Frontendpassworter mit Backendpasswortern Syncronisieren

**TheGeek** · 13.10.2009, 09:37

Hallo Typolight Community,

Auch auf die Gefahr hin das jetzt die Sicherheitsfanatiker unter uns groß aufschreien. Hier mal ein Script welches man mit der Cron Erweiterung aufrufen kann. (zb alle 3 Minuten) Grund für die Erstellung des Scriptes war das mich die User immer nach ihrem Backend Passwort gefragt haben *nerf* ... nun können sie entweder durch die Passwort vergessen Funkion oder durch die Passwort ändern Funkion ihr Backendpasswort neu setzen.

PHP-Code:


<?



/* 



Created by TheGeek in October 2009



Dieses Script Syncronisiert die Frontendpassworter mit den Backendpasswortern.

Das heißt das man ab sofort sein Backendpasswort im Frontend ändern kann.

Das Script wird via Cron Erweiterung zb alle drei Minuten aufgerufen.



*/





// Auf die Datenbank verbinden

$mysqlhost = '##mysqlserver##';

$mysqluser = '##datenbankuser##';

$mysqlpwd  = '##datenbankpasswort';

$mysqldb   = '##datenbankname##';

$connection=mysql_connect($mysqlhost, $mysqluser, $mysqlpwd) or die("Verbindungsversuch fehlgeschlagen");

mysql_select_db($mysqldb, $connection) or die("Konnte die Datenbank nicht waehlen.");





// Abfrage der Frondend daten

$abfrage_FE = "SELECT * FROM tl_member";

$ergebnis_FE = mysql_query($abfrage_FE);

while($row = mysql_fetch_object($ergebnis_FE))

 {

  // Frontend Daten auslesen

  $FE_UserName = $row->lastname;

  $FE_UserPassword = $row->password;

  $FE_eMail = $row->email;



  // Backend Daten Updaten

  $up_abfrage = "UPDATE tl_user SET password = '".$FE_UserPassword."' WHERE email = '".$FE_eMail."' AND username = '".$FE_UserName."'";

  $up_ergebnis = mysql_query($up_abfrage);

 } 



?>

**FloB** · 13.10.2009, 17:03

Du musst das ganze nicht über einen nervigen Cronjob lösen – viel flexibler geht das ganze über eine kleine TL-Erweiterung, die bei dem entsprechenden Field-save_callback eine Sync-Funktion aufruft.

**TheGeek** · 27.10.2009, 16:04

Genau das wäre natürlich viel sinnvoller. Hast du zufällig ein Beispiel parat?

**Toflar** · 29.10.2009, 21:42

Siehe system/modules/backend/dca/tl_user.php

PHP-Code:


        'password' => array

        (

            'label'                   => &$GLOBALS['TL_LANG']['MSC']['password'],

            'exclude'                 => true,

            'inputType'               => 'password',

            'eval'                    => array('mandatory'=>true, 'rgxp'=>'extnd', 'minlength'=>8),

            'save_callback' => array

            (

        array('MeineKlasse', 'MeineMethode')

      )

        ),

PHP-Code:


class MeineKlasse extends Backend

{

    public function MeineMethode()

    {

    // mach dies, mach das...und zwar jedes Mal, wenn gespeichert wird.

    }

}

Hoffe das hilft weiter

**TheGeek** · 10.03.2010, 11:06

Ich habe mal eine kleine Erweiterung geschrieben und diese in der Erweiterungsliste auf Typolight.org veröffentlicht. Die Erweiterung heißt "PasswordSync".

***Nina*** · 10.03.2010, 11:25

Da bin ich jetzt wirklich gespannt

**Acta** · 11.03.2010, 13:04

Liegt das gute ding noch zur Prüfung?

***Nina*** · 15.03.2010, 14:42

Zitat von TheGeek

Ich habe mal eine kleine Erweiterung geschrieben und diese in der Erweiterungsliste auf Typolight.org veröffentlicht. Die Erweiterung heißt "PasswordSync".

Hm, in der Erweiterungsliste habe ich es jetzt nicht gefunden? Ist das nicht mehr da?

Oder ist das jetzt diese Extension "usersync"?

**cgpro** · 15.03.2010, 18:32

usersync ist leider etwas spärlich dokumentiert... rein vom aufbau ist das mit dem cronjob nicht optimal. wenn im backend jemand sein passwort ändernt sollte dies zeitgleich im frontend aktuell sein. so muss immer erst der cronjob drüber damit das up2date ist

für normale redakteure ist das eh äußerst unlogisch, trennung von frontend und backend-usern. arbeite gerade an einer intranetpage wo dies der fall ist.

**TheGeek** · 16.03.2010, 13:20

Sorry Leute ich hatte vergessen die Sprache zu veröffentlichen

Naja beim nächsten mal weiß ich Bescheid

https://contao.org/erweiterungsliste...000009.de.html

Viel Spaß damit und sagt mir einfach beschied wenn was verbessert werden muss.

**acenes** · 16.03.2010, 13:40

Zitat von TheGeek

Mhh komisch eigentlich müsste es da sein. Meine andere Erweiterung "LanParty" hat ja auch ein bisschen gedauert...

Da kannst du ewig warten.

Solange nicht mindestens eine Sprache hinzugefügt und veröffenlicht wird bleibt es duster.

**Acta** · 16.03.2010, 14:26

Ist es dann möglich, dass der Frontenduser sich nicht erst im Backend einloggen muss sondern gleich eingeloggt ist, wenn er sich im Frontend einloggt?

***Nina*** · 16.03.2010, 14:30

Kann mir einer den technischen Unterschied zwischen diesen beiden Erweiterungen erklären? Beide gleichen anscheinend das Passwort von Frontend-Mitgliedern und Backend-Benutzern ab.

