Rücksetzung des Admin-Passwort mit "Passwort vergessen?"

Neu bei Joomla? Allgemeine Fragen über Joomla!

Moderator: Sisko1990

Forum rules
Forumregeln
Locked
harweiss
Joomla! Fledgling
Joomla! Fledgling
Posts: 2
Joined: Thu Jan 20, 2011 6:23 am

Rücksetzung des Admin-Passwort mit "Passwort vergessen?"

Post by harweiss » Thu Jan 20, 2011 7:24 am

Hallo Leute,

Auf meiner Website muss ich ein Login samt zugehöriger Links ("Passwort vergessen", "Registrieren" etc.) zulassen, weil sich u.a. auch ein Webshop darauf befindet. Nun ist mir aufgefallen - aber sicher nicht nur mir -, dass diese Option ein gefährliches Einfallstor darstellt: Wer den Benutzernamen des Administrators errät (z.B. admin), kann sich bequem Adminrechte besorgen, in dem er so tut, als ob er das Passwort vergessen hat. Er erhält dann an seine Email-Adresse einen Überprüfungscode, mit dem er in aller Seelenruhe das Administrator-Passwort umstellen kann! Ich habe daher als erste Maßnahme dem Administrator einen nicht zu erratenden Benutzernamen verpasst - nach Art eines kryptischen Passwortes. Das kanns aber nicht sein! Ich werde daher einen Patch durchführen müssen, der die Rücksetzung der Passwörter auf diese Art und Weise ab einem bestimmten Level unterbindet.

Vielleicht hat jemand eine bessere Idee - würde mich sehr darüber freuen. Gibt es eventuell ein Login-Modul, das dieses Problem im Griff hat?

User avatar
Slowrider
Joomla! Ace
Joomla! Ace
Posts: 1055
Joined: Wed Apr 21, 2010 7:36 am

Re: Rücksetzung des Admin-Passwort mit "Passwort vergessen?"

Post by Slowrider » Sun Jan 23, 2011 2:51 pm

Da hast du einen Denkfehler. Der Link zu Aktivierung des neuen Passwortes wird immer nur an die Adresse gesendet, die zu dem Account gehört. Wenn jemand also das Passwort vom Admin zurücksetzen will, muss er den Benutzernamen vom Admin und seine E-Mail-Adresse angeben. Selbst wenn er beides weiß oder errät, nutzt ihm das noch nichts, denn er kann ja nicht auf die Mail zugreifen, um auf den Link zu klicken. In älteren Joomla-Versionen (m.W. vor 1.5.9) gab es einen Trick, das zu umgehen, aber mit einer aktuellen Version nicht.
Nichtsdestotrotz macht es Sinn, den Admin nicht Admin zu nennen, und ihm auch nicht die Standard-ID 62 zu geben (einige Fake-User anlegen, dann neuen Admin anlegen, alten Admin und Fake-User löschen).

harweiss
Joomla! Fledgling
Joomla! Fledgling
Posts: 2
Joined: Thu Jan 20, 2011 6:23 am

Re: Rücksetzung des Admin-Passwort mit "Passwort vergessen?"

Post by harweiss » Mon Jan 24, 2011 1:56 pm

Du hast Recht! Ich bin selbst der Admin und konnte daher auch auf meine Email-Adresse zugreifen, um mir ein neues Passwort zu besorgen. Danke für die Richtigstellung. Wäre sonst zu fatal gewesen.

Gruß


Locked

Return to “Allgemeine Fragen”