Login Block
- Tommy Herrmann
- Site Admin

- Beiträge: 9127
- Registriert: So 6. Dez 2020, 07:37
- Wohnort: Berlin
- Kontaktdaten:
Re: Login Block
Wenn ich bereits eingeloggt bin und auf die Login-Seite zurückkehre, wird mit ganz richtig mitgeteilt, dass ich bereits eingeloggt bin.
… nur funktioniert der Button "Weiter zum Mitgliederbereich" nicht - keine Wirkung.
Meine Testseite:
https://www.mobirise-tutorials.com/VN-B ... mbers.html
… nur funktioniert der Button "Weiter zum Mitgliederbereich" nicht - keine Wirkung.
Meine Testseite:
https://www.mobirise-tutorials.com/VN-B ... mbers.html
- Tommy Herrmann
- Site Admin

- Beiträge: 9127
- Registriert: So 6. Dez 2020, 07:37
- Wohnort: Berlin
- Kontaktdaten:
Re: Login Block
Grundsätzlich finde ich ein Speichern im im temporären PHP-Verzeichnis des Servers:
/tmp/vn_login_users_<md5-von-domain>.json
ganz schlecht.
Da kommt man nicht ran ohne ein PHP-Script. Das ist also ganz schlecht.
Was passiert damit, wenn ich die Anwendung wieder lösche? Das verbleibt dann als Datei-Leiche dort oder wie?
Das gefällt mir überhaupt nicht und auch ChatGPT nicht, denn dieses temporäre Verzeichnis kann auch mal einfach gelöscht werden und dann kann sich jeder als Admin in der Anwendung anmelden. Das ist also überhaupt nicht sicher.
Selbst wenn es sicher wäre, gefällt es mir nicht, weil ich es nicht erreichen kann. Ich würde aus diesem Grund keine weitere Anwendung mit dieser Technik verwenden.
Warum legst Du nicht einen mittels .htaccess geschützten Ordner dafür an - das machen wir schon immer so und das ist sicher und übersichtlich.
/tmp/vn_login_users_<md5-von-domain>.json
ganz schlecht.
Da kommt man nicht ran ohne ein PHP-Script. Das ist also ganz schlecht.
Was passiert damit, wenn ich die Anwendung wieder lösche? Das verbleibt dann als Datei-Leiche dort oder wie?
Das gefällt mir überhaupt nicht und auch ChatGPT nicht, denn dieses temporäre Verzeichnis kann auch mal einfach gelöscht werden und dann kann sich jeder als Admin in der Anwendung anmelden. Das ist also überhaupt nicht sicher.
Selbst wenn es sicher wäre, gefällt es mir nicht, weil ich es nicht erreichen kann. Ich würde aus diesem Grund keine weitere Anwendung mit dieser Technik verwenden.
Warum legst Du nicht einen mittels .htaccess geschützten Ordner dafür an - das machen wir schon immer so und das ist sicher und übersichtlich.
Re: Login Block
Bin unterwegs melde mich später
Wieder da :-)
Speicher Ort hab ich geändert - wollte mal was neues probieren
So Tommy bitte nochmal runter laden. Alte vn Login löschen - neue improtieren und komplettes setup machen.
User und admin nicht mehr im temp.
Testen und bitte bescheid geben
https://www.niederastroth.de/dlportal/index.php
Passwort nun ja bekannt
Wieder da :-)
Speicher Ort hab ich geändert - wollte mal was neues probieren
So Tommy bitte nochmal runter laden. Alte vn Login löschen - neue improtieren und komplettes setup machen.
User und admin nicht mehr im temp.
Testen und bitte bescheid geben
https://www.niederastroth.de/dlportal/index.php
Passwort nun ja bekannt
- Tommy Herrmann
- Site Admin

