RC2: User/Passwort-Problem
-
- Regular
- Posts: 24
- Joined: Fri Dec 21, 2012 12:39 pm
RC2: User/Passwort-Problem
Hallöle werte S9Y-Community!
Und mal wieder ein Pass-Problem …
Nachdem ich wieder einmal das Passwort vergessen hatte, habe ich mir jetzt den RC 2 einfach frisch drübergebügelt und zwar: 3mal …
Warum? Tja, zunächst einmal installiert er einen Teil der Software, dann muss man bei (mind.) 2 Verzeichnissen noch die Rechte ändern (warum auch immer …) und dann trägt man seine Daten (User/Pass) ein und kurze Zeit später ist man da … zumindest fast.
Dann möchte man sich zum ersten Mal neu einloggen, und: *DÖÖT* Fehler in der Pass/User-Kombo.
Tja, also, alles noch mal: alte Soße löschen, neu aufspielen, Rechte ändern, Daten eingeben fertig: *DÖÖT* und wieder ein Fehler. Also, drittes Mal alles von vorne …
Ich bin mir sehr sicher (wie der DAU ja nun mal so is ), dass ich das Passwort nicht falsch eingegeben habe, auch nicht bei der Anlage, aber genau da liegt mein Problem, respektive mein Wunsch:
Bitte für die EIngabe des Passworts im Backend zwei Möglichkeiten berücksichtigen:
Entweder Eingabe im Klartext (ich sehe nicht, warum der Admin selber nicht sein eigenes Passwort sehen sollte …) oder zumindest die Möglichkeit, das Passwort in einem zweiten Eingabefeld zu überprüfen, damit man nicht aus Versehen ein falsches Passwort anlegt und das noch nicht einmal sieht …
DANKE!
Wir sehen uns dann zum nächsten Release
Beste Grüße
Daniel
Und mal wieder ein Pass-Problem …
Nachdem ich wieder einmal das Passwort vergessen hatte, habe ich mir jetzt den RC 2 einfach frisch drübergebügelt und zwar: 3mal …
Warum? Tja, zunächst einmal installiert er einen Teil der Software, dann muss man bei (mind.) 2 Verzeichnissen noch die Rechte ändern (warum auch immer …) und dann trägt man seine Daten (User/Pass) ein und kurze Zeit später ist man da … zumindest fast.
Dann möchte man sich zum ersten Mal neu einloggen, und: *DÖÖT* Fehler in der Pass/User-Kombo.
Tja, also, alles noch mal: alte Soße löschen, neu aufspielen, Rechte ändern, Daten eingeben fertig: *DÖÖT* und wieder ein Fehler. Also, drittes Mal alles von vorne …
Ich bin mir sehr sicher (wie der DAU ja nun mal so is ), dass ich das Passwort nicht falsch eingegeben habe, auch nicht bei der Anlage, aber genau da liegt mein Problem, respektive mein Wunsch:
Bitte für die EIngabe des Passworts im Backend zwei Möglichkeiten berücksichtigen:
Entweder Eingabe im Klartext (ich sehe nicht, warum der Admin selber nicht sein eigenes Passwort sehen sollte …) oder zumindest die Möglichkeit, das Passwort in einem zweiten Eingabefeld zu überprüfen, damit man nicht aus Versehen ein falsches Passwort anlegt und das noch nicht einmal sieht …
DANKE!
Wir sehen uns dann zum nächsten Release
Beste Grüße
Daniel
Re: RC2: User/Passwort-Problem
Man könnte ja auch eine Passwort-Verwaltung benutzen und da das Passwort raus kopieren und im Eingabefeld einfügen.
Kannst du dich denn nun inzwischen einloggen? Nicht, dass da vielleicht doch irgend ein Fehler ist, den man vielleicht beheben müsste.
Kannst du dich denn nun inzwischen einloggen? Nicht, dass da vielleicht doch irgend ein Fehler ist, den man vielleicht beheben müsste.
Re: RC2: User/Passwort-Problem
Das geht nicht immer. Es könnte ja jemand hinter dir stehen. Der Browser könnte natürlich anbieten, das Passwort-Feld im Klartext anzuzeigen, aber das muss schon der Browser machen, nicht wir. Es gibt auch Addons dafür: https://addons.mozilla.org/en-US/firefo ... -password/Entweder Eingabe im Klartext (ich sehe nicht, warum der Admin selber nicht sein eigenes Passwort sehen sollte …)
Das würde eher gehen. Gibts da weitere Meinungen zu?FrauStaenki wrote:das Passwort in einem zweiten Eingabefeld zu überprüfen, damit man nicht aus Versehen ein falsches Passwort anlegt und das noch nicht einmal sieht
Ich bin da nämlich zwiegespalten. Auf der einen Seite soll eine Oberfläche solche Fehler natürlich abfangen. Andererseits tritt dieses spezielle Problem nicht oft auf… Und diese Validierung gut zu machen (das wäre ja am besten bei der Eingabe, und zusätzlich beim Absenden des Formulars) ist gegeben wie das derzeit läuft wahrscheinlich komplizierter als man denkt.
