Wieder Probleme mit Benutzerverwaltung
-
- Master Bludit
- Posts: 91
- Joined: Sun Apr 10, 2022 10:33 am
- Has thanked: 7 times
- Been thanked: 4 times
Ich musste ja schon wieder das PW zurücksetzen und im Gegensatz zum
vorigen Einsatz klappte es diesmal nicht. Das Script meinte, es hätte keinen BN "admin" gefunden. Klar, gabs ja auch nie.
Also habe ich das Script verändert, den echten BN in Zeile 40 und es klappte.
Frage 1: Wurde die recovery.php verändert?
Frage 2: Warum vergisst Bludit eigentlich so schnell?
Zusatzfragen:
Da war doch echt ein zweiter Benutzer, ein Admin drin. Da der sich nicht löschen lies (wie geht das denn wirklich?), hab ich ihn deaktiviert. Doch wie kriege ich denn komplett weg? Nun ist auch das Löschen nicht mehr möglich?
Fazit:
Da kommt keine Freude auf, wenn das PW alle paar Wochen weg ist und das Benutzer Handling so umständlich ist. Außerdem stellte sich die Frage, wie sicher ist das System, wenn sich ein Admin einschmuggeln kann?
Eben bemerkt:
ALLE Plugins haben sich automatisch deaktiviert! Und aktiviert man diese wieder, sind deren Einstellungen weg!
Schade ...
vorigen Einsatz klappte es diesmal nicht. Das Script meinte, es hätte keinen BN "admin" gefunden. Klar, gabs ja auch nie.
Also habe ich das Script verändert, den echten BN in Zeile 40 und es klappte.
Frage 1: Wurde die recovery.php verändert?
Frage 2: Warum vergisst Bludit eigentlich so schnell?
Zusatzfragen:
Da war doch echt ein zweiter Benutzer, ein Admin drin. Da der sich nicht löschen lies (wie geht das denn wirklich?), hab ich ihn deaktiviert. Doch wie kriege ich denn komplett weg? Nun ist auch das Löschen nicht mehr möglich?
Fazit:
Da kommt keine Freude auf, wenn das PW alle paar Wochen weg ist und das Benutzer Handling so umständlich ist. Außerdem stellte sich die Frage, wie sicher ist das System, wenn sich ein Admin einschmuggeln kann?
Eben bemerkt:
ALLE Plugins haben sich automatisch deaktiviert! Und aktiviert man diese wieder, sind deren Einstellungen weg!
Schade ...
- Edi
- Site Admin
- Posts: 3121
- Joined: Sun Aug 09, 2015 5:01 pm
- Location: Zurich
- Has thanked: 54 times
- Been thanked: 77 times
- Contact:
Was meinst Du mit Bludit "vergisst"? Dass Du nicht angemeldet bist, obwohl "Angemeldet bleiben" aktiviert ist? Oder dass Dein Passwort nicht mehr funktioniert?
Clickwork - Websites mit Bludit | Planet Bludit - Tipps und Snippets
-
- Master Bludit
- Posts: 91
- Joined: Sun Apr 10, 2022 10:33 am
- Has thanked: 7 times
- Been thanked: 4 times
Letzteres. Definitiv verlor es seit den ersten Tests im Frühjahr bereits 3x das Passwort.
Und ich habe ein sehr zuverlässiges Management, einen offline PW-Manager für sowas. Immerhin sind 100e Logins von vielen Kunden dabei, die eigenen und da sind alle im aktuellsten Stand drin. Es ist also unmöglich, dass es an dem eigenen Erinnerungsvermögen liegt.
Es sei denn, mein Manager-Tool wurde gehackt und ausgerechnet das PW der Bludit Experimentalseite würde deren Ziel sein. Unwahrscheinlich ³
Ergo: Bludit ist vergesslich bzw. gibt es wo einen Fehler in der "DB" oder in ?
Was sehr schade ist. Denn es ist ja nicht nur das Passwort. Auch wenn immer wieder die aktiven Plugins weg sind und die bisher ungeklärte Sache mit dem überflüssigen User ...
Schade, weil ich mag das System, wie gesagt es erinnert an mein erstes selbstgebautes CMS, welches ich aus Zeitmangel vor langem aufgeben musste. Hier sehe ich die perfekte Weiterentwicklung meiner Vorstellung von einem leichten CMS und die beste Alternative zu allen anderen. Doch gewisse Dinge hindern mich daran, den endgültigen Schritt zu machen ...
Und ich habe ein sehr zuverlässiges Management, einen offline PW-Manager für sowas. Immerhin sind 100e Logins von vielen Kunden dabei, die eigenen und da sind alle im aktuellsten Stand drin. Es ist also unmöglich, dass es an dem eigenen Erinnerungsvermögen liegt.
Es sei denn, mein Manager-Tool wurde gehackt und ausgerechnet das PW der Bludit Experimentalseite würde deren Ziel sein. Unwahrscheinlich ³
Ergo: Bludit ist vergesslich bzw. gibt es wo einen Fehler in der "DB" oder in ?
Was sehr schade ist. Denn es ist ja nicht nur das Passwort. Auch wenn immer wieder die aktiven Plugins weg sind und die bisher ungeklärte Sache mit dem überflüssigen User ...