- Beiträge: 9127
- Registriert: So 6. Dez 2020, 07:37
- Wohnort: Berlin
- Kontaktdaten:
Re: Login Block
Hallo Volker,
das hört sich gut an
Ich kann heute leider nicht mehr testen, gerne wieder morgen früh.
Ich werde das dann auch erst morgen früh erneut downloaden (falls Dir noch was einfällt).
das hört sich gut an
Ich kann heute leider nicht mehr testen, gerne wieder morgen früh.
Ich werde das dann auch erst morgen früh erneut downloaden (falls Dir noch was einfällt).
- Tommy Herrmann
- Site Admin

- Beiträge: 9127
- Registriert: So 6. Dez 2020, 07:37
- Wohnort: Berlin
- Kontaktdaten:
Re: Login Block
Moin,
also so ist das jetzt viel besser. So kann man auch die Benutzerdaten mal sichern und hat das alles unter Kontrolle. Ich habe das jetzt hier eingebaut:
https://www.mobirise-tutorials.com/VN-B ... mbers.html
Folgende Kleinigkeiten sind mir aufgefallen:
> Placeholder = benutzername > Benutzername schreibt man groß!
> Wenn ich unangemeldet die geschützte Seite aufrufe, werde ich immer noch nicht zum Login weitergeleitet!
> Ich habe eine Datei "delete-old-tmp-login.php" erstellt (unten) sonst bleibt die alte JSON als Dateileiche im /tmp/ Verzeichnis. Bitte nach Gebrauch sofort wieder vom Server löschen:
Passwort-Verwendung Chaos
Mir ist beim Testen aufgefallen, dass es bei Login-Anwendungen problematisch ist, wenn nur ein Passwort verwendet wird, aber kein Benutzername. Das hatte ich Dir aber schon mehrmals gesagt - jetzt haben wir den Salat.
Das Kernargument ist: Ohne Benutzername fehlt dem Browser und auch der Anwendung eine eindeutige Zuordnung.
Dadurch entsteht genau dieses Autofill-Chaos. Logge ich mich zum Beispiel ein mit
Benutzer: Tester
Passwort: tester
… und gehe zur Passwortänderung steht da:
> im Firefox am "Auge" bei "Altem Passwort" > Tommy123
> im Chrome am "Auge" bei "Altem Passwort" > geheimer_arsch
> im Edge am "Auge" bei "Altem Passwort" > na-ich
Eigentlich sollte bei "altem Passwort" und auch sonst nirgendwo irgendetwas stehen. Das musst Du unbedingt noch ändern!
Das geht gar nicht und ist ein "No-Go"
Browser wie Firefox, Chrome oder Edge erkennen Passwortfelder automatisch und speichern diese Zugangsdaten oft im eigenen Passwortmanager. Wenn eine Anwendung nur mit einem Passwort arbeitet, kann der Browser nicht sauber zuordnen, zu welchem Benutzer dieses Passwort gehört. Dadurch werden alte Testpasswörter oder falsche Zugangsdaten später plötzlich wieder automatisch eingetragen.
Genau das ist bei mir passiert: In verschiedenen Browsern erscheinen unterschiedliche gespeicherte Passwörter, die ich in der Anwendung selbst gar nicht mehr finden kann.
Besser ist daher immer die klassische Kombination aus:
Benutzername + Passwort
Dann kann der Browser die Zugangsdaten eindeutig einer bestimmten Domain und einem bestimmten Benutzer zuordnen. Auch für mehrere Benutzer, Passwortänderungen, Admin-Konten und spätere Erweiterungen ist das deutlich sauberer.
Zusätzlich sollten die Formularfelder passende autocomplete-Attribute bekommen, zum Beispiel:
Bei einer Passwort-ändern-Seite entsprechend:
So kann der Browser besser unterscheiden, ob es um ein bestehendes Login-Passwort oder um ein neu zu vergebendes Passwort geht.
Aus meiner Sicht ist „nur Passwort“ zwar für ganz einfache Schutzseiten bequem, aber für echte Login-Anwendungen mit Admin, Benutzern und Passwortänderung sollte man unbedingt Benutzername + Passwort verwenden.
also so ist das jetzt viel besser. So kann man auch die Benutzerdaten mal sichern und hat das alles unter Kontrolle. Ich habe das jetzt hier eingebaut:
https://www.mobirise-tutorials.com/VN-B ... mbers.html
Folgende Kleinigkeiten sind mir aufgefallen:
> Placeholder = benutzername > Benutzername schreibt man groß!
> Wenn ich unangemeldet die geschützte Seite aufrufe, werde ich immer noch nicht zum Login weitergeleitet!
> Ich habe eine Datei "delete-old-tmp-login.php" erstellt (unten) sonst bleibt die alte JSON als Dateileiche im /tmp/ Verzeichnis. Bitte nach Gebrauch sofort wieder vom Server löschen:
Code: Alles auswählen
<?php
declare(strict_types=1);
