Login Block

Anwendungen für Webseiten. Künstliche Intelligenz verwenden.
Benutzeravatar
Tommy Herrmann
Site Admin
Site Admin
Beiträge: 9127
Registriert: So 6. Dez 2020, 07:37
Wohnort: Berlin
Kontaktdaten:

Re: Login Block

Ungelesener Beitrag von Tommy Herrmann »

Wenn ich bereits eingeloggt bin und auf die Login-Seite zurückkehre, wird mit ganz richtig mitgeteilt, dass ich bereits eingeloggt bin.

… nur funktioniert der Button "Weiter zum Mitgliederbereich" nicht - keine Wirkung.


Bereits eingeloggt - Button Mitgliederbereich.jpg



Meine Testseite:

https://www.mobirise-tutorials.com/VN-B ... mbers.html
Benutzeravatar
Tommy Herrmann
Site Admin
Site Admin
Beiträge: 9127
Registriert: So 6. Dez 2020, 07:37
Wohnort: Berlin
Kontaktdaten:

Re: Login Block

Ungelesener Beitrag von Tommy Herrmann »

Grundsätzlich finde ich ein Speichern im im temporären PHP-Verzeichnis des Servers:

/tmp/vn_login_users_<md5-von-domain>.json

ganz schlecht.

Da kommt man nicht ran ohne ein PHP-Script. Das ist also ganz schlecht.

Was passiert damit, wenn ich die Anwendung wieder lösche? Das verbleibt dann als Datei-Leiche dort oder wie?

Das gefällt mir überhaupt nicht und auch ChatGPT nicht, denn dieses temporäre Verzeichnis kann auch mal einfach gelöscht werden und dann kann sich jeder als Admin in der Anwendung anmelden. Das ist also überhaupt nicht sicher.

Selbst wenn es sicher wäre, gefällt es mir nicht, weil ich es nicht erreichen kann. Ich würde aus diesem Grund keine weitere Anwendung mit dieser Technik verwenden.

Warum legst Du nicht einen mittels .htaccess geschützten Ordner dafür an - das machen wir schon immer so und das ist sicher und übersichtlich.
Volker
Moderator
Moderator
Beiträge: 3113
Registriert: Sa 12. Dez 2020, 22:35

Re: Login Block

Ungelesener Beitrag von Volker »

Bin unterwegs melde mich später

Wieder da :-)

Speicher Ort hab ich geändert - wollte mal was neues probieren :D


So Tommy bitte nochmal runter laden. Alte vn Login löschen - neue improtieren und komplettes setup machen.
User und admin nicht mehr im temp.

Testen und bitte bescheid geben ;)

https://www.niederastroth.de/dlportal/index.php


Passwort nun ja bekannt ;)
Benutzeravatar
Tommy Herrmann
Site Admin
Site Admin
Beiträge: 9127
Registriert: So 6. Dez 2020, 07:37
Wohnort: Berlin
Kontaktdaten:

Re: Login Block

Ungelesener Beitrag von Tommy Herrmann »

Hallo Volker,

das hört sich gut an :tu:

Ich kann heute leider nicht mehr testen, gerne wieder morgen früh.

Ich werde das dann auch erst morgen früh erneut downloaden (falls Dir noch was einfällt).
Benutzeravatar
Tommy Herrmann
Site Admin
Site Admin
Beiträge: 9127
Registriert: So 6. Dez 2020, 07:37
Wohnort: Berlin
Kontaktdaten:

Re: Login Block

Ungelesener Beitrag von Tommy Herrmann »

Moin,

also so ist das jetzt viel besser. So kann man auch die Benutzerdaten mal sichern und hat das alles unter Kontrolle. Ich habe das jetzt hier eingebaut:

https://www.mobirise-tutorials.com/VN-B ... mbers.html

Folgende Kleinigkeiten sind mir aufgefallen:

> Placeholder = benutzername > Benutzername schreibt man groß!

> Wenn ich unangemeldet die geschützte Seite aufrufe, werde ich immer noch nicht zum Login weitergeleitet!

> Ich habe eine Datei "delete-old-tmp-login.php" erstellt (unten) sonst bleibt die alte JSON als Dateileiche im /tmp/ Verzeichnis. Bitte nach Gebrauch sofort wieder vom Server löschen:

Code: Alles auswählen

<?php
declare(strict_types=1);

header('Content-Type: text/plain; charset=utf-8');

/*
 * Alte VN-Login-Benutzerdatei aus dem PHP-Temp-Verzeichnis löschen.
 * Diese Datei nach erfolgreicher Ausführung sofort wieder vom Server entfernen.
 */

$host = $_SERVER['HTTP_HOST'] ?? 'local';

$siteKey   = md5($host);
$tmpDir    = sys_get_temp_dir();
$usersFile = $tmpDir . DIRECTORY_SEPARATOR . 'vn_login_users_' . $siteKey . '.json';

echo "Host: " . $host . PHP_EOL;
echo "MD5 SiteKey: " . $siteKey . PHP_EOL;
echo "Temp-Verzeichnis: " . $tmpDir . PHP_EOL;
echo "Gesuchte Datei: " . $usersFile . PHP_EOL;
echo str_repeat('-', 70) . PHP_EOL;

if (!is_file($usersFile)) {
    echo "Hinweis: Die alte Login-Datei wurde nicht gefunden." . PHP_EOL;
    echo "Es gibt für diesen Host offenbar keine passende Datei im Temp-Verzeichnis." . PHP_EOL;
    exit;
}

if (!is_readable($usersFile)) {
    echo "FEHLER: Die Datei wurde gefunden, kann aber nicht gelesen werden." . PHP_EOL;
    exit;
}

echo "Datei wurde gefunden." . PHP_EOL;
echo "Dateigröße: " . filesize($usersFile) . " Bytes" . PHP_EOL;

if (unlink($usersFile)) {
    echo "OK: Die alte Login-Datei wurde gelöscht." . PHP_EOL;
} else {
    echo "FEHLER: Die Datei konnte nicht gelöscht werden." . PHP_EOL;
    echo "Bitte Rechte oder Server-Konfiguration prüfen." . PHP_EOL;
}


Passwort-Verwendung Chaos

Mir ist beim Testen aufgefallen, dass es bei Login-Anwendungen problematisch ist, wenn nur ein Passwort verwendet wird, aber kein Benutzername. Das hatte ich Dir aber schon mehrmals gesagt - jetzt haben wir den Salat.

Das Kernargument ist: Ohne Benutzername fehlt dem Browser und auch der Anwendung eine eindeutige Zuordnung.

Dadurch entsteht genau dieses Autofill-Chaos. Logge ich mich zum Beispiel ein mit

Benutzer: Tester
Passwort: tester

… und gehe zur Passwortänderung steht da:

> im Firefox am "Auge" bei "Altem Passwort" > Tommy123
> im Chrome am "Auge" bei "Altem Passwort" > geheimer_arsch
> im Edge am "Auge" bei "Altem Passwort" > na-ich

Eigentlich sollte bei "altem Passwort" und auch sonst nirgendwo irgendetwas stehen. Das musst Du unbedingt noch ändern!

Das geht gar nicht und ist ein