PasswordSync
usersync

**schman** · 16.03.2010, 14:33

Ich hab das Skript gerade mal kurz angeschaut, wäre es hier nicht von Vorteil wenn die SQL Abfragen per TL Framework durchgeführt werden.

Ich denke die Umstellung hier würde auch nicht lange dauern, da das Skript nicht das umfangreichste ist.

**TheGeek** · 16.03.2010, 14:42

Ich hab das Skript gerade mal kurz angeschaut, wäre es hier nicht von Vorteil wenn die SQL Abfragen per TL Framework durchgeführt werden.

Klar da stimme ich dir zu. In der nächsten Version wird alles besser :P

**deerwood** · 17.03.2010, 04:04

Moin Nina, TheGeek, alle,

Zitat von Nina

Kann mir einer den technischen Unterschied zwischen diesen beiden Erweiterungen erklären? Beide gleichen anscheinend das Passwort von Frontend-Mitgliedern und Backend-Benutzern ab.

PasswordSync
usersync

Der erste wesentliche Unterschied ist, dass [usersync] immer Backend-User ==> Frontend-Member arbeitet, während [PasswordSync] genau anders herum, von Frontend-Member zu Backend-User, arbeitet.

Der zweite Unterschied:

[userync] synchronisiert VIEL mehr als das Passwort und scheint eine ziemlich genaue Steuerung zu erlauben, was und wer synchronisiert werden soll. Das reicht durchaus bis dahin, dass Frontend-Member via Löschung des korresponierenden Backend-Users gelöscht werden (z.B. wenn sie böses tun). Aber eben nur dann, wenn die Beziehung zwischen User X zu Member Y zuvor explizit eingerichtet wurde (von einem Admin?). [usersync] erscheint mir auf Anhieb (ohne dass ich allen Code analysiert hätte) sowohl von der Konzeption wie auch von der Umsetzung recht ausgereift.

[PasswordSync] gleicht nur Passworte ab, das aber gnadenlos für alle und jeden/s Benutzer/Mitglied, sobald auch nur ein Frontend-Mitglied sein Passwort ändert. Sorry, TheGeek, das sagen zu müssen, aber das ist fast sträflicher Anfängercode, der so nicht im Repository verbleiben sollte.

Hier mal zwei Szenarien:

20% der Mitglieder/Benutzer sind "doof" und vergessen ihr Passwort im Backend laufend, 80% sind normal und sorgen deshalb dafür, dass sie im Backend (das ja typisch VIEL mehr erlaubt, als das Frontend) ein anderes Passwort haben. Den 80% wird ihr sorgfältig gewähltes Backend-Passwort übergebügelt, sobald ein DAU mal wieder sein Passwort vergessen/geändert hat. Und überhaupt: was für ein Konzept, das Synchronisieren an Benutzername und email festzumachen, statt an (sorgfältig manuell gepflegten Id's von User vs. Member)! Das führt zu Scenario 2:

Angenommen, 100% der Frontend-Mitglieder hätten auch einen Backend-Benutzer mit gleichem Namen und email. ABER im Backend gäbe es auch einige Admins, die es im Frontend nicht gibt. Dann könnte, mindestens bei Auto-Registration, ein Angreifer diverse neue Frontend-Zugänge einrichten und dabei oft leicht via "good guess" sowohl den Namen wie auch die email erraten und sich damit Zugang zum Backend als Admin verschaffen.

Würde man nur die DAU's auch unter gleichem Namen/email im Backend führen und den normalen Menschen erlauben, sich im Backend unter anderen Zugangsdaten einzurichten, würde die Situation SCHLIMMER statt besser, weil es nun viel mehr potentielle Angriffs-Punkte gäbe.

Das komplette Überbügeln aller Passworte könnte man leicht verhindern, wenn die Parameter des HOOKS 'setNewPassword' (kompletter Member-Datensatz, neues Passwort) benutzt würde, außerdem MUSS verhindert werden, dass Admin-Backend-Accounts aus dem Frontend verändert werden! Admins, die Ihr Passwort vergessen, sind keine Admins!

Aber mir erscheint das Konzept Frontend ==> Backend (bezüglich Security/Anmeldedaten) grundsätzlich falsch.

Ich beantrage die Löschung dieser Erweiterung aus dem Repository, bis zumindest die Minimal-Anforderungen umgesetzt sind.

LG, Georg

**acenes** · 17.03.2010, 04:32

Ich muss Georg recht geben, die Erweiterung ist im momentanen Zustand ein Sicherheitsrisiko. Nebst den von Georg angesprochenen Punkten solltest du dich auch über "SQL Injection" schlau machen.

Ich habe die Veröffentlichung der Release deshalb rückgängig gemacht damit niemand zu Schaden kommt so lange das nicht gelöst ist, ich denke das ist auch in deinem Sinne TheGeek.

Problematisch ist in diesem Falle auch dass die allererste Version bereits als 1.0.0 stable angelegt wurde. Das signalisiert den potenziellen Benutzern fälschlicherweise dass es sich hier um eine ausgereifte Erweiterung handelt. 0.0.1 alpha1 wäre wohl in einem solchen Fall angemessener.

**TheGeek** · 17.03.2010, 07:34

Gut ich gebe euch komplett recht. Für mich hat diese kleine Erweiterung ausgereicht, jedoch für die breite Masse ist sie aus oben genannten Punkten einfach zu unsicher und nicht geeignet. Ich werde die Erweiterung überarbeiten. Insbesondere die Punkte mit der SQL Abfrage und das alle User beim ändern eines Passwortes abgeglichen werden sind eher suboptimale Verhaltensweisen.