
AUS DEM FENSTER......OBWOHL MEIN HANDY NEBEN MIR LIEGT !!
Wie im Mittelalter
Beiträge: 82
Themen: 11
Registriert seit: 28.01.2017
MyBB-Version: 1.8.21
Ich habe das jetzt mal sowohl mit 1.8.10 wie auch 1.8.11 getestet.
MyBB 1.8.10:
Die automatische Passwortvergabe funktioniert, dem User wird ein funktionierendes Passwort geschickt, mit dem er sich auch einloggen kann.
MyBB 1.8.11:
Hier besteht dasselbe Problem. Dem User wird das verschlüsselte Passwort gesendet, welches in der DB Tabelle mybb_users unter "password" gespeichert ist.
Damit kann man sich nicht einloggen. Wenn der User sich dann ein neues Passwort zuschicken lässt, dann wird ein korrektes Passwort gesendet.
Jetzt meine Frage:
Welche Datei ist denn für das versenden der zufallsgenerierten Passwörter zuständig ?
Man müßte dann doch eigentlich nur die Dateien von den einzelnen Versionen vergleichen und so relativ schnell den Fehler finden !
Schönen Gruß
Peter
Ich hab´gerade aus dem Fenster geguckt, um zu sehen, wie das Wetter ist.
AUS DEM FENSTER......OBWOHL MEIN HANDY NEBEN MIR LIEGT !!
Wie im Mittelalter
Beiträge: 8.516
Themen: 59
Registriert seit: 20.04.2010
MyBB-Version: 1.8*
Mit freundlichen Grüßen
MrBrechreiz
Beiträge: 82
Themen: 11
Registriert seit: 28.01.2017
MyBB-Version: 1.8.21
Danke, MrBrechreiz,
ich weiß zwar nicht, ob es im Sinne des Erfinders ist oder ob ich jetzt irgendwelche Sicherheitslücken im Forum habe, aber ich habe jetzt mal die zwei Dateien user.php aus dem Verzeichnis /inc/datahandlers/ und die Datei functions_user.php aus dem Verzeichnis /inc/ von Version 1.8.10 in mein Testforum 1.8.11 übernommen und die Passwortvergabe funktioniert wieder.
Aber meine php Kenntnisse sind nicht so gut, so daß ich nicht sagen kann, ob man das einfach so machen kann oder ob ich jetzt das Forum bzw. die Registrierung unsicherer gemacht habe.
Vielleicht kann ja mal jemand danach schauen, der mit an der Programmierung beteiligt war ?
Schönen Gruß
Peter
Ich hab´gerade aus dem Fenster geguckt, um zu sehen, wie das Wetter ist.
AUS DEM FENSTER......OBWOHL MEIN HANDY NEBEN MIR LIEGT !!
Wie im Mittelalter
|