Hallo, Gast! (Registrieren)

Wir wünschen allen Besuchern frohe Ostern!

Letzte Ankündigung: MyBB 1.8.37 veröffentlicht (04.11.23)


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
[G] Automatische Passwortvergabe fehlerhaft
#1
Hallo zusammen,

ich habe mein Forum so eingestellt, daß bei Neuregistrierung automatisch ein Passwort per Mail versendet werden soll. Das funktioniert soweit auch..........ABER:

Als Mail bekommt der User dann folgenden Text:

Hallo test02,

vielen Dank für die Registrierung bei unserem Forum. Hier ist dein Benutzername und dein zufallsgeneriertes Passwort. Um dich bei unserem Forum einzuloggen, benötigst du diese Daten:

Benutzername: test02
Passwort: a962bdc1430412fc2f9ed812919e69f9

Bitte ändere das Passwort so schnell wie möglich. Du kannst das Passwort in deinem Benutzer-CP ändern.

Vielen Dank,
Dein Admin

Mit dem versendetem Passwort kann sich niemand einloggen. Wenn der User dann ein neues Passwort anfordert, bekommt er folgene Mail:

Hallo test02,

ein neues Passwort für unser Forum wurde erstellt.

Dein neues Passwort ist: m7W8Qher

Du benötigst dieses Passwort, um dich im Forum einzuloggen. Bitte ändere das Passwort in deinem Benutzer-CP.

Vielen Dank,
Dein Admin

Wie kommt das, daß man sich erst einloggen kann, nachdem man sich ein neues Passwort angefordert hat ?
Schönen Gruß
Peter



Ich hab´gerade aus dem Fenster geguckt, um zu sehen, wie das Wetter ist.
AUS DEM FENSTER......OBWOHL MEIN HANDY NEBEN MIR LIEGT !!
Cool Wie im Mittelalter
Cool
Zitieren
#2
Zitat:Passwort: a962bdc1430412fc2f9ed812919e69f9

Bei so langem Passwort kommt es gezwungenermaßen zur falsch Eingabe bei Manueller Eingabe, da hilft Copy und Paste.

bei neuem Passwort ist es kürzer Fehlerquote weniger bei der Eingabe.
Zitieren
#3
Erkan, dir ist bestimmt bekannt, dass 99,9% aller User sowieso copy/paste machen. Und nach nur einmal probieren der Passworteingabe wird es in der Regel auch nicht bleiben, wenn eine Fehlermeldung erscheint.

PS: Hast Du rein zufällig in der Schule eine andere Rechtschreibung genossen als der Rest der Deutschen ? Wenn Du mit deutsch nicht klar kommst, lass es einfach oder schreibe in englisch, falls Du das besser kannst,
Mit freundlichen Grüßen

MrBrechreiz
Zitieren
#4
das erste PW sieht doch verdächtig so aus, wie die PW in der Datenbank gespeichert sind, nämlich nicht im Klartext Wink
Wieso, weshalb, warum, keine Ahnung, ich teste das mal in meinem Testboard

edit: das Problem kann ich jetzt bestätigen
Zitieren
#5
@bv64, jetzt habe ich mal in der DB nachgeschaut und Du hast Recht: es ist das PW aus der DB.

Ist das Problem erst bei 1.8.12 oder schon bei früheren Versionen aufgefallen ?


(27.05.2017, 09:30)MrBrechreiz schrieb: PS: Hast Du rein zufällig in der Schule eine andere Rechtschreibung genossen als der Rest der Deutschen ? Wenn Du mit deutsch nicht klar kommst, lass es einfach oder schreibe in englisch, falls Du das besser kannst,
Ich möchte jetzt keine Diskussion über die Rechtschreibung mancher User anfangen, aber ich muss Erkan jetzt mal in Schutz nehmen:
Im Vergleich zu anderen, ist die Rechtschreibung noch vertretbar,......ist zumindest meine Meinung ! Und ob Englisch besser wäre, wage ich mal zu bezweifeln Rolleyes
Schönen Gruß
Peter



