phpbb3 RC7 password hash

[Jojoponn139]

Ich möchte schon gerne mein eigenes Login verwenden.. ich glaube kaum das ihr nochmal den hash ändern werdet..

Ähm nur ma so als Hinweis, weil du in der 2.Person redest:
Dies hier ist nur ein Supportforum. phpbb.de hat mit Entwicklung nichts zu tun. phpbb.de ist so zu sagen eine dritte Instanz. Wenn du mit denen in Kontakt treten willst, die sich wirklich mit den Codes auskennen, solltest du zu phpbb.com gehen. Das sind die Entwickler.

- Ich will natürlich nicht sagen, dass sich hier niemand auskennt aber wenn du solch inhaltliche Fragen hast und mit jemandem reden willst, der phpBB auch entwickelt, ist phpbb.com der Ansprechpartner.

[Salix]

Ich würde an deiner Stelle statt des "echten" Logins einen Login mit Redirect einsetzen. Das hat den klaren Vorteil, dass du dir um Sicherheitsupdates keine großen Sorgen machen musst.

Du schickst die Daten (username, password, ggf. autologin und viewonline) einfach statt an dein eigenes Formular an ucp.php?mode=login und übergibst in Versteckten Feldern sid und redirect, wobei du in redirect den relativen Pfad zur gewünschten Datei einträgst.

Hallo,
deinen Vorschlag habe ich direkt mal ausprobiert, gegen einen Logon über das Board habe ich nichts. Aber kann ich diesen auch auf verschiedene User begrenzen? Ich möchte den Zugang für den Adminbereich der Seite nur sehr ungern allen Boardusern zugestehen...

Vielen Dank! Gruß Salix

[gn#36]

Naja du könntest natürlich spezielle Rechte fordern. Dann können sich zwar andere Einloggen, erhalten aber beim Versuch zuzugreifen eine Fehlermeldung, so wie das jetzt beim ACP ja auch ist (klar, es wird kein Link angezeigt, aber im Prinzip kann man ja auch direkt zugreifen). Du könntest dann entweder Moderator-, Administrator-, oder normale Userrechte verwenden um festzulegen, wer zugreifen darf und wer nicht (wie du die auth-Klasse verwendest findest du in deiner Foren-Installation im docs Ordner).

Im Prinzip könntest du auch eine neue Gruppe globale Rechte anlegen, das ist dann aber im Bezug auf die Verwaltung aufwändig (wie ich dir aus Erfahrung sagen kann).

[Salix]

Danke für deine rasche Antwort!
Ich werde mir nachher mal die auth-Klasse anschauen und nochmal berichten.

Gruß Salix

[Salix]

Hallo nochmal,
ich muß leider zugeben, das ich mit der ACP nicht wirklich viel anfangen kann....

Ich habe mir allerdings trotzdem mal nen Kopf gemacht und wollte jetzt eure Meinung dazu wissen.

1. Habe ich einen Link im Forum hinzugefügt, dieser kann nur von bestimmten Usern nach der Anmeldung gesehen bzw. genutzt werden.

2. Ich hole mir auf der Zielseite die SID via $_SERVER["HTTP_REFERER"] heraus und suche sie in der DB. Dazu vergleiche ich dann noch die hinterlegte IP mit der aktuellen des Browsers. Stimmt alles gebe ich den Zugriff frei.

3. In den Unterseiten übergebe ich die SID mit GET und führe immer wieder die Prüfung aus 2 aus. Will jemand ohne gültige SID auf die Seite, kann er das knicken... (So glaube ich ....)

Ich bitte um eure Meinung zu dieser Anmeldeversion!
Übrigens fände ich es super wenn mir jemand sagen könnte, wie ich anhand der SID den Usernamen ermitteln kann - oder sonst wie.
Denn im Moment kann man, wenn man die Logonpage kennt den Link umgehen - so kann im Prinziep jeder der im Forum angemeldet ist Teile der Seite ändern!

Die Anmeldung soll schlichtweg nur für bestimmte Benutzer des Forums möglich sein. Vielleicht hat ja auch jemand einen Schnipsel für mich...

Vielen Dank!

LG Salix

[gn#36]

Wie wäre es, wenn du die SID einfach automatisch an den Link mit dranhängst? Wenn du nämlich per Cookie eingeloggt bist, dann hast du in deiner aktuellen URL keine SID drin. IMHO ist es das einfachste per http://wiki.phpbb.com/Adding_pages oder http://wiki.phpbb.com/Adding_modules einfach eine neue Seite mit einzubinden, die alle diese Dinge automatisch mit übernimmt.

Prinzipiell könntest du auch ein neues "control panel" erstellen (wie UCP, ACP und MCP) dass dann einzig und alleine Module für deine Sache schluckt.

Variablen wie HTTP_REFERER würde ich nie trauen zumal sie nicht mal von zwingend allen Browsern übergeben werden. Häng die SID lieber direkt an jede URL dran und fertig (oder arbeite mit dem Cookie, oder baue die Seite in das phpBB ein).

[thundix]

Nun hab ich glaub ich...
Du hättest mir ruhig sagen können da sich die Funktion phpbb_hash garnicht brauche sondern phpbb_check_hash damit überprfüt man das Passwort obs stimmt

Habs nun so gemacht (alle was mit $data-> anfängt kommt aus der db mit mysql_fetch_object):

Code: Alles auswählen

if( strlen($data->user_password) == 32 && $data->user_password == md5($table_password) )
			{ 
				// alte login methode
				$dologin = true;
			}
			elseif(phpbb_check_hash($table_password, $data->user_password))
			{
				// neue login methode
				$dologin = true;
			}
			else 
			{ $dologin = false; }

Wenn ich fragen darf, welche Datei hast du für die Funktion phpbb_check_hash includet?