Forum

[Satyr]

Hallo Cheffchen,

Hallo,

1. nur das auth plugins Dateien vom Community Addon Version 2.8.1 überschreiben und Formular ändern?
2. xForm das gleiche, muss ich das nur überschreiben oder ist Version 2.8 OK?

am besten benutze die aktuelle Version von redaxo4_community und redaxo4_xform aus dem github Repository:
http://github.com/dergel/redaxo4_community
http://github.com/dergel/redaxo4_xform

Überschreibe die beiden AddOns und reinstalliere im Backend.
Dann kannst du im Plugin auth von Addon community den checkbutton "Verschlüsselte Passwörte" aktivieren.
Danach ändere die Formulare für Registrierung, Passwort vergessen und Passwort ändern wie der Markus oben beschrieben hat.
Viel Spaß
Adam

[Markus.Lorch]

Reinstall ist bei diesen Updates nicht nötig. Allerdings muss bei einer vorhandenen Community-Installation natürlich die Passwörter die derzeit noch in Plaintext vorhanden sind müssen selbst via SQL in SHA1 konvertiert werden.

[markusnolte]

Hallo zusammen,

ich bin gerade auch auf diesen Thread gestoßen und finde die Verschlüsselung natürlich auch "richtiger". Ist es möglich, dass jemand die geänderten Formulare für die Registrierung, Passwort vergessen und Passwort ändern hier postet, z.B. die Module aus der Community Demo!? Auch was beim Table Manager gemacht werden muss. Da habe ich nämlich noch Probleme und man hätte es hier dann komplett...

Vielen Dank schon mal!

[Markus.Lorch]

Ich habe selbst keine weiteren Formulare angepasst, da dies für einen Funktionstest bislang nicht nötig war Das Prinzip des gezeigten Formulars lässt sich aber wie gesagt auf alle Formulare übertragen (außer Login natürlich)

es wird ein hashvalue Feld mit dem Lable password angelegt, dass einen Wert aus einem anderen Feld übernimmt und speichert. Das feld aus dem der Wert stand kann theoretisch alles sein - für unsere Zwecke natürlich ein password Feld mit dem no_db attribut.

Im Table Manager ist selbiges - nur zum zusammen klicken Bestehendes Passwortfeld ein anderes lable geben und den haken bei Datenbank (damit es nicht trotzdem im Klartext gespeichert wird) rein machen - anschließend das hashvalue Feld mit dem Lable password hinzufügen und das Label des Klartext Feldes eingeben.

Edit: Bei Problemen einfach mal die Formulare hier posten, dann kann man kucken woran es hängt.

[markusnolte]

Hallo Markus,

danke für deine Infos. Die Registrierung sowie die Passwortänderung funktioniert nun einwandfrei.

Hilfe könnte ich gebrauchen bei der Funktion "Passwort vergessen". Wenn es so funktionieren soll wie es Adam im ersten Beitrag vorgeschlagen hat, muss ja sowohl das Modul als auch das E-Mail-Template angepasst werden. Hat sowas schon mal jemand für die Community Demo gemacht, da ich diese nutze um zu lernen wie das alles funktioniert.

Also es muss doch dann ein neuer activation_key generiert und natürlich auch abgefragt werden auf der Seite "Passwort ändern", wenn auf den entsprechenden Link in der E-Mail geklickt wurde, richtig!? Aber wie komme ich denn überhaupt auf die Seite "Passwort ändern", da ich ja nicht eingeloggt bin? Und wie funktioniert das dann wenn ich eingeloggt bin? In diesem Fall ist ja die Abfrage eines activation_key nicht nötig... Da habe ich noch so meine Probleme. Oder gehe ich einfach falsch an die Sache heran?

[Markus.Lorch]

Das Vorgehen von Adam finde ich persönlich zu umständlich - wäre weiterhin umsetzbar, aber habe ich bei der Entwicklung nicht berücksichtigt.

