Admin-Login: PW wird nicht gespeichert

ill66 · Beitrag von **ill66** » 15.01.2008 18:10

2 dinge stören mich, wenn ich mich als admin einloggen möchte:

1. das PW wird nicht gespeichert (weder FF noch Konqui), obowhl ich dies ausdrücklich wünsche; auch "bei jedem besuch automatisch anmelden" funzt nicht (mit einem normalen user gibt es keine probleme)

2. wenn ich mich über die startseite als admin eingeloggt hab und dann unten den ACP-link klicke, muss ich das PW direkt NOCH mal eintippen.

da mein admin-PW natürlich aus sicherheitsgründen nicht grade nur aus 3 buchstaben besteht, ist das ziemlich nervig.

kann man da was machen?

Ogniquok · Beitrag von **Ogniquok** » 15.01.2008 18:17

1. Also das erste Problem hab ich auch, liegt aber glaub ich am Browser (hab auch FF)

2. Das erneute eingeben des Passwortes dient nur zur Sicherheit, ist aber nötig, egal wie sicher dein passwort auch ist.
klar kann mans auch entfernen, dazu in der adm/index.php folgenden Code-Abschnitt entfernen, aber lass es besser bleiben.

SUCHEN UND ENTFERNEN:

Code: Alles auswählen

// Have they authenticated (again) as an admin for this session?
if (!isset($user->data['session_admin']) || !$user->data['session_admin'])
{
	login_box('', $user->lang['LOGIN_ADMIN_CONFIRM'], $user->lang['LOGIN_ADMIN_SUCCESS'], true, false);
}

Beitrag von **bantu** » 15.01.2008 18:30

Das ist ein Sicherheitsfeature.

UGC · Beitrag von **UGC** » 15.01.2008 18:33

Ogniquok hat geschrieben:SUCHEN UND ENTFERNEN:

Code: Alles auswählen

// Have they authenticated (again) as an admin for this session?
if (!isset($user->data['session_admin']) || !$user->data['session_admin'])
{
	login_box('', $user->lang['LOGIN_ADMIN_CONFIRM'], $user->lang['LOGIN_ADMIN_SUCCESS'], true, false);
}

Falsch! Lieber auskommentieren, falls das Kennwort hinterher doch noch gebraucht wird!

Code: Alles auswählen

// Have they authenticated (again) as an admin for this session?
// if (!isset($user->data['session_admin']) || !$user->data['session_admin'])
// {
//	login_box('', $user->lang['LOGIN_ADMIN_CONFIRM'], $user->lang['LOGIN_ADMIN_SUCCESS'], true, false);
// }

In dem Fall gillt:
Suche das oben genannte und ersetze es durch meins.

djchrisnet · Beitrag von **djchrisnet** » 15.01.2008 18:44

Wenn du diese Code-Zeilen entfernt hast, rate ich allerdings zum Passwort-Schutz per .htaccess des verzeichnisses /adm/

ill66 · Beitrag von **ill66** » 15.01.2008 19:27

dass das sicherheits-features sind, ist mir schon klar^^

aber um welcher art sicherheitsrisiken handelt es sich denn jeweils? dass jemand anderes an meinen PC kommt und dort durch das gespeicherte PW in die administration kommt oder sind es hacker-relevante lecks?

aus anderen forensystemen kenn ich es zumindest, dass mein fürs board als admin sein PW speichern kann (aber stimmt: fürs ACP braucht mans da auch nochmal extra)

UGC · Beitrag von **UGC** » 15.01.2008 19:34

Es ist ein Schutz wegen dem Autologin.
Schließlich könnte ja sonst jeder einfach über deinen pc auf das forum gehen und einfach in den admin-bereich.

ill66 · Beitrag von **ill66** » 15.01.2008 22:40

ja, aber meinen PC benutz nur ich, niemand sonst.

daher frag ich, ob es nur um solchen schutz geht oder ob das irgendwie eine sicherheitslücke darstellt, die sich böse hacker zunutzen machen könnten

DarthObelix · Beitrag von **DarthObelix** » 15.01.2008 22:52

ill66,

alles, was automasitisert, bietet auch Lücken, das irgendwie auszunutzen, auch lassen sich Sessions Deines Browsers kapern, dann wäre das zum Beispiel relevant.

Wenn es Dich beim Einrichten störtn, schau mal, ob Du einen htaccess auf /adm hast, wenn ich mich recht erinnere, hatte er sich sogar ohne direkt ins Admin eingeloggt(kann mich aber irren...).

Dürfte auch vom benutzten Broser und seinen Einstellungen mit Kennwörtern abhängen...

ill66 · Beitrag von **ill66** » 16.01.2008 00:06

von htaccess hab ich kaum ahnung...

in meiner steht:

Code: Alles auswählen

<Files "config.php">
Order Allow,Deny
Deny from All
</Files>

<Files "common.php">
Order Allow,Deny
Deny from All
</Files>