Re: RC2: User/Passwort-Problem
Doppelte Passwort-Eingabe bei Registrierungen sind ein üblicher Weg, Fehleingaben zu vermeiden. Falls das noch nicht drin ist (wann registriert man sich schon mal neu in s9y ), dann sollte man das zumindest im Installer mit einbauen.onli wrote:Das würde eher gehen. Gibts da weitere Meinungen zu?FrauStaenki wrote:das Passwort in einem zweiten Eingabefeld zu überprüfen, damit man nicht aus Versehen ein falsches Passwort anlegt und das noch nicht einmal sieht
Re: RC2: User/Passwort-Problem
IMHO hat Serendipity 10 Jahre sehr gut ohne das bestanden... Ich befürchte FrauStaenki hat ein ganz anderes Problem... und ist nicht wirklich geeignet zum Maß der Dinge gemacht zu werden.
Regards,
Ian
Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian
Ian
Serendipity Styx Edition and additional_plugins @ https://ophian.github.io/ @ https://github.com/ophian
Re: RC2: User/Passwort-Problem
So muss man mit Menschen und Nutzern nicht reden, Ian.
-
- Core Developer
- Posts: 30022
- Joined: Tue Sep 16, 2003 9:45 pm
- Location: Cologne, Germany
- Contact:
Re: RC2: User/Passwort-Problem
Ich glaube einfach unter das Passwortfeld ein weiteres Passwortfeld zu machen dass im Installer validiert wird und abbricht wenn es nicht dasselbe ist, sollte schon hinkriegbar sein.
Ich bin jedoch zurückhaltend das zum jetizgen RC-Stand in die 2.0 mit zu übernehmen; das wäre eine Sache die für für eine 2.0.1 vorsehen könnten. Ich lege das mal als Github Issue an und kümmere mich dann darum.
Ansonsten, FrauStaenki: Ich glaube das Problem deiner mehrfachen Installation liegt daran dass wenn die Datenbank schon existiert, Serendipity diese Daten beibehält und nicht neu anlegt/erstellt, um nicht versehentlich Installationsdaten zu löschen. Das heißt, wenn man neu installiert *IMMER* auch die Datenbanktabellen vorher löschen, sonst übernimmt Serendipity zahlreiche der alten Daten!
Ich bin jedoch zurückhaltend das zum jetizgen RC-Stand in die 2.0 mit zu übernehmen; das wäre eine Sache die für für eine 2.0.1 vorsehen könnten. Ich lege das mal als Github Issue an und kümmere mich dann darum.
Ansonsten, FrauStaenki: Ich glaube das Problem deiner mehrfachen Installation liegt daran dass wenn die Datenbank schon existiert, Serendipity diese Daten beibehält und nicht neu anlegt/erstellt, um nicht versehentlich Installationsdaten zu löschen. Das heißt, wenn man neu installiert *IMMER* auch die Datenbanktabellen vorher löschen, sonst übernimmt Serendipity zahlreiche der alten Daten!
# Garvin Hicking (s9y Developer)
# Did I help you? Consider making me happy: http://wishes.garv.in/
# or use my PayPal account "paypal {at} supergarv (dot) de"
# My "other" hobby: http://flickr.garv.in/
# Did I help you? Consider making me happy: http://wishes.garv.in/
# or use my PayPal account "paypal {at} supergarv (dot) de"
# My "other" hobby: http://flickr.garv.in/
Re: RC2: User/Passwort-Problem
Ich habe nochmal drüber nachgedacht. Ich glaube, wir setzen an der falschen Stelle an.
Bei der Passwortgenerierung doppelt das Passwort abzufragen hilft ja nur gegen Tipper. Im Idealfall wollen wir die erschlagen, aber genauso wirklich vergessene Passwörter. Das passiert ja doch öfter mal.
Bisher helfen wir da mit einem PHP skript, dem loginfix. Aber das erfordert das Hochladen einer Datei auf den Server, ziemlich technisch. Was wir eigentlich machen sollten ist, eine "Passwort vergessen" Funktion in s9y zu integrieren.
Im Loginformular also ein Link "Passwort vergessen?". Die neue Seite schickt eine Mail an die Emailadresse des Nutzers. Dort ist natürlich nicht das alte Passwort drin, das wir nicht kennen, und auch das neue nicht, das wir nicht im Klartext senden können. In der Mail ist ein Link, der direkt zu einem Formular füllt, mit dem ein neues Passwort gesetzt werden kann.