header('Content-Type: text/plain; charset=utf-8');
/*
* Alte VN-Login-Benutzerdatei aus dem PHP-Temp-Verzeichnis löschen.
* Diese Datei nach erfolgreicher Ausführung sofort wieder vom Server entfernen.
*/
$host = $_SERVER['HTTP_HOST'] ?? 'local';
$siteKey = md5($host);
$tmpDir = sys_get_temp_dir();
$usersFile = $tmpDir . DIRECTORY_SEPARATOR . 'vn_login_users_' . $siteKey . '.json';
echo "Host: " . $host . PHP_EOL;
echo "MD5 SiteKey: " . $siteKey . PHP_EOL;
echo "Temp-Verzeichnis: " . $tmpDir . PHP_EOL;
echo "Gesuchte Datei: " . $usersFile . PHP_EOL;
echo str_repeat('-', 70) . PHP_EOL;
if (!is_file($usersFile)) {
echo "Hinweis: Die alte Login-Datei wurde nicht gefunden." . PHP_EOL;
echo "Es gibt für diesen Host offenbar keine passende Datei im Temp-Verzeichnis." . PHP_EOL;
exit;
}
if (!is_readable($usersFile)) {
echo "FEHLER: Die Datei wurde gefunden, kann aber nicht gelesen werden." . PHP_EOL;
exit;
}
echo "Datei wurde gefunden." . PHP_EOL;
echo "Dateigröße: " . filesize($usersFile) . " Bytes" . PHP_EOL;
if (unlink($usersFile)) {
echo "OK: Die alte Login-Datei wurde gelöscht." . PHP_EOL;
} else {
echo "FEHLER: Die Datei konnte nicht gelöscht werden." . PHP_EOL;
echo "Bitte Rechte oder Server-Konfiguration prüfen." . PHP_EOL;
}Passwort-Verwendung Chaos
Mir ist beim Testen aufgefallen, dass es bei Login-Anwendungen problematisch ist, wenn nur ein Passwort verwendet wird, aber kein Benutzername. Das hatte ich Dir aber schon mehrmals gesagt - jetzt haben wir den Salat.
Das Kernargument ist: Ohne Benutzername fehlt dem Browser und auch der Anwendung eine eindeutige Zuordnung.
Dadurch entsteht genau dieses Autofill-Chaos. Logge ich mich zum Beispiel ein mit
Benutzer: Tester
Passwort: tester
… und gehe zur Passwortänderung steht da:
> im Firefox am "Auge" bei "Altem Passwort" > Tommy123
> im Chrome am "Auge" bei "Altem Passwort" > geheimer_arsch
> im Edge am "Auge" bei "Altem Passwort" > na-ich
Eigentlich sollte bei "altem Passwort" und auch sonst nirgendwo irgendetwas stehen. Das musst Du unbedingt noch ändern!
Das geht gar nicht und ist ein "No-Go"
Browser wie Firefox, Chrome oder Edge erkennen Passwortfelder automatisch und speichern diese Zugangsdaten oft im eigenen Passwortmanager. Wenn eine Anwendung nur mit einem Passwort arbeitet, kann der Browser nicht sauber zuordnen, zu welchem Benutzer dieses Passwort gehört. Dadurch werden alte Testpasswörter oder falsche Zugangsdaten später plötzlich wieder automatisch eingetragen.
Genau das ist bei mir passiert: In verschiedenen Browsern erscheinen unterschiedliche gespeicherte Passwörter, die ich in der Anwendung selbst gar nicht mehr finden kann.
Besser ist daher immer die klassische Kombination aus:
Benutzername + Passwort
Dann kann der Browser die Zugangsdaten eindeutig einer bestimmten Domain und einem bestimmten Benutzer zuordnen. Auch für mehrere Benutzer, Passwortänderungen, Admin-Konten und spätere Erweiterungen ist das deutlich sauberer.
Zusätzlich sollten die Formularfelder passende autocomplete-Attribute bekommen, zum Beispiel:
Code: Alles auswählen
<input type="text" name="username" autocomplete="username">
<input type="password" name="password" autocomplete="current-password">Code: Alles auswählen
<input type="password" name="oldpassword" autocomplete="current-password">
<input type="password" name="newpassword" autocomplete="new-password">
<input type="password" name="newpassword2" autocomplete="new-password">Aus meiner Sicht ist „nur Passwort“ zwar für ganz einfache Schutzseiten bequem, aber für echte Login-Anwendungen mit Admin, Benutzern und Passwortänderung sollte man unbedingt Benutzername + Passwort verwenden.
Re: Login Block
Moin Tommy,
Tippfehler passieren
Das mit dem User und Passwort Feldern ist eine gute Idee - hau ich gleich rein.
15 Euro ??? Sind die 5 Euro Provision für Dich ?
Also ein 10er sagte ich
Finde das ist OK. 
Tippfehler passieren
Das mit dem User und Passwort Feldern ist eine gute Idee - hau ich gleich rein.
15 Euro ??? Sind die 5 Euro Provision für Dich ?
Also ein 10er sagte ich
- Tommy Herrmann
- Site Admin

