WBCE CMS – Way Better Content Editing.
Du bist nicht angemeldet.
Jetzt ist es passiert, habe das Admin Passwort vergessen, bzw. finde es nicht wieder. Passwort zusenden klappt auch nicht.
Habe dunkel in Erinnerung, dass man es in der Datenbank ändern kann, bzw. das verschlüsselte Passwort auslesen kann....?
Offline
Wenn Du noch FTP-zugang hast, kannst Du dieses Script hochladen, ausführen und wieder löschen, dann wir das Passwort zurückgesetzt
https://github.com/WBCE/wbce_tools/tree … n_password
Code allein macht nicht glücklich. Jetzt spenden!
Offline
chap
Vielen Dank, Florian. Hat geklappt!
Offline
Das scheint leider nicht mehr zu funktionieren...
Die Passwörter werden bei allinkl als Hash abgelegt, ich habe da leider nichts zielführendes gefunden...
Gruß Jörg
Offline
Doch, das funktioniert (und hat nichts mit All-Inkl zu tun. Natürlich sind die PW gehasht.) Es funktioniert aber out of the box nur für den Benutzer mit der ID 1. Wenn es um einen anderen Nutzer geht, muss die User-ID im Script entsprechend geändert werden.
Code allein macht nicht glücklich. Jetzt spenden!
Offline
Es wird übrigens nur das Passwort zurückgesetzt, nicht der Nutzername.
Code allein macht nicht glücklich. Jetzt spenden!
Offline
Ah, Okay, dann war ich wahrscheinlich zu ungeduldig, Sorry...
Aber schön auch diese Möglichkeit zu haben.
Da das Ganze nun nicht mehr als MD5 in der Datenbank steht gibt es wahrscheinlich auch keine (sinnvolle) Möglichkeit das auszutauschen, oder?
Zumindest habe ich keinen vernünftigen Hash-Generator gefunden.
Gruß Jörg
Offline
derzeit funktioniert md5 noch als Fallback. Beim ersten (erfolgreichen) Login wird der Hash dann auf was moderneres umgeschrieben (je nach Serverseitiger Unterstützung eben).
Offline
better-work
Noch als Ergänzung: Das Passwort Reset Tool nutzt übrigens auch den Fallback Mechanismus und trägt erstmal einen Md5 Hash ein, der beim ersten Login umgeschrieben wird.
Genauso werden nach einem Update auf 1.4.x alte Hashes sukzessive konvertiert. Oder wenn php erst noch eine veraltete 5er Version ist, geht die Umstellung los, sobald php aktualisiert ist die nötige Unterstützung mitbringt.
Offline
@mrbaseman
vielen Dank für die ausführliche Rückinfo. Die Frage ist natürlich auch, wie lange wird MD5 noch unterstützt.
Dadurch war der Austausch des Benutzernamens und des Passwortes in der DB eine schnelle Sache.
(Zwecks Spiegelung von Installationen)
Andererseits verstehe ich natürlich auch, das die Sicherheitsanforderungen höher werden ;-)
Gruß Jörg
Offline
Also wenn man bedenkt, dass die Diskussion MD5 Hashes loszuwerden älter ist als WBCE selbst und erst mit der 1.4 ein Umstieg implementiert ist, würde ich mal davon ausgehen, dass der Fallback noch eine Weile erhalten bleiben wird. Aber wenn wir diesen alten Zopf irgendwann in der Zukunft vollends abschneiden, dann muss natürlich auch das Passwort-Reset-Tool umgestellt werden und man muss sich dann Gedanken machen, wie ein Update von alten Versionen aussehen könnte, bei denen die existierenden Hashes nun mal als MD5 hinterlegt sind.
Mal schauen, wie man das dann löst, aber die Problematik mit der Kompatibilität in dem Zusammenhang ist mir durchaus bewusst. Deshalb haben wir die Umstellung der Hashes bei der Einführung ausführlich getestet. Das werden wir sicher auch wieder so machen, wenn wir irgendwann bei diesem Thema den nächsten Schritt wagen.
Offline
florian
Seiten: 1