Natürlich muss diese Funktion ein rate-Limit haben, und generell sehr sorgfältig gebaut werden, damit sie uns keine Sicherheitslücke reinreisst. Aber das ist durchaus machbar.
Das Passwort doppelt abzufragen kann natürlich zusätzlich gemacht werden, wäre dann aber weniger nötig.
Mit der Funktion wären Vertipper bei der Accounterstellung erschlagen, normal vergessene Passwörter ebenfalls, und das Szenario mit der übriggebliebenen Datenbanktabelle als mögliche Fehlerursache im konkreten Fall wäre auch gelöst.
Bei der Passwortgenerierung doppelt das Passwort abzufragen hilft ja nur gegen Tipper. Im Idealfall wollen wir die erschlagen, aber genauso wirklich vergessene Passwörter. Das passiert ja doch öfter mal.
Bisher helfen wir da mit einem PHP skript, dem loginfix. Aber das erfordert das Hochladen einer Datei auf den Server, ziemlich technisch. Was wir eigentlich machen sollten ist, eine "Passwort vergessen" Funktion in s9y zu integrieren.
Im Loginformular also ein Link "Passwort vergessen?". Die neue Seite schickt eine Mail an die Emailadresse des Nutzers. Dort ist natürlich nicht das alte Passwort drin, das wir nicht kennen, und auch das neue nicht, das wir nicht im Klartext senden können. In der Mail ist ein Link, der direkt zu einem Formular füllt, mit dem ein neues Passwort gesetzt werden kann.
Natürlich muss diese Funktion ein rate-Limit haben, und generell sehr sorgfältig gebaut werden, damit sie uns keine Sicherheitslücke reinreisst. Aber das ist durchaus machbar.
Das Passwort doppelt abzufragen kann natürlich zusätzlich gemacht werden, wäre dann aber weniger nötig.
Mit der Funktion wären Vertipper bei der Accounterstellung erschlagen, normal vergessene Passwörter ebenfalls, und das Szenario mit der übriggebliebenen Datenbanktabelle als mögliche Fehlerursache im konkreten Fall wäre auch gelöst.
Re: RC2: User/Passwort-Problem
Nur so ein Gedanke, und ich weiß nicht, ob wir es nicht sogar (als Plugin) vielleicht sogar schon haben: Man könnte mal darüber nachdenken, die – ebenfalls sehr gängigen – Authentifzierungswege wie Google, Facebook, Twitter etc. als Login-Alternative anzubieten. (Wobei ich fast ahne, dass wir das schon mal irgendwann diskutiert haben und ich es gleich um die Ohren gehauen bekomme.)
YL
YL
Re: RC2: User/Passwort-Problem
Das OpenID-Plugin funktioniert sehr gut, benutze es mit Google. Andere Anbieter hab ich noch nie getestet.yellowled wrote:Man könnte mal darüber nachdenken, die – ebenfalls sehr gängigen – Authentifzierungswege wie Google, Facebook, Twitter etc. als Login-Alternative anzubieten.
-
- Regular
- Posts: 24
- Joined: Fri Dec 21, 2012 12:39 pm
Re: RC2: User/Passwort-Problem
Das Einloggen per openID finde ich auch ganz interessant. Dennoch möchte ich mich schon auch direkt bei einem "Service" anmelden können, um nicht auf die Verlässlichkeit und die Existenz externer Services angewiesen zu sein.
Wäre es denkbar, eine Option anzubieten, mit der man das eingegebene Passwort einblenden kann (wie derzeit bei verschiedenen Betriebssystemen üblich)?
Danke für den Hinweis auf die Neu-Installation der Datenbank-Tabelle, das werde ich dann bei der nächsten Neu-Installation einmal testen.
Zunächst einmal vielen Dank für die Hilfe!!
Wäre es denkbar, eine Option anzubieten, mit der man das eingegebene Passwort einblenden kann (wie derzeit bei verschiedenen Betriebssystemen üblich)?
Danke für den Hinweis auf die Neu-Installation der Datenbank-Tabelle, das werde ich dann bei der nächsten Neu-Installation einmal testen.
Zunächst einmal vielen Dank für die Hilfe!!
Re: RC2: User/Passwort-Problem
Nicht einfach so. Da kommt man von außen mit Javascript gar nicht so einfach dran. Solch eine Funktion sollte der Browser selbst anbieten. Hast du dir das Firefox-Addon angeschaut, das ich oben verlinkte?Wäre es denkbar, eine Option anzubieten, mit der man das eingegebene Passwort einblenden kann (wie derzeit bei verschiedenen Betriebssystemen üblich)?
