postLogin und postLogout Problemchen

**BugBuster** · 11.08.2018, 23:48

Ab Contao 4.5 gibt es die tl_session Tabelle nicht mehr.
Ich wollte das nun etwas vereinfacht nachbilden.

Für postLogin habe ich mir den Cookie Hash geholt, hier am Beispiel Backend:

Code:

       $session = \System::getContainer()->get('session');
       $strHash = sha1($session->getId().'BE_USER_AUTH');

Über das User Object was mit der Hook übergibt hole ich mir die User ID und speichere die zusammen mit einem Timestamp und dem Hash ab.

Problem kommt nun beim postLogout Hook.
Denn hier wird vor dem Aufruf des Hooks bereits eine neue Session ID generiert.
Demzufolge kann ich nun nicht passend den Eintrag in meiner Tabelle löschen über den Hash.
Über den Hash gehe ich, da man sich ja mehrmals anmelden kann mit dem selben Login und die Logins unterscheiden muss.

Ich hatte schon die Idee über den neuen "csrf_contao_csrf_token" Value zu gehen, interessanterweise bleibt der offenbar gleich wenn ich mich an-ab-anmelde.

Jemand ne Idee für das Problemchen?

**andreas.schempp** · 13.08.2018, 10:45

Wäre es nicht viel einfacher du würdest dir einen Random Hash in die Session speichern? Die Session-Daten werden beim Logout ja beibehalten, entsprechend kannst du das selber behandeln.

**andreas.schempp** · 13.08.2018, 10:46

Ausserdem, planst du eine Implementierung die nur in 4.5 funktioniert oder auch in älteren Versionen? Denn sonst solltest du nicht die veralteten Hooks benutzen (falls möglich). Es gibt sicher einen INTERACTIVE_LOGIN_EVENT, bei den restlichen bin ich mir nicht 100% sicher.

**BugBuster** · 13.08.2018, 16:01

Zitat von andreas.schempp

Wäre es nicht viel einfacher du würdest dir einen Random Hash in die Session speichern? Die Session-Daten werden beim Logout ja beibehalten, entsprechend kannst du das selber behandeln.

Das hatte ich mir auch schon überlegt, über diesen Weg zu gehen. Wie man in Contao 4 mit Session umgeht muss ich mir noch ansehen, da gibt es doch bestimmt auch was "neumodisches"

Zitat von andreas.schempp

Ausserdem, planst du eine Implementierung die nur in 4.5 funktioniert oder auch in älteren Versionen? Denn sonst solltest du nicht die veralteten Hooks benutzen (falls möglich). Es gibt sicher einen INTERACTIVE_LOGIN_EVENT, bei den restlichen bin ich mir nicht 100% sicher.

Das soll ab Contao 4.5 funktionieren. Das die Hooks schon deprecated sind, habe ich schon gesehen. Als Hotfix würde ich erstmal dabei beiben.

**Stranger** · 19.02.2020, 20:01

Habe indirekt gerade mit dem gleichen Thema zu tun bei Contao 4.8.
Es ist gewünscht, dass man beim Login Formular über jedem Feld sieht, ob es Loginversuch nicht ausgefüllt wurde.
Also wenn das Passwort fehlt, soll über dem Passwort-Feld eine Fehlermeldung stehen. Wenn der Benutzername fehlt, soll über diesem Feld ebenfalls der Fehler stehen.

Mir würde es auch schon helfen, wenn der Fehler im allgemeinen anders wäre...
Diese Fehlermeldung "Anmeldung fehlgeschlagen (Benutzernamen und Passwörter unterscheiden zwischen Groß- und Kleinschreibung)!" ist leider nicht wirklich zielführend und genau.
Ein anderer Usecase ist auch noch, dass der User sich ständig versucht einzuloggen, aber das geht nicht, weil er noch nicht aktiviert wurde. Das erfährt man an dieser Stelle überhaupt nicht.

Vielleicht sagt ja jetzt auch der ein oder andere, dass das ein grundsätzliches Problem in Contao ist und eines Core Fixes bzw. einer Optimierung bedarf?! Dann müsste man wahrscheinlich bei Github ein Ticket aufmachen?

**fiedsch** · 19.02.2020, 20:28

Zitat von Stranger

Es ist gewünscht, dass man beim Login Formular über jedem Feld sieht, ob es Loginversuch nicht ausgefüllt wurde.

Das sollte im Template mit HTML Form Validation (https://developer.mozilla.org/en-US/...orm_validation) umsetzbar sein.

Zitat von Stranger

Mir würde es auch schon helfen, wenn der Fehler im allgemeinen anders wäre...
Diese Fehlermeldung "Anmeldung fehlgeschlagen (Benutzernamen und Passwörter unterscheiden zwischen Groß- und Kleinschreibung)!" ist leider nicht wirklich zielführend und genau.

dazu musst Du $GLOBALS['TL_LANG']['ERR']['invalidLogin'] in der languages/de/default.php überschreiben.

**Spooky** · 19.02.2020, 20:29

Hm, ich denke du kannst in einem checkCredentials eine Exception mit genaueren Informationen werfen, sicher bin ich mir jedoch nicht. Die Möglichkeit die Fehlermeldung entweder beim Login Feld oder beim Passwort Feld anzeigen zu lassen gibt es von Haus aus nicht - könnte man aber mit Template Anpassung und parseTemplate Hook einbauen.