Ich hab´gerade aus dem Fenster geguckt, um zu sehen, wie das Wetter ist.
AUS DEM FENSTER......OBWOHL MEIN HANDY NEBEN MIR LIEGT !!
Cool Wie im Mittelalter
Cool
Zitieren
#6
hi!
naja, rechtschreibung vertretbar...
nicht immer...
zum prob:
nun, wir sind ein geschlossenes forum und die leute werden mit invitation system eingeladen. da werden nur die kürzeren passwörter verschickt. diese elendslangen kenn ich nur vom smf
greets
sjfm
Zitieren
#7
Aber das Problem ist ja, daß das Passwort, welches dem User geschickt wird, schon das richtige Passwort ist, aber eben so, wie es in der DB gespeichert wird !! Also nicht im Klartext !

Dann müßte es doch eigentlich so sein, daß einfach nur ein falscher Wert aus der DB beim Mailversand mit übernommen wird.

Und was mir auch noch aufgefallen ist: Ich als Admin bekomme keine Mail mehr, daß sich ein neuer User angemeldet hat !

Ich muß direkt mal testen, ob es bei 1.8.11 auch so ist.
Schönen Gruß
Peter



Ich hab´gerade aus dem Fenster geguckt, um zu sehen, wie das Wetter ist.
AUS DEM FENSTER......OBWOHL MEIN HANDY NEBEN MIR LIEGT !!
Cool Wie im Mittelalter
Cool
Zitieren
#8
Ich habe das jetzt mal sowohl mit 1.8.10 wie auch 1.8.11 getestet.

MyBB 1.8.10:
Die automatische Passwortvergabe funktioniert, dem User wird ein funktionierendes Passwort geschickt, mit dem er sich auch einloggen kann.

MyBB 1.8.11:
Hier besteht dasselbe Problem. Dem User wird das verschlüsselte Passwort gesendet, welches in der DB Tabelle mybb_users unter "password" gespeichert ist.
Damit kann man sich nicht einloggen. Wenn der User sich dann ein neues Passwort zuschicken lässt, dann wird ein korrektes Passwort gesendet.

Jetzt meine Frage:
Welche Datei ist denn für das versenden der zufallsgenerierten Passwörter zuständig ?
Man müßte dann doch eigentlich nur die Dateien von den einzelnen Versionen vergleichen und so relativ schnell den Fehler finden !
Schönen Gruß
Peter



Ich hab´gerade aus dem Fenster geguckt, um zu sehen, wie das Wetter ist.
AUS DEM FENSTER......OBWOHL MEIN HANDY NEBEN MIR LIEGT !!
Cool Wie im Mittelalter
Cool
Zitieren
#9
Hier kannst Du das Nachsehen
https://www.mybb.de/doku/sonstiges/geaen...1811/1810/
Mit freundlichen Grüßen

MrBrechreiz
Zitieren
#10
Danke, MrBrechreiz,

ich weiß zwar nicht, ob es im Sinne des Erfinders ist oder ob ich jetzt irgendwelche Sicherheitslücken im Forum habe, aber ich habe jetzt mal die zwei Dateien user.php aus dem Verzeichnis /inc/datahandlers/ und die Datei functions_user.php aus dem Verzeichnis /inc/ von Version 1.8.10 in mein Testforum 1.8.11 übernommen und die Passwortvergabe funktioniert wieder.

Aber meine php Kenntnisse sind nicht so gut, so daß ich nicht sagen kann, ob man das einfach so machen kann oder ob ich jetzt das Forum bzw. die Registrierung unsicherer gemacht habe.

Vielleicht kann ja mal jemand danach schauen, der mit an der Programmierung beteiligt war ?
Schönen Gruß
Peter



Ich hab´gerade aus dem Fenster geguckt, um zu sehen, wie das Wetter ist.
AUS DEM FENSTER......OBWOHL MEIN HANDY NEBEN MIR LIEGT !!
Cool Wie im Mittelalter
Cool
Zitieren