Seite 1 von 2
Admin-Login: PW wird nicht gespeichert
Verfasst: 15.01.2008 18:10
von ill66
2 dinge stören mich, wenn ich mich als admin einloggen möchte:
1. das PW wird nicht gespeichert (weder FF noch Konqui), obowhl ich dies ausdrücklich wünsche; auch "bei jedem besuch automatisch anmelden" funzt nicht (mit einem normalen user gibt es keine probleme)
2. wenn ich mich über die startseite als admin eingeloggt hab und dann unten den ACP-link klicke, muss ich das PW direkt NOCH mal eintippen.
da mein admin-PW natürlich aus sicherheitsgründen nicht grade nur aus 3 buchstaben besteht, ist das ziemlich nervig.
kann man da was machen?
Verfasst: 15.01.2008 18:17
von Ogniquok
1. Also das erste Problem hab ich auch, liegt aber glaub ich am Browser (hab auch FF)
2. Das erneute eingeben des Passwortes dient nur zur Sicherheit, ist aber nötig, egal wie sicher dein passwort auch ist.
klar kann mans auch entfernen, dazu in der adm/index.php folgenden Code-Abschnitt entfernen, aber lass es besser bleiben.
SUCHEN UND ENTFERNEN:
Code: Alles auswählen
// Have they authenticated (again) as an admin for this session?
if (!isset($user->data['session_admin']) || !$user->data['session_admin'])
{
login_box('', $user->lang['LOGIN_ADMIN_CONFIRM'], $user->lang['LOGIN_ADMIN_SUCCESS'], true, false);
}
Verfasst: 15.01.2008 18:30
von bantu
Das ist ein Sicherheitsfeature.
Verfasst: 15.01.2008 18:33
von UGC
Ogniquok hat geschrieben:SUCHEN UND ENTFERNEN:
Code: Alles auswählen
// Have they authenticated (again) as an admin for this session?
if (!isset($user->data['session_admin']) || !$user->data['session_admin'])
{
login_box('', $user->lang['LOGIN_ADMIN_CONFIRM'], $user->lang['LOGIN_ADMIN_SUCCESS'], true, false);
}
Falsch! Lieber auskommentieren, falls das Kennwort hinterher doch noch gebraucht wird!
Code: Alles auswählen
// Have they authenticated (again) as an admin for this session?
// if (!isset($user->data['session_admin']) || !$user->data['session_admin'])
// {
// login_box('', $user->lang['LOGIN_ADMIN_CONFIRM'], $user->lang['LOGIN_ADMIN_SUCCESS'], true, false);
// }
In dem Fall gillt:
Suche das oben genannte und ersetze es durch meins.
Verfasst: 15.01.2008 18:44
von djchrisnet
Wenn du diese Code-Zeilen entfernt hast, rate ich allerdings zum Passwort-Schutz per .htaccess des verzeichnisses /adm/
Verfasst: 15.01.2008 19:27
von ill66
dass das sicherheits-features sind, ist mir schon klar^^
aber um welcher art sicherheitsrisiken handelt es sich denn jeweils? dass jemand anderes an meinen PC kommt und dort durch das gespeicherte PW in die administration kommt oder sind es hacker-relevante lecks?
aus anderen forensystemen kenn ich es zumindest, dass mein fürs board als admin sein PW speichern kann (aber stimmt: fürs ACP braucht mans da auch nochmal extra)
Verfasst: 15.01.2008 19:34
von UGC
Es ist ein Schutz wegen dem Autologin.
Schließlich könnte ja sonst jeder einfach über deinen pc auf das forum gehen und einfach in den admin-bereich.
Verfasst: 15.01.2008 22:40
von ill66
ja, aber meinen PC benutz nur ich, niemand sonst.
daher frag ich, ob es nur um solchen schutz geht oder ob das irgendwie eine sicherheitslücke darstellt, die sich böse hacker zunutzen machen könnten
Verfasst: 15.01.2008 22:52
von DarthObelix
ill66,
alles, was automasitisert, bietet auch Lücken, das irgendwie auszunutzen, auch lassen sich Sessions Deines Browsers kapern, dann wäre das zum Beispiel relevant.
Wenn es Dich beim Einrichten störtn, schau mal, ob Du einen htaccess auf /adm hast, wenn ich mich recht erinnere, hatte er sich sogar ohne direkt ins Admin eingeloggt(kann mich aber irren...).
Dürfte auch vom benutzten Broser und seinen Einstellungen mit Kennwörtern abhängen...
Verfasst: 16.01.2008 00:06
von ill66
von htaccess hab ich kaum ahnung...
in meiner steht:
Code: Alles auswählen
<Files "config.php">
Order Allow,Deny
Deny from All
</Files>
<Files "common.php">
Order Allow,Deny
Deny from All
</Files>