v3.2.0: Probleme mit Passwort-Ändern-Funktion

[magnet]

Moin,

bei der Möglichkeit als Admin bei einem neu angelegten Benutzer das Passwort zu vergeben, sind mir zwei Probleme aufgefallen. Leider kann ich in der Demo das zweite Problem gerade nicht nachstellen? Das System ist ein von 3.1.4 auf 3.2 geupdatetes System.

1) Lege ich einen neuen Benutzer an und klicke auf "Passwort Ändern", funktioniert die Anzeige zur Stärke des Passwortes bzw. ob die nötige Passwortsicherheit erreicht wurde, nicht. Somit muss man selbst herumprobieren, bis man ein Passwort gefunden hat, welches man auch speichern darf. Nachstellbar in der Demo.

2) In meinen eigenen System habe ich einen neuen Benutzer angelegt und ihm ein neues Passwort vergeben. Klicke ich jetzt nochmal auf "Passwort ändern", bekomme ich ein "Hinweis Du hast kein Recht, diese Aktion auszuführen." Ich bin aber Administrator in dem System? Bei Benutzern die ich vor dem Update auf 3.2 angelegt habe, kann ich die Funktion aber ausführen. Komischerweise kann ich es in der Demo gerade nicht nachstellen... vielleicht gibt es trotzdem eine Idee dazu?

Grüße,
magnet

[XimeX]

Den Punkt 1) kann ich nachstellen und hab auch schon den Fehler gefunden. Werde ich morgen fixen. Zum 2 Punkt muss ich noch schauen

[Giovanni9030]

Alle 2 Punkte kann ich bestätigen.
Der Balken kommt nur, wenn man das Passwort eines bereits angelegten Mitgliedes ändert, nicht bei Neuanlage.

Bei mir tritt noch zusätzlich folgendes auf:
Wenn ich bei bereits bestehenden Mitgliedern das Passwort ändern will, habe ich nur die Auswahl, diesen ein neues Passwort zuzusenden, eine Änderung steht nicht zur Verfügung, Ausnahme bei neu angelegten Mitgliedern, hier kann ich jederzeit das Passwort ändern.
Ist das so gewollt?
Meine Einstellung bzgl. Registrierung ist: Registrierung deaktiviert.

LG Hans

[magnet]

Alle 2 Punkte kann ich bestätigen.
Bei mir tritt noch zusätzlich folgendes auf:
Wenn ich bei bereits bestehenden Mitgliedern das Passwort ändern will, habe ich nur die Auswahl, diesen ein neues Passwort zuzusenden, eine Änderung steht nicht zur Verfügung, Ausnahme bei neu angelegten Mitgliedern, hier kann ich jederzeit das Passwort ändern.
Ist das so gewollt?
Meine Einstellung bzgl. Registrierung ist: Registrierung deaktiviert.

LG Hans

Auch das kann ich hier bestätigen.

1. Hat eine Person keine E-Mail-Adresse und Benutzernamen vergeben, kann ich auf "Profil bearbeiten" und dort auf "Passwort ändern".

2. Hat eine Personen nur einen Benutzernamen und keine Mail, kann ich schon direkt im Profil auf "Passwort ändern".

3. Hat eine Person eine Benutzername und eine Mailadresse, kann ich gar nicht mehr auf "Passwort ändern" klicken sondern nur noch ein neues zusenden. Es sei denn ich rufe das Script direkt mit seiner UserID auf: https://domain.de/adm_program/modules/p ... p?usr_id=1 .Es ist halt einfach nicht mehr verlinkt.

Bei neuen Nutzern in meinen System kann ich weiterhin garnix am Passwort ändern und bekomme die Fehlermeldung dass Rechte fehlen. Kann es irgendwie mit der Umbenennung Webmaster->Administrator-Änderung zusammenhängen?

Grüße,
magnet

[XimeX]

Punkt 1 ist mal gefixed: https://github.com/Admidio/admidio/issues/467

[XimeX]

Also für das 2 Problem sollte es um diese stelle gehen:
https://github.com/Admidio/admidio/blob ... hp#L39-L47

Hier steht auch im Kommentar:

only the own password could be individual set. Administrator could only send a generated password or set a password if no password was set before

Als Fehlermeldung sollte kommen:

Du hast kein Recht, diese Aktion auszuführen.

Diese sollte in 3 Fällen kommen:

• Der User der angegben ID ist NICHT Mitglied der aktuellen Organisation (Zeile 41)
• Der angemeldete User ist NICHT Admin und der zu bearbeitende User ist NICHT er selbst (Zeile 42)
• Der angemeldete User ist Admin, das Passwort ist schon gesetzt, der User hat aber keine Email adresse und das mail system ist aktiviert (Zeile 43)

Wenn ich das richtig verstehe heißt das:
- Hat der User noch kein Passwort: Kann man direkt eines setzen.
- Hat der User schon ein Passwort: Ist das Mail System aktiv und hat der User eine Email geht nur automatisch neugeneriertes an User schicken lassen. Ist Mail System deaktiviert oder/und hat der User keine Email kann mans weiter beliebig setzen.

Ich hab den Code mit der v3.1 verglichen. Sollte eigentlich das gleiche verhalten sein.

[magnet]

Als Fehlermeldung sollte kommen:

Du hast kein Recht, diese Aktion auszuführen.

