RC2: User/Passwort-Problem

Hier können Probleme und alles andere in Deutscher Sprache gelöst werden.
FrauStaenki
Regular
Posts: 24
Joined: Fri Dec 21, 2012 12:39 pm

RC2: User/Passwort-Problem

Post by FrauStaenki »

Hallöle werte S9Y-Community!

Und mal wieder ein Pass-Problem …

Nachdem ich wieder einmal das Passwort vergessen hatte, habe ich mir jetzt den RC 2 einfach frisch drübergebügelt und zwar: 3mal …

Warum? Tja, zunächst einmal installiert er einen Teil der Software, dann muss man bei (mind.) 2 Verzeichnissen noch die Rechte ändern (warum auch immer …) und dann trägt man seine Daten (User/Pass) ein und kurze Zeit später ist man da … zumindest fast.

Dann möchte man sich zum ersten Mal neu einloggen, und: *DÖÖT* Fehler in der Pass/User-Kombo.
Tja, also, alles noch mal: alte Soße löschen, neu aufspielen, Rechte ändern, Daten eingeben fertig: *DÖÖT* und wieder ein Fehler. Also, drittes Mal alles von vorne …

Ich bin mir sehr sicher (wie der DAU ja nun mal so is ;-)), dass ich das Passwort nicht falsch eingegeben habe, auch nicht bei der Anlage, aber genau da liegt mein Problem, respektive mein Wunsch:

Bitte für die EIngabe des Passworts im Backend zwei Möglichkeiten berücksichtigen:

Entweder Eingabe im Klartext (ich sehe nicht, warum der Admin selber nicht sein eigenes Passwort sehen sollte …) oder zumindest die Möglichkeit, das Passwort in einem zweiten Eingabefeld zu überprüfen, damit man nicht aus Versehen ein falsches Passwort anlegt und das noch nicht einmal sieht …

DANKE!

Wir sehen uns dann zum nächsten Release ;-)


Beste Grüße
Daniel
bernd_d
Regular
Posts: 468
Joined: Thu Jun 03, 2010 9:28 am
Contact:

Re: RC2: User/Passwort-Problem

Post by bernd_d »

Man könnte ja auch eine Passwort-Verwaltung benutzen und da das Passwort raus kopieren und im Eingabefeld einfügen. ;-)

Kannst du dich denn nun inzwischen einloggen? Nicht, dass da vielleicht doch irgend ein Fehler ist, den man vielleicht beheben müsste.
onli
Regular
Posts: 2825
Joined: Tue Sep 09, 2008 10:04 pm
Contact:

Re: RC2: User/Passwort-Problem

Post by onli »

Entweder Eingabe im Klartext (ich sehe nicht, warum der Admin selber nicht sein eigenes Passwort sehen sollte …)
Das geht nicht immer. Es könnte ja jemand hinter dir stehen. Der Browser könnte natürlich anbieten, das Passwort-Feld im Klartext anzuzeigen, aber das muss schon der Browser machen, nicht wir. Es gibt auch Addons dafür: https://addons.mozilla.org/en-US/firefo ... -password/
FrauStaenki wrote:das Passwort in einem zweiten Eingabefeld zu überprüfen, damit man nicht aus Versehen ein falsches Passwort anlegt und das noch nicht einmal sieht
Das würde eher gehen. Gibts da weitere Meinungen zu?

Ich bin da nämlich zwiegespalten. Auf der einen Seite soll eine Oberfläche solche Fehler natürlich abfangen. Andererseits tritt dieses spezielle Problem nicht oft auf… Und diese Validierung gut zu machen (das wäre ja am besten bei der Eingabe, und zusätzlich beim Absenden des Formulars) ist gegeben wie das derzeit läuft wahrscheinlich komplizierter als man denkt.
bernd_d
Regular
Posts: 468
Joined: Thu Jun 03, 2010 9:28 am
Contact:

Re: RC2: User/Passwort-Problem

Post by bernd_d »

onli wrote:
FrauStaenki wrote:das Passwort in einem zweiten Eingabefeld zu überprüfen, damit man nicht aus Versehen ein falsches Passwort anlegt und das noch nicht einmal sieht
Das würde eher gehen. Gibts da weitere Meinungen zu?
Doppelte Passwort-Eingabe bei Registrierungen sind ein üblicher Weg, Fehleingaben zu vermeiden. Falls das noch nicht drin ist (wann registriert man sich schon mal neu in s9y ;) ), dann sollte man das zumindest im Installer mit einbauen.
Timbalu
Regular
Posts: 4598
Joined: Sun May 02, 2004 3:04 pm

Re: RC2: User/Passwort-Problem

Post by Timbalu »

IMHO hat Serendipity 10 Jahre sehr gut ohne das bestanden... Ich befürchte FrauStaenki hat ein ganz anderes Problem... und ist nicht wirklich geeignet zum Maß der Dinge gemacht zu werden.
Regards,
Ian

Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian
onli
Regular
Posts: 2825
Joined: Tue Sep 09, 2008 10:04 pm
Contact:

Re: RC2: User/Passwort-Problem

Post by onli »

So muss man mit Menschen und Nutzern nicht reden, Ian.
garvinhicking
Core Developer
Posts: 30022
Joined: Tue Sep 16, 2003 9:45 pm
Location: Cologne, Germany
Contact:

Re: RC2: User/Passwort-Problem

Post by garvinhicking »

Ich glaube einfach unter das Passwortfeld ein weiteres Passwortfeld zu machen dass im Installer validiert wird und abbricht wenn es nicht dasselbe ist, sollte schon hinkriegbar sein.