-
- Core Developer
- Posts: 30022
- Joined: Tue Sep 16, 2003 9:45 pm
- Location: Cologne, Germany
- Contact:
Re: RC2: User/Passwort-Problem
Mit so einer "Passwort vergessen"-Funktion im Core habe ich immer etwas Bauchschmerzen. Da genügt es die Mailadresse von jemandem zu hijacken oder Mails auf dem Server abzufangen um Vollzugriff aufs Blog zu erlangen. Bei der Methode mit einer hochgeladenen Datei kann man zumindest ein Zugriffspasswort voraussetzen, was eine höhere Autorität besitzt als die Mailadresse.
Ich würde so etwas daher auch eher in einem Plugin sehen was die Leute bei Bedarf einbauen/aktivieren... wer keinen Passwortmanager für solche sensiblen Sachen nutzt (es ist ja nicht einfach nur ein Webdienst, wo "Forgot password" üblicher ist), der ist da IMO "selbst schuld". Man ist ja selber als Betreiber seines Blogs in der Pflicht da auch eine gewisse Absicherung zu treffen, die beginnt beim Admin-Passwort...
Ich würde so etwas daher auch eher in einem Plugin sehen was die Leute bei Bedarf einbauen/aktivieren... wer keinen Passwortmanager für solche sensiblen Sachen nutzt (es ist ja nicht einfach nur ein Webdienst, wo "Forgot password" üblicher ist), der ist da IMO "selbst schuld". Man ist ja selber als Betreiber seines Blogs in der Pflicht da auch eine gewisse Absicherung zu treffen, die beginnt beim Admin-Passwort...
# Garvin Hicking (s9y Developer)
# Did I help you? Consider making me happy: http://wishes.garv.in/
# or use my PayPal account "paypal {at} supergarv (dot) de"
# My "other" hobby: http://flickr.garv.in/
# Did I help you? Consider making me happy: http://wishes.garv.in/
# or use my PayPal account "paypal {at} supergarv (dot) de"
# My "other" hobby: http://flickr.garv.in/
Re: RC2: User/Passwort-Problem
Wenn wir da schon in die Richtung denken: Es wäre vielleicht auch sinnvoll (ich weiß nicht, ob es schon irgendwie™ geht), eine Option einzubauen, den Login einfach zu „verlegen“, also z.B. serendipity_admin.php umzubenennen und/oder die Weiterleitung /admin/ anders zu nennen?garvinhicking wrote:Mit so einer "Passwort vergessen"-Funktion im Core habe ich immer etwas Bauchschmerzen.
Alles (auch der Rest) d'accord. Aber die Option sollten wir haben, denke ich – dafür ist das (bei allem Verständnis für Sicherheitsbedenken) in anderen Systemen zu üblich.garvinhicking wrote:Ich würde so etwas daher auch eher in einem Plugin sehen was die Leute bei Bedarf einbauen/aktivieren...
YL
Re: RC2: User/Passwort-Problem
Etwas Bauchschmerzen ist gut. Das muss ja wirklich sehr sorgfältig gebaut werden.
Ich sehe das mit der Mail etwas anders. Wenn ein Hacker Zugriff auf deine Mailadresse hat, ist es meistens doch sowieso zu spät. Weil das Passwort für den Hoster z.B. dort drin sein sollte. Oder die Passwort zurücksetzen Funktion von ihm. Der Blog ist dann die kleinste Sorge.
Wir könnens von mir auch auch erstmal in einem Plugin umsetzen, aber imho gehört das in den Core. Deaktivierbar. Sonst erreicht das die Leute überhaupt nicht, denen das helfen könnte.
Lass uns erstmal schauen, ob ich - oder falls jemand anders anfangen will, nur zu - überhaupt eine vernünftige Implementation hinkriege.
Ich sehe das mit der Mail etwas anders. Wenn ein Hacker Zugriff auf deine Mailadresse hat, ist es meistens doch sowieso zu spät. Weil das Passwort für den Hoster z.B. dort drin sein sollte. Oder die Passwort zurücksetzen Funktion von ihm. Der Blog ist dann die kleinste Sorge.
Wir könnens von mir auch auch erstmal in einem Plugin umsetzen, aber imho gehört das in den Core. Deaktivierbar. Sonst erreicht das die Leute überhaupt nicht, denen das helfen könnte.
Lass uns erstmal schauen, ob ich - oder falls jemand anders anfangen will, nur zu - überhaupt eine vernünftige Implementation hinkriege.
Wir haben sogar ein browserid-Plugin, und das ist der beste Loginweg überhaupt.yellowled wrote:Man könnte mal darüber nachdenken, die – ebenfalls sehr gängigen – Authentifzierungswege wie Google, Facebook, Twitter etc. als Login-Alternative anzubieten.