**zonky** · 19.02.2020, 21:33

Zitat von Stranger

Ein anderer Usecase ist auch noch, dass der User sich ständig versucht einzuloggen, aber das geht nicht, weil er noch nicht aktiviert wurde. Das erfährt man an dieser Stelle überhaupt nicht.

ja, das ist der berühmte "Zwischen Baum und Borke"-Status des Users... eine Info, dass die Bestätigung fehlt würde bedeuten, dass man preis gibt, das der Username existiert - das könnte sicherheitstechnisch nicht gewollt sein

**zonky** · 20.02.2020, 12:45

wahrscheinlich wäre es eine gute Option, nach Zeit x (drei Tage) die unbestätigten User nochmal daran zu erinnern, den Login zu bestätigen und nach Zeit y (eine Woche) diejenigen zu löschen - dann können die sich zumindest nochmal neu anmelden

Edit: das Löschen nach 24h ist in der C4.9 schon an Bord

**Stranger** · 29.02.2020, 14:10

Vielen Dank für die vielen Antworten!

Zitat von fiedsch

Das sollte im Template mit HTML Form Validation (https://developer.mozilla.org/en-US/...orm_validation) umsetzbar sein.

dazu musst Du $GLOBALS['TL_LANG']['ERR']['invalidLogin'] in der languages/de/default.php überschreiben.

1. Es ist leider novalidate im Formular gewünscht

2. Das weiß ich doch, aber das nützt mir nix, weil Contao die Fehlermeldung allgemein hält und nicht unterscheidet, ob falsch, leer, nicht aktiviert etc.

Zitat von Spooky

Hm, ich denke du kannst in einem checkCredentials eine Exception mit genaueren Informationen werfen, sicher bin ich mir jedoch nicht. Die Möglichkeit die Fehlermeldung entweder beim Login Feld oder beim Passwort Feld anzeigen zu lassen gibt es von Haus aus nicht - könnte man aber mit Template Anpassung und parseTemplate Hook einbauen.

Vielen Dank! Habs damit hinbekommen. Ich frage jetzt ab, ob das Passwortfeld ausgefüllt wurde und setze dann eine Session. Die Session greife ich dann im Template ab und kann nun die Fehlermeldung unterscheiden, ob das Passwort falsch ist oder ob es leer ist.

Zitat von zonky

ja, das ist der berühmte "Zwischen Baum und Borke"-Status des Users... eine Info, dass die Bestätigung fehlt würde bedeuten, dass man preis gibt, das der Username existiert - das könnte sicherheitstechnisch nicht gewollt sein

Das habe ich denen ja auch gesagt, aber bleiben wir mal realistisch.
1. Zum einen ist es so, dass du bei der Telekom und diversen anderen Seiten auch eine Fehlermeldung gekommst, dass dieser User nicht existiert.
2. Du wirst sowieso gesperrt, wenn du 3 mal das falsche Passwort eingibst.
3. Wenn du bei Contao das "Passwort vergessen" Modul einsetzt und eine Mail-Adresse eingibst, die nicht existiert, dann erhältst du die Fehlermeldung "Kein passendes Konto gefunden" - wenn du also das Sicherheitsargument anführst, dann müsste dieses Modul ja auch "zurückgebaut" werden

4. Es ist katastrophal, wenn du als User nicht weißt erfährst, dass du dich noch nicht einloggen kannst, weil dein Account noch nicht freigeschaltet wurde. Der User denkt dann, dass sein Konto gar nicht existiert und registriert sich womöglich noch 1 bis 5 mal.

Zitat von zonky

wahrscheinlich wäre es eine gute Option, nach Zeit x (drei Tage) die unbestätigten User nochmal daran zu erinnern, den Login zu bestätigen und nach Zeit y (eine Woche) diejenigen zu löschen - dann können die sich zumindest nochmal neu anmelden

Es geht nicht um den User. Der User hat seinen Login bereits bestätigt. Der Admin muss den User freischalten, da es eine "moderierte" Registrierung ist. Der User erfährt ja nicht wann er freigeschaltet wurde. Abgesehen davon brauchst du bei Contao 4.9 niemanden mehr nach 3 Tagen erinnern, da User, die sich nicht selbst nach 24 Stunden bestätigt haben automatisch gelöscht werden

**zonky** · 29.02.2020, 14:28

Zitat von Stranger

3. Wenn du bei Contao das "Passwort vergessen" Modul einsetzt und eine Mail-Adresse eingibst, die nicht existiert, dann erhältst du die Fehlermeldung "Kein passendes Konto gefunden" - wenn du also das Sicherheitsargument anführst, dann müsste dieses Modul ja auch "zurückgebaut" werden

=> korrekt!

**diversworld** · 18.12.2020, 07:42

Ich habe aktuell bei einer 4.9. Installation das Problem, dass Mitglieder ihr Kennwort nicht zurücksetzen können, weil nach Eingabe der Mail-Adresse immer die Information kommt " Kein passendes Konto gefunden" obwohl das Konto aktiv ist und die angegebene Adresse stimmt.

Das Problem konnte ich lösen indem ich das Feld Session bei allen Mitgliedern gelöscht habe.