Ich bin jedoch zurückhaltend das zum jetizgen RC-Stand in die 2.0 mit zu übernehmen; das wäre eine Sache die für für eine 2.0.1 vorsehen könnten. Ich lege das mal als Github Issue an und kümmere mich dann darum.

Ansonsten, FrauStaenki: Ich glaube das Problem deiner mehrfachen Installation liegt daran dass wenn die Datenbank schon existiert, Serendipity diese Daten beibehält und nicht neu anlegt/erstellt, um nicht versehentlich Installationsdaten zu löschen. Das heißt, wenn man neu installiert *IMMER* auch die Datenbanktabellen vorher löschen, sonst übernimmt Serendipity zahlreiche der alten Daten!
# Garvin Hicking (s9y Developer)
# Did I help you? Consider making me happy: http://wishes.garv.in/
# or use my PayPal account "paypal {at} supergarv (dot) de"
# My "other" hobby: http://flickr.garv.in/
onli
Regular
Posts: 2825
Joined: Tue Sep 09, 2008 10:04 pm
Contact:

Re: RC2: User/Passwort-Problem

Post by onli »

Ich habe nochmal drüber nachgedacht. Ich glaube, wir setzen an der falschen Stelle an.

Bei der Passwortgenerierung doppelt das Passwort abzufragen hilft ja nur gegen Tipper. Im Idealfall wollen wir die erschlagen, aber genauso wirklich vergessene Passwörter. Das passiert ja doch öfter mal.

Bisher helfen wir da mit einem PHP skript, dem loginfix. Aber das erfordert das Hochladen einer Datei auf den Server, ziemlich technisch. Was wir eigentlich machen sollten ist, eine "Passwort vergessen" Funktion in s9y zu integrieren.

Im Loginformular also ein Link "Passwort vergessen?". Die neue Seite schickt eine Mail an die Emailadresse des Nutzers. Dort ist natürlich nicht das alte Passwort drin, das wir nicht kennen, und auch das neue nicht, das wir nicht im Klartext senden können. In der Mail ist ein Link, der direkt zu einem Formular füllt, mit dem ein neues Passwort gesetzt werden kann.

Natürlich muss diese Funktion ein rate-Limit haben, und generell sehr sorgfältig gebaut werden, damit sie uns keine Sicherheitslücke reinreisst. Aber das ist durchaus machbar.

Das Passwort doppelt abzufragen kann natürlich zusätzlich gemacht werden, wäre dann aber weniger nötig.

Mit der Funktion wären Vertipper bei der Accounterstellung erschlagen, normal vergessene Passwörter ebenfalls, und das Szenario mit der übriggebliebenen Datenbanktabelle als mögliche Fehlerursache im konkreten Fall wäre auch gelöst.
yellowled
Regular
Posts: 7111
Joined: Fri Jan 13, 2006 11:46 am
Location: Eutin, Germany
Contact:

Re: RC2: User/Passwort-Problem

Post by yellowled »

Nur so ein Gedanke, und ich weiß nicht, ob wir es nicht sogar (als Plugin) vielleicht sogar schon haben: Man könnte mal darüber nachdenken, die – ebenfalls sehr gängigen – Authentifzierungswege wie Google, Facebook, Twitter etc. als Login-Alternative anzubieten. (Wobei ich fast ahne, dass wir das schon mal irgendwann diskutiert haben und ich es gleich um die Ohren gehauen bekomme.)

YL
bernd_d
Regular
Posts: 468
Joined: Thu Jun 03, 2010 9:28 am
Contact:

Re: RC2: User/Passwort-Problem

Post by bernd_d »

yellowled wrote:Man könnte mal darüber nachdenken, die – ebenfalls sehr gängigen – Authentifzierungswege wie Google, Facebook, Twitter etc. als Login-Alternative anzubieten.
Das OpenID-Plugin funktioniert sehr gut, benutze es mit Google. Andere Anbieter hab ich noch nie getestet.
FrauStaenki
Regular
Posts: 24
Joined: Fri Dec 21, 2012 12:39 pm

Re: RC2: User/Passwort-Problem

Post by FrauStaenki »

Das Einloggen per openID finde ich auch ganz interessant. Dennoch möchte ich mich schon auch direkt bei einem "Service" anmelden können, um nicht auf die Verlässlichkeit und die Existenz externer Services angewiesen zu sein.

