Wieder Probleme mit Benutzerverwaltung

yakari
Master Bludit
Posts: 91
Joined: Sun Apr 10, 2022 10:33 am
Has thanked: 7 times
Been thanked: 4 times

Ich musste ja schon wieder das PW zurücksetzen und im Gegensatz zum
vorigen Einsatz klappte es diesmal nicht. Das Script meinte, es hätte keinen BN "admin" gefunden. Klar, gabs ja auch nie.
Also habe ich das Script verändert, den echten BN in Zeile 40 und es klappte.

Frage 1: Wurde die recovery.php verändert?
Frage 2: Warum vergisst Bludit eigentlich so schnell?

Zusatzfragen:
Da war doch echt ein zweiter Benutzer, ein Admin drin. Da der sich nicht löschen lies (wie geht das denn wirklich?), hab ich ihn deaktiviert. Doch wie kriege ich denn komplett weg? Nun ist auch das Löschen nicht mehr möglich?

Fazit:
Da kommt keine Freude auf, wenn das PW alle paar Wochen weg ist und das Benutzer Handling so umständlich ist. Außerdem stellte sich die Frage, wie sicher ist das System, wenn sich ein Admin einschmuggeln kann?

Eben bemerkt:
ALLE Plugins haben sich automatisch deaktiviert! Und aktiviert man diese wieder, sind deren Einstellungen weg!

Schade ...
User avatar
Edi
Site Admin
Posts: 3121
Joined: Sun Aug 09, 2015 5:01 pm
Location: Zurich
Has thanked: 54 times
Been thanked: 77 times
Contact:

yakari wrote: Thu Oct 20, 2022 7:58 pm Ich musste ja schon wieder das PW zurücksetzen [...]
Warum das?
Clickwork - Websites mit Bludit | Planet Bludit - Tipps und Snippets
yakari
Master Bludit
Posts: 91
Joined: Sun Apr 10, 2022 10:33 am
Has thanked: 7 times
Been thanked: 4 times

Edi wrote: Wed Oct 26, 2022 10:00 pm Warum das?
Frage ich mich auch. (s. Frage 2)
User avatar
Edi
Site Admin
Posts: 3121
Joined: Sun Aug 09, 2015 5:01 pm
Location: Zurich
Has thanked: 54 times
Been thanked: 77 times
Contact:

Was meinst Du mit Bludit "vergisst"? Dass Du nicht angemeldet bist, obwohl "Angemeldet bleiben" aktiviert ist? Oder dass Dein Passwort nicht mehr funktioniert?
Clickwork - Websites mit Bludit | Planet Bludit - Tipps und Snippets
yakari
Master Bludit
Posts: 91
Joined: Sun Apr 10, 2022 10:33 am
Has thanked: 7 times
Been thanked: 4 times

Letzteres. Definitiv verlor es seit den ersten Tests im Frühjahr bereits 3x das Passwort.

Und ich habe ein sehr zuverlässiges Management, einen offline PW-Manager für sowas. Immerhin sind 100e Logins von vielen Kunden dabei, die eigenen und da sind alle im aktuellsten Stand drin. Es ist also unmöglich, dass es an dem eigenen Erinnerungsvermögen liegt.

Es sei denn, mein Manager-Tool wurde gehackt und ausgerechnet das PW der Bludit Experimentalseite würde deren Ziel sein. Unwahrscheinlich ³

Ergo: Bludit ist vergesslich bzw. gibt es wo einen Fehler in der "DB" oder in ?
Was sehr schade ist. Denn es ist ja nicht nur das Passwort. Auch wenn immer wieder die aktiven Plugins weg sind und die bisher ungeklärte Sache mit dem überflüssigen User ...

Schade, weil ich mag das System, wie gesagt es erinnert an mein erstes selbstgebautes CMS, welches ich aus Zeitmangel vor langem aufgeben musste. Hier sehe ich die perfekte Weiterentwicklung meiner Vorstellung von einem leichten CMS und die beste Alternative zu allen anderen. Doch gewisse Dinge hindern mich daran, den endgültigen Schritt zu machen ...
User avatar
Edi
Site Admin
Posts: 3121
Joined: Sun Aug 09, 2015 5:01 pm
Location: Zurich
Has thanked: 54 times
Been thanked: 77 times
Contact:

yakari wrote: Sat Oct 29, 2022 8:12 pm Letzteres. Definitiv verlor es seit den ersten Tests im Frühjahr bereits 3x das Passwort.
Bludit kann nicht einfach das Passwort verlieren. Dieses ist verschlüsselt in der Datei users.php im Verzeichnis /bl-content/databases hinterlegt.

Du müsstest schauen, ob diese Datei geändert wird und wenn von wem.

Dein Problem hat entweder mit Deiner Installation zu tun oder Deinem Umgang damit.
Clickwork - Websites mit Bludit | Planet Bludit - Tipps und Snippets
yakari
Master Bludit
Posts: 91
Joined: Sun Apr 10, 2022 10:33 am
Has thanked: 7 times
Been thanked: 4 times

Keine Ahnung wer oder was die Probleme verursacht. Es ist sonst keiner da, der da was ändern könnte. Und wenn ich alle paar Wochen oder länger endlich wieder zum Testen kommen, komm ich nicht rein und wenn das zurücksetzen funzt, dann sind die Plugins alle deaktiv.

Egal.
Mehr interessieren würde mich, wie man diesen unerwünschten Admin löschen kann? (s. Zusatzfrage im Startpost)
dirtdiver2010
Master Bludit
Posts: 129
Joined: Fri Jan 15, 2016 6:07 pm
Has thanked: 1 time
Been thanked: 3 times

yakari wrote: Mon Oct 31, 2022 11:00 pm Mehr interessieren würde mich, wie man diesen unerwünschten Admin löschen kann? (s. Zusatzfrage im Startpost)
Hier findest du einen Link zu dem Thema, der admin kann nicht gelöscht, nur deaktiviert werden:
https://github.com/bludit/bludit/issues/1070

Hier ist noch die Doku wie man den User deaktiviert:
https://docs.bludit.com/de/sicherheit/a ... aktivieren

Vielleicht ist hier auch was dabei, da würde ich mir allerdings vorab ein Backup der Seite ziehen, das löschen erfolgt manuell in der Datenbank:
viewtopic.php?t=2115
yakari
Master Bludit
Posts: 91
Joined: Sun Apr 10, 2022 10:33 am
Has thanked: 7 times
Been thanked: 4 times

dirtdiver2010 wrote: Thu Nov 03, 2022 1:14 pmder admin kann nicht gelöscht, nur deaktiviert werden
Aha...
Aber wie eingangs gesagt, ich habe ihn deaktiviert;
erst danach wurde das (ohnehin nicht wirklich mögliche) Löschen eines Admins überhaupt nicht mehr angeboten.
das löschen erfolgt manuell in der Datenbank:
viewtopic.php?t=2115
Das funzt perfekt! Danke!

PS: Seit einiger Zeit kommen keine Mails mehr, wenn jemand antwortet (Nein, nicht mal in den Spam und ja, ist angehakt)
User avatar
novafacile
Master Bludit
Posts: 107
Joined: Sat Oct 06, 2018 4:47 pm
Has thanked: 35 times
Been thanked: 10 times
Contact:

yakari wrote: Sat Oct 29, 2022 8:12 pm ausgerechnet das PW der Bludit Experimentalseite
Wie Edi schon schrieb, es ist technisch unmöglich, dass Bludit das Passwort "vergisst". Es ist verschlüsselt, fest in einer Datei hinterlegt, die ändert sich nicht von alleine. Zur Überwachung könntest du dir aus der genannten Datei den Passwort Hash kopieren und wo anders speichern und wenn Bludit das Passwort mal wieder "vergisst" prüfen ob da ein anderer Hash drin steht.

Ich könnt mir eher vorstellen, dass du versehentlich das Passwort im PW-Manager überschreibst oder das falsche Passwort wählst. Passwort-Manager arbeiten immer mit der URL und wenn deine Experimental-Seite auf einer gleichen Domain läuft wie eine andere deiner Seiten, dann kommen die auch mal durcheinander oder man wählt oder überschreibt von den Vorschlägen versehentlich das falsche.

Beispiel:
test1.meinedomain.de
test2.meinedomain.de

Der Passwort-Manager reagiert möglicherweise auf meinedomain.de anstatt auf die Subdomain

Auch eine beliebte Fehlerquelle mit PW-Managern (unabhängig von Bludit, das gilt bei jeder Seite):
Man ist im Profil wo man ein PW ändern könnte, der PW Manager erkennt ein PW-Feld und setzt nach dem genannten Prinzip ein falsches PW ein. Man speichert das Profil, weil man ja z.B. nur den Nickname ändern wollte und zack hat man ein "neues" PW.

Sollte der PW-Manager nicht der Grund sein und auch nicht eine versehentliche falsche PW-Eingabe deinerseits, bzw. auch der PW-Hash such ändert ohne dass du oder der PW-Manager etwas (versehentlich) geändert hat, dann hast du ein ganz anderes Problem, was aber nichts mit Bludit zu tun haben sollte.
Post Reply