- Beiträge: 9127
- Registriert: So 6. Dez 2020, 07:37
- Wohnort: Berlin
- Kontaktdaten:
Re: Login Block
Huch - nee 15,00 Euro sind viel zu wenig - 150,00 wären angemessen
(ändere ich)
Ändere das noch mit dem "autocomplete" - damit da nix steht, denn das ist total verwirrend
Wahrscheinlich müsssen dann alle drei Komponenten nochmals ausgetauscht werden. Bitte gib Bescheid.
Ändere das noch mit dem "autocomplete" - damit da nix steht, denn das ist total verwirrend
Wahrscheinlich müsssen dann alle drei Komponenten nochmals ausgetauscht werden. Bitte gib Bescheid.
Re: Login Block
Lade bitte nochmal runter und teste bitte
Ich hoffe das jetzt alles stimmt
Ich hoffe das jetzt alles stimmt
- Tommy Herrmann
- Site Admin

- Beiträge: 9127
- Registriert: So 6. Dez 2020, 07:37
- Wohnort: Berlin
- Kontaktdaten:
Re: Login Block
Das ging mir zu schnell 
... aber ja - mache ich - alles neu oder?
Melde mich dann.
... aber ja - mache ich - alles neu oder?
Melde mich dann.
- Tommy Herrmann
- Site Admin

- Beiträge: 9127
- Registriert: So 6. Dez 2020, 07:37
- Wohnort: Berlin
- Kontaktdaten:
Re: Login Block
Immer noch ziemlich durcheinander.
> Nun wird das "Altes Passwort eingeben" zwar das richtige Passwort (nur im vorne falsch groß geschrieben) verwendet - was falsch ist - da sollte nirgendwo irgendwelche Passwörter stehen, alles sollte immer leer gesetzt sein.
> auch beim Login werden immer noch am "Auge" irgendwelche falschen Passwörter angezeigt
> die "Passwort ändern" Seite kann man aufrufen ohne eingeloggt zu sein

> Nun wird das "Altes Passwort eingeben" zwar das richtige Passwort (nur im vorne falsch groß geschrieben) verwendet - was falsch ist - da sollte nirgendwo irgendwelche Passwörter stehen, alles sollte immer leer gesetzt sein.
> auch beim Login werden immer noch am "Auge" irgendwelche falschen Passwörter angezeigt
> die "Passwort ändern" Seite kann man aufrufen ohne eingeloggt zu sein
Re: Login Block
Hast du auch alles gelöscht ? Auf dem Server den Ordner ?
- Tommy Herrmann
- Site Admin

- Beiträge: 9127
- Registriert: So 6. Dez 2020, 07:37
- Wohnort: Berlin
- Kontaktdaten:
Re: Login Block
Auf dem Server hatte ich nichts gelöscht!
Was soll ich am Server löschen? Diesen Ordner "vn-login":
/assets/vn-login
Das sollte doch überschrieben werden oder nicht.
Bitte bestätige was ich löschen soll.
Was soll ich am Server löschen? Diesen Ordner "vn-login":
/assets/vn-login
Das sollte doch überschrieben werden oder nicht.
Bitte bestätige was ich löschen soll.
- Tommy Herrmann
- Site Admin

- Beiträge: 9127
- Registriert: So 6. Dez 2020, 07:37
- Wohnort: Berlin
- Kontaktdaten:
Re: Login Block
OK - mache ich (Du bitte nichts machen bevor ich mich melde)
- Tommy Herrmann
- Site Admin

- Beiträge: 9127
- Registriert: So 6. Dez 2020, 07:37
- Wohnort: Berlin
- Kontaktdaten:
Re: Login Block
na ja - jetzt heißt es "Verbindungsfehler" (logisch wenn die JSON weg ist).
Ich habe ja alle neuen Komponenten in Mobirise eingebaut - soll ich die Mobirise-Seiten nochmals neu publizieren oder was?
Neu Publizieren nutzt auch nichts
Was soll ich genau tun ...
Ich habe ja alle neuen Komponenten in Mobirise eingebaut - soll ich die Mobirise-Seiten nochmals neu publizieren oder was?
Neu Publizieren nutzt auch nichts
Was soll ich genau tun ...
Re: Login Block
JA Tommy, nach Import alle Seiten mit den neuen Böcken aufbauen und neu veröffentlichen. Hier meine Seite: https://www.niederastroth.de/00login/
- Tommy Herrmann
- Site Admin

- Beiträge: 9127
- Registriert: So 6. Dez 2020, 07:37
- Wohnort: Berlin
- Kontaktdaten:
Re: Login Block
Habe jetzt das alte (gesicherte) Verzeichnis wieder auf den Server kopiert
Was soll ich jetzt genau machen?
... das hatte ich doch gemacht. Ich habe sämtliiche Blöcke gerade eben neu eingebaut. Nur hatte ich am Server das Verzeichnis "vn-login" nicht gelöscht - hast Du ja nicht gesagt, dass man das machen muss.
Was soll ich jetzt genau machen?
... das hatte ich doch gemacht. Ich habe sämtliiche Blöcke gerade eben neu eingebaut. Nur hatte ich am Server das Verzeichnis "vn-login" nicht gelöscht - hast Du ja nicht gesagt, dass man das machen muss.
- Tommy Herrmann
- Site Admin

- Beiträge: 9127
- Registriert: So 6. Dez 2020, 07:37
- Wohnort: Berlin
- Kontaktdaten:
Re: Login Block
wie komme ich auf Deine Seite - Benutzer/Passwort
- Tommy Herrmann
- Site Admin

- Beiträge: 9127
- Registriert: So 6. Dez 2020, 07:37
- Wohnort: Berlin
- Kontaktdaten:
Re: Login Block
Soll ich jetzt nochmals alle Blöcke neu einbauen oder was?
Re: Login Block
Ja sorry
Aber bitte in Zukunft bei Änderungen alles löschen und neu veröffentlichen
Aber bitte in Zukunft bei Änderungen alles löschen und neu veröffentlichen