Wäre es denkbar, eine Option anzubieten, mit der man das eingegebene Passwort einblenden kann (wie derzeit bei verschiedenen Betriebssystemen üblich)?

Danke für den Hinweis auf die Neu-Installation der Datenbank-Tabelle, das werde ich dann bei der nächsten Neu-Installation einmal testen.

Zunächst einmal vielen Dank für die Hilfe!!
onli
Regular
Posts: 2825
Joined: Tue Sep 09, 2008 10:04 pm
Contact:

Re: RC2: User/Passwort-Problem

Post by onli »

Wäre es denkbar, eine Option anzubieten, mit der man das eingegebene Passwort einblenden kann (wie derzeit bei verschiedenen Betriebssystemen üblich)?
Nicht einfach so. Da kommt man von außen mit Javascript gar nicht so einfach dran. Solch eine Funktion sollte der Browser selbst anbieten. Hast du dir das Firefox-Addon angeschaut, das ich oben verlinkte?
garvinhicking
Core Developer
Posts: 30022
Joined: Tue Sep 16, 2003 9:45 pm
Location: Cologne, Germany
Contact:

Re: RC2: User/Passwort-Problem

Post by garvinhicking »

Mit so einer "Passwort vergessen"-Funktion im Core habe ich immer etwas Bauchschmerzen. Da genügt es die Mailadresse von jemandem zu hijacken oder Mails auf dem Server abzufangen um Vollzugriff aufs Blog zu erlangen. Bei der Methode mit einer hochgeladenen Datei kann man zumindest ein Zugriffspasswort voraussetzen, was eine höhere Autorität besitzt als die Mailadresse.

Ich würde so etwas daher auch eher in einem Plugin sehen was die Leute bei Bedarf einbauen/aktivieren... wer keinen Passwortmanager für solche sensiblen Sachen nutzt (es ist ja nicht einfach nur ein Webdienst, wo "Forgot password" üblicher ist), der ist da IMO "selbst schuld". Man ist ja selber als Betreiber seines Blogs in der Pflicht da auch eine gewisse Absicherung zu treffen, die beginnt beim Admin-Passwort...
# Garvin Hicking (s9y Developer)
# Did I help you? Consider making me happy: http://wishes.garv.in/
# or use my PayPal account "paypal {at} supergarv (dot) de"
# My "other" hobby: http://flickr.garv.in/
yellowled
Regular
Posts: 7111
Joined: Fri Jan 13, 2006 11:46 am
Location: Eutin, Germany
Contact:

Re: RC2: User/Passwort-Problem

Post by yellowled »

garvinhicking wrote:Mit so einer "Passwort vergessen"-Funktion im Core habe ich immer etwas Bauchschmerzen.
Wenn wir da schon in die Richtung denken: Es wäre vielleicht auch sinnvoll (ich weiß nicht, ob es schon irgendwie™ geht), eine Option einzubauen, den Login einfach zu „verlegen“, also z.B. serendipity_admin.php umzubenennen und/oder die Weiterleitung /admin/ anders zu nennen?
garvinhicking wrote:Ich würde so etwas daher auch eher in einem Plugin sehen was die Leute bei Bedarf einbauen/aktivieren...
Alles (auch der Rest) d'accord. Aber die Option sollten wir haben, denke ich – dafür ist das (bei allem Verständnis für Sicherheitsbedenken) in anderen Systemen zu üblich.

YL
onli
Regular
Posts: 2825
Joined: Tue Sep 09, 2008 10:04 pm
Contact:

Re: RC2: User/Passwort-Problem

Post by onli »

Etwas Bauchschmerzen ist gut. Das muss ja wirklich sehr sorgfältig gebaut werden.

Ich sehe das mit der Mail etwas anders. Wenn ein Hacker Zugriff auf deine Mailadresse hat, ist es meistens doch sowieso zu spät. Weil das Passwort für den Hoster z.B. dort drin sein sollte. Oder die Passwort zurücksetzen Funktion von ihm. Der Blog ist dann die kleinste Sorge.

Wir könnens von mir auch auch erstmal in einem Plugin umsetzen, aber imho gehört das in den Core. Deaktivierbar. Sonst erreicht das die Leute überhaupt nicht, denen das helfen könnte.

Lass uns erstmal schauen, ob ich - oder falls jemand anders anfangen will, nur zu - überhaupt eine vernünftige Implementation hinkriege.
yellowled wrote:Man könnte mal darüber nachdenken, die – ebenfalls sehr gängigen – Authentifzierungswege wie Google, Facebook, Twitter etc. als Login-Alternative anzubieten.
Wir haben sogar ein browserid-Plugin, und das ist der beste Loginweg überhaupt.
Post Reply