ACP - Login vorbelegt mit anderem User

 
Mimi
Benutzer
Avatar
Geschlecht:
Alter: 39
Beiträge: 95
Dabei seit: 05 / 2017
Betreff:

ACP - Login vorbelegt mit anderem User

 · 
Gepostet: 14.01.2020 - 09:40 Uhr  ·  #1
Ich mal wieder ;-)

Wir haben eine Besonderheit im ACP, die ich mir nicht erklären kann, zumal sie nicht immer auftritt.
Wenn ich mich (oder ein anderer Admin) ins ACP einloggen möchte, wird mir der Login von wem anders angeboten inklusive Passwort. :o

Bei einem Admin ist das ständig so, bei mir ist es nur einmal aufgetreten.
Was könnte das sein?
cback
Admin
Avatar
Geschlecht:
Herkunft: Saarland
Alter: 37
Homepage: cback.net
Beiträge: 17610
Dabei seit: 12 / 2003
Betreff:

Re: ACP - Login vorbelegt mit anderem User

 · 
Gepostet: 14.01.2020 - 14:33 Uhr  ·  #2
Hi Mimi,

also von Softwareseite füllt das CF4 nirgendwo selbständig Felder aus und da alle Passwörter nach Industriestandard nur gehasht und gesalted gespeichert werden wäre es für die Software auch unmöglich ein original Passwort zu kennen, da hier nur die Prüfsummen bekannt sind und in der gesamten Software abgesehen von der Einstellung für externe SMTP Server in der erweiterten Mailkonfiguration (geht nicht anders, er muss den SMTP Server ja mit dem korrekten Pass ansprechen wenn man einen externen nutzen möchte) niemals ein Originalpasswort gespeichert wird (nicht einmal eben in einer rückrechenbaren Verschlüsselung sondern nur als Prüfsumme mit bcrypt Algorithmus und dual-salt (also das Passwort wird auch noch mit Anhängen zufälliger Zeichen pro Nutzer "unkenntlicher" gemacht)).

Ich tippe also darauf, dass Du (bzw. der andere) sich einmal probeweise als anderen Account eingeloggt hat und das AutoFill Deines Webbrowsers hat diese Angaben gespeichert und füllt sie nun eben auf Browserseite für Dich aus. Alternativ ein externer Passwortmanager (z.B. "LastPass" oder "1Password" oder sowas) die auch Angaben speichern und wieder einsetzen. Das kann trotz autofill=no je nach Passwort Manager sogar mal zu "Fehlspeicherungen" kommen, beispielsweise wenn man einen anderen Nutzeraccount editiert und er annimmt, dass das Feld "username" auch zu speichern wäre trotz Flag. Und Password Felder gibts da in der Accountverwaltung ja auch (wenn man z.B. einem Nutzer sein Passwort zurücksetzen möchte). Wenn man dann Opfer einer solchen Fehlspeicherung fürs Autofill wird macht der Browser künftig seltsame Dinge.

Gerade beim ACP Login wird für das Nutzernamen Feld von der Software nur der Nutzername vom aktiven Login vorgeschlagen und das Feld ist eigentlich ein ReadOnly, also das ist schon abhängig von der Sitzung mit der Du im Forum eingeloggt bist, wenn das Feld mit etwas anderem überschrieben wird glaube ich daher an ein Tool das Dir da reingrätscht.

Im Falle von Browsern findest Du auch meistens eine Liste welche Ausfülldaten / Formulardaten gespeichert wurden. Bei Firefox wäre das z.B. unter "Einstellungen" => "Datenschutz" => "Gespeicherte Zugangsdaten" zu finden. Wenn Du da nach Deiner Webseite suchst und mehrere Namen stehen drin, dann hast Du die Ursache gefunden.

Übrigens: Das Nutzername-Feld im ACP ist so gesehen nur Deko (daher auch ReadOnly). Er nimmt nämlich immer die Nutzer-ID des bereits im Forum eingeloggten Nutzers für die erneute Überprüfung des Passwortes und checkt auch vor der Loginseite schon, ob der eingeloggte Nutzer grundlegend überhaupt die Möglichkeit hätte ins ACP zu gelangen oder nicht. Das "umloggen" des Nutzers über die ACP Seite ist also ebenfalls nicht möglich, solange das Passwort das von Deinem Account ist kann in dem Namen Feld im Grunde stehen was auch immer will, er nimmt Deinen bereits vollzogenen Login im Forum als Basis (aktive Sitzung also) und beachtet gar nicht, was Du im Nutzernamen Feld stehen hast (dessen Inhalt normalerweise auch nicht änderbar ist). Ohne aktiven Login im Forum kommst Du daher auch generell nicht ins ACP - und als regulär eingeloggter User ohne Adminbefugnis in der Berechtigungsgruppe würdest Du auch wieder zurück auf den Forenindex geleitet werden und würdest die Loginseite nie sehen. Das spricht also eigentlich auch für einen Autofill Fehler.

LG,
Chris
Gewählte Zitate für Mehrfachzitierung:   0

Registrierte in diesem Topic

Aktuell kein registrierter in diesem Bereich

Die Statistik zeigt, wer in den letzten 5 Minuten online war. Erneuerung alle 90 Sekunden.