Diese sollte in 3 Fällen kommen:

• Der User der angegben ID ist NICHT Mitglied der aktuellen Organisation (Zeile 41)
• Der angemeldete User ist NICHT Admin und der zu bearbeitende User ist NICHT er selbst (Zeile 42)
• Der angemeldete User ist Admin, das Passwort ist schon gesetzt, der User hat aber keine Email adresse und das mail system ist aktiviert (Zeile 43)

Also in meinen System ist das Mailsystem deaktiviert und das Profifeld "E-Mail Adresse" ist kein Pflichtfeld. Ich (Admin) lege einen neuen Benutzer an ohne Mailadresse, speichere ihn, bearbeite ihn dann wieder und vergebe dann Benutzername Kennwort. Danach rufe ich sein Profi wieder auf ohne gehe auf "Passwort ändern". Ich bekomme den genannten Fehler:

error_rights.png (7.03 KiB) 14726 mal betrachtet

Sobald ich einen neuen Benutzer anlege welcher eine Mailadresse hat, kann ich ihm nur noch das Passwort zusenden - aber das soll ja scheinbar so ein wie im Kommentar steht.

Grüße,
magnet

[magnet]

- Hat der User schon ein Passwort: Ist das Mail System aktiv und hat der User eine Email geht nur automatisch neugeneriertes an User schicken lassen. Ist Mail System deaktiviert oder/und hat der User keine Email kann mans weiter beliebig setzen.

Also ich habe gerade mein zweites produktives System auf die 3.2.2 gebracht. Dort ist das Mailsystem aktiv. Ich habe einen neuen Benutzer angelegt und ihm ein Benutzernamen und Passwort zugewiesen, E-Mail habe ich leer gelassen.

Will ich anschließend als Admin sein Passwort ändern, bekomme ich wieder "Hinweis Sie haben kein Recht, diese Aktion auszuführen". Wenn ich das richtig verstanden habe, sollte ich das aber jetzt dürfen, da der Nutzer keine E-Mail hat (ihm zusenden oder Passwort-Vergessen-Funktion dürften ja logischerweise nicht gehen).

##

Und noch einmal zum ersten Problem mit dem Passwort-Generieren. Wenn ich das richtig verstehe, sollte das Passwort die richtige Stärke erreicht haben, wenn die Farbskala den schwarzen Pfeil überschreitet. Folglich sollte diese Situation hier eigentlich nie auftreten. Oder kann man bei der eingebauten Stärkeprüfung nicht gleich prüfen, ob die Grundbedingungen überhaupt ( 8 Zeichen, Zahlen,Buchstaben,Sonderzeichen) - stimmen und dies wird erst am Schluss gemacht? Es wurde ein Passwort ohne Zahlen eingegeben.

password_generator.png (30.34 KiB) 14693 mal betrachtet

Grüße,
magnet

[fasse]

Hallo Magnet,

Problem 1 ist behoben. Dazu die entpackte Datei bitte in das Verzeichnis adm_program/modules/profile kopieren.

Problem 2 habe ich auch schon öfters festgestellt. Habe dies mal erfasst:
https://github.com/Admidio/admidio/issues/487

Viele Grüße
Fasse

[magnet]

Hallo Magnet,

Problem 1 ist behoben. Dazu die entpackte Datei bitte in das Verzeichnis adm_program/modules/profile kopieren.

Problem 2 habe ich auch schon öfters festgestellt. Habe dies mal erfasst:
https://github.com/Admidio/admidio/issues/487

Viele Grüße
Fasse

Hallo Fasse!

Vielen Dank für den Fix. Jetzt kann ich zwar als Admin erfolgreich die Passwörter anderer User ändern, aber wenn ich mein eigenes ändern will erscheint "Du hast kein Recht, diese Aktion auszuführen."

Viele Grüße,
magnet

[fasse]

Hallo magnet,

hier nun eine neue Version.

Viele Grüße
Fasse

[XimeX]

Hallo magnet. Bei dem Passwort das du eingegeben hast, kamen in dem Passwort Teile eines Profilfeldes vor? Also zb Geb Datum, Name, Adresse etc?

[magnet]

@fasse Vielen Dank, jetzt scheint es zu funktionieren!

@XimeX Nein, Passwortstärke "Mittel" und z.B als Passwort "geheim@geheim". Also keine Zahl dabei wie es in der "Soll-Anweisung" steht.

Grüße,
magnet

[XimeX]

Und noch einmal zum ersten Problem mit dem Passwort-Generieren. Wenn ich das richtig verstehe, sollte das Passwort die richtige Stärke erreicht haben, wenn die Farbskala den schwarzen Pfeil überschreitet.

Er muss nicht überschritten werden. Es reicht wenn der Farbbalken bis zum Pfeil reicht.

Hab den Fehler:
Die JS und PHP lib arbeiten nicht ganz gleich. Siehe hier: https://github.com/bjeavons/zxcvbn-php/issues/15
Muss mir das noch genauer ansehen wie ich das am einfachsten fixe

[magnet]

Und noch einmal zum ersten Problem mit dem Passwort-Generieren. Wenn ich das richtig verstehe, sollte das Passwort die richtige Stärke erreicht haben, wenn die Farbskala den schwarzen Pfeil überschreitet.

Er muss nicht überschritten werden. Es reicht wenn der Farbbalken bis zum Pfeil reicht.

Jo, aber kommt ja auf das gleiche bei raus. Registrierung in der Demo mit "1234567@" erreicht zwar den Pfeil, bringt aber trotzdem ein "Das Passwort ist nicht sicher genug" im nächsten Dialog.

Danke fürs Kümmern!

Viele Grüße,
magnet