User ändert Passwort im Frontend - Kann sich nicht mehr einloggen
Hy Folks,
Folgendes Problem (läßt sich jederzeit nach stellen).
Ein im Backend erstellter User logt sich auf dem Frontend ein und ändert sein Passwort.
Dannach ist es ihm nicht mehr möglich sich einzuloggen (der Passwort Hash in der Datenbank ändert sich aber).
Ändere ich das PW für den User im Backend gehts wieder....
Joomla! 1.0.13 Stable
Activation by Administrator ist installiert sollte aber hier eigentlich nichts anstellen
Hoffe jmd hat einen Tipp für mich
Vielen Dank
mfg
Andreas
Geändert von pillul (29.08.2007 um 07:42 Uhr) Grund: Gelöst
[Gelöst]
So ich konnte das Problem nachvollziehen und lösen.
Mit Joomla 1.0.13 wurde die Passwort verschlüßelung auf md5 + salt umgestellt.
Das funktioniert aber nicht !
Das Login Modul liest nur md5 aus kann anscheinend mit dem salt Pws nichts anfangen.
Nach dem ändern des Passworts im Frontend stand ein salt verschlüßeltest Passwort in der Datenbank, trotzdem schlug die Anmeldung am Frontend fehl. Tauscht man dieses per Hand durch ein md5 verschlüßeltes PW aus geht es....
Fix:
components/com_user/user.php
Zeile 125:
$crypt = md5($row->password.$salt);
$row->password = $crypt.':'.$salt;
ändern in
$crypt = md5($row->password);
$row->password = $crypt;
Jetzt steht das pw nur noch md5 verschlüßelt in der DB aber jeder Login oder PW Änderung funktioniert
mfg
Andreas
womit eine zusätzliches Sicherheitsfeature deaktiviert wäre...Ob das eine gute Lösung ist? Ich würde mal eher nein sagen... Muss aber gleich sagen, dass ich keine bessere zur Hand habe...
Gruß
JamFX
www.nik-o-mat.de -> Freie Software, Joomla-Tipps & Übersetzungen
www.akeebabackup.de ->AkeebaBackup Joomla Umziehen, Sichern, Wiederherstellen [Videoanleitung]
nik-o-mat bei Twitter | Google+ | Facebook
Es wird lediglich die salt verschlüßelung deaktiviert, md5 bleibt bestehen,
Toll ist das nicht wohl war, nur solang es keinen offiziellen fix gibt muss es so gehen
???
Super, ich habe schon nicht mehr an eine Lösung geglaubt. Gibt es denn mittlerweile ein Fix?Zitat von pillul
Die Lösung ist gut. Was aber muss man ändern, um die SALT-Verschlüsselung auch bei "Passwort vergessen?" im Login-Bereich abzuschalten?
Hallo,
ich habe die Änderung in Zeile 125 gemacht, aber leider klappt sie bei mir nicht!
Hat jemand eine Idee? Hab ich was übersehen?$row->password = trim($row->password);
$salt = mosMakePassword(16);
$crypt = md5($row->password);
$row->password = $crypt;
Gruß
Gerhard
Edit
Ich hab da nochmal nachgesehen. Wäre es nicht sinnvoller die MD5 bereits in der "registration.php" unter "com_registration" abzuschalten?
Zeile 157:
Ich bin jetzt nicht der große Programmierer, aber vielleicht kann da mal jemand nachsehen der mehr Ahnung hat.$pwd = $row->password;
$salt = mosMakePassword(16);
$crypt = md5($row->password.$salt);
$row->password = $crypt.':'.$salt;
$row->registerDate = date( 'Y-m-d H:i:s' );
Gruß
Gerhard
Ich habe die Änderung in der registration.php gemacht - siehe da: Alles klappt wieder!
Gruß
Gerhard
nichts gefunden?
Hi Gerhard,
ich habe die Stelle in der registration.php gesucht, aber nicht gefunden. welches version hast du installiert?
Hallo Katja,
ich habe die 1.0.15 und da liegt die "com_registration" unter "components". Dort dann wie beschrieben verfahren.
Vorsicht: Die Zeilenangabe muss nicht zwingend stimmen! Manchmal sind es ein paar Zeilen drüber oder drunter. Suche am besten mit der Suchfunktion Deines Editors nach "$salt". Das sollte dann zum gewünschten Ergebnis führen.
Gruß
Gerhard
Berechtigungen
LinkBack URL
About LinkBacks
Zitieren
Lesezeichen