Schade, weil ich mag das System, wie gesagt es erinnert an mein erstes selbstgebautes CMS, welches ich aus Zeitmangel vor langem aufgeben musste. Hier sehe ich die perfekte Weiterentwicklung meiner Vorstellung von einem leichten CMS und die beste Alternative zu allen anderen. Doch gewisse Dinge hindern mich daran, den endgültigen Schritt zu machen ...
- Edi
- Site Admin
- Posts: 3121
- Joined: Sun Aug 09, 2015 5:01 pm
- Location: Zurich
- Has thanked: 54 times
- Been thanked: 77 times
- Contact:
Bludit kann nicht einfach das Passwort verlieren. Dieses ist verschlüsselt in der Datei users.php im Verzeichnis /bl-content/databases hinterlegt.
Du müsstest schauen, ob diese Datei geändert wird und wenn von wem.
Dein Problem hat entweder mit Deiner Installation zu tun oder Deinem Umgang damit.
Clickwork - Websites mit Bludit | Planet Bludit - Tipps und Snippets
-
- Master Bludit
- Posts: 91
- Joined: Sun Apr 10, 2022 10:33 am
- Has thanked: 7 times
- Been thanked: 4 times
Keine Ahnung wer oder was die Probleme verursacht. Es ist sonst keiner da, der da was ändern könnte. Und wenn ich alle paar Wochen oder länger endlich wieder zum Testen kommen, komm ich nicht rein und wenn das zurücksetzen funzt, dann sind die Plugins alle deaktiv.
Egal.
Mehr interessieren würde mich, wie man diesen unerwünschten Admin löschen kann? (s. Zusatzfrage im Startpost)
Egal.
Mehr interessieren würde mich, wie man diesen unerwünschten Admin löschen kann? (s. Zusatzfrage im Startpost)
-
- Master Bludit
- Posts: 129
- Joined: Fri Jan 15, 2016 6:07 pm
- Has thanked: 1 time
- Been thanked: 3 times
Hier findest du einen Link zu dem Thema, der admin kann nicht gelöscht, nur deaktiviert werden:
https://github.com/bludit/bludit/issues/1070
Hier ist noch die Doku wie man den User deaktiviert:
https://docs.bludit.com/de/sicherheit/a ... aktivieren
Vielleicht ist hier auch was dabei, da würde ich mir allerdings vorab ein Backup der Seite ziehen, das löschen erfolgt manuell in der Datenbank:
viewtopic.php?t=2115
-
- Master Bludit
- Posts: 91
- Joined: Sun Apr 10, 2022 10:33 am
- Has thanked: 7 times
- Been thanked: 4 times
Aha...
Aber wie eingangs gesagt, ich habe ihn deaktiviert;
erst danach wurde das (ohnehin nicht wirklich mögliche) Löschen eines Admins überhaupt nicht mehr angeboten.
Das funzt perfekt! Danke!das löschen erfolgt manuell in der Datenbank:
viewtopic.php?t=2115
PS: Seit einiger Zeit kommen keine Mails mehr, wenn jemand antwortet (Nein, nicht mal in den Spam und ja, ist angehakt)
- novafacile
- Master Bludit
- Posts: 107
- Joined: Sat Oct 06, 2018 4:47 pm
- Has thanked: 35 times
- Been thanked: 10 times
- Contact:
Wie Edi schon schrieb, es ist technisch unmöglich, dass Bludit das Passwort "vergisst". Es ist verschlüsselt, fest in einer Datei hinterlegt, die ändert sich nicht von alleine. Zur Überwachung könntest du dir aus der genannten Datei den Passwort Hash kopieren und wo anders speichern und wenn Bludit das Passwort mal wieder "vergisst" prüfen ob da ein anderer Hash drin steht.
Ich könnt mir eher vorstellen, dass du versehentlich das Passwort im PW-Manager überschreibst oder das falsche Passwort wählst. Passwort-Manager arbeiten immer mit der URL und wenn deine Experimental-Seite auf einer gleichen Domain läuft wie eine andere deiner Seiten, dann kommen die auch mal durcheinander oder man wählt oder überschreibt von den Vorschlägen versehentlich das falsche.
Beispiel:
test1.meinedomain.de
test2.meinedomain.de
Der Passwort-Manager reagiert möglicherweise auf meinedomain.de anstatt auf die Subdomain
Auch eine beliebte Fehlerquelle mit PW-Managern (unabhängig von Bludit, das gilt bei jeder Seite):
Man ist im Profil wo man ein PW ändern könnte, der PW Manager erkennt ein PW-Feld und setzt nach dem genannten Prinzip ein falsches PW ein. Man speichert das Profil, weil man ja z.B. nur den Nickname ändern wollte und zack hat man ein "neues" PW.
Sollte der PW-Manager nicht der Grund sein und auch nicht eine versehentliche falsche PW-Eingabe deinerseits, bzw. auch der PW-Hash such ändert ohne dass du oder der PW-Manager etwas (versehentlich) geändert hat, dann hast du ein ganz anderes Problem, was aber nichts mit Bludit zu tun haben sollte.