Allerdings habe ich folgenden Vorschlag - einfach ein neues Passwort zustellen. Wozu hier nochmals eine Aktivierung nötig sein sollte erschließt sich mir nämlich nicht

Code: Alles auswählen

text|email|E-Mail-Adresse*|
generate_password|new_password|no_db
hashvalue|password||new_password|sha1

captcha|Bitte geben Sie den entsprechenden Sicherheitscode ein. Sollten Sie den Code nicht lesen können klicken Sie bitte auf die Grafik, um einen neuen Code zu generieren.|Sie haben den Sicherheitscode falsch eingegeben.

validate|notEmpty|email|Bitte geben Sie eine E-Mail ein
validate|existintable|email|rex_com_user|email|Diese E-Mail-Adresse ist nicht bei uns registriert.

action|readtable|rex_com_user|email|email
action|db2email|send_password_de|email
action|db|rex_com_user|email="###email###"


Zeile 1: E-Mail Feld
Zeile 2: Ein neues Passwort generieren
Zeile 3: Neues Passwort hashen und in "password" ablegen
Letzte Zeile: Neues Passwort auch in Datenbank schreiben

Damit das Passwort per E-Mail dennoch im Klartext verschickt wird, muss im E-Mail Template ###password### durch ###new_password### (also der Unverschlüsselte Wert) ersetzt werden.

[markusnolte]

Ja, deine Lösung finde ich auch erst mal völlig ausreichend! Vielen Dank!

Allerdings bekomme ich folgende Warnung:

Code: Alles auswählen

Warning: rand() expects exactly 2 parameters, 1 given in /is/htdocs/wp1039618_O41368L07J/www/redaxo4_3_2/redaxo/include/addons/xform/classes/value/class.xform.generate_password.inc.php on line 8

[Markus.Lorch]

Hallo Markus,

ein mal die neue xForm von Github runter laden: https://github.com/dergel/redaxo4_xform - Darin wurde das Problem behoben.

[markusnolte]

Hallo Markus,

jetzt läuft alles perfekt ! Vielen Dank noch mal! So langsam komme ich auch dahinter wie alles zusammenspielt und es macht auf jeden Fall großen Spaß mit dem XForm- und dem Community-AddOn zu arbeiten!

[steri]

Hallo,
danke für die Einbindung der Passwortverschlüsselung und die Anleitung - funktioniert super.
Jetzt ist mir nur eines aufgefallen wenn man im Backend einen neuen User anlegt bzw. editiert:

Durch das neue value Feld "hashvalue" wird ja dann wenn ich auf editieren beim jeweiligen User gehe das Passwort nicht mehr angezeigt. Was ja prinzipiell nicht weiter schlimm ist - würde ja sowieso verschlüsselt angezeigt werden. Aber was ist wenn ich die Gruppenzuweisung ändern will. Dann ist ja das Passwort Feld ein Pflichtfeld. Ich weiss aber natürlich das Passwort des Users nicht ...
Jetzt hab ich mal testhalber das validate empty feld für das passwort raus genommen und es funktioniert, dass das Passwort bestehen bleibt und nicht geändert wird. (auch wenn das Feld quasi leer ist)

Aber es wäre schon gut wenn das Passwortfeld ein Pflichtfeld sein könnte. Es wäre blöd wenn man beim Neuanlegen (es gibt absichtlich keine Registrierung durch den User bei meiner webseite) eines Users das Passwort vergisst.
Noch besser wäre wenn ein Passwort automatisch generiert wird beim erstenmal anlegen.

Ich hoffe die Problematik ist verständlich - wollte mal drauf aufmerksam machen.

lg steri

[Markus.Lorch]

Aber es wäre schon gut wenn das Passwortfeld ein Pflichtfeld sein könnte. Es wäre blöd wenn man beim Neuanlegen (es gibt absichtlich keine Registrierung durch den User bei meiner webseite) eines Users das Passwort vergisst.

Das ist kein Problem, da Benutzer mit leerem Passwort nicht zum Login zugelassen sind. Sollte jemand beim anlegen eines Benutzers vergessen ein Passwort einzutragen, dann kann sich trotzdem mit diesem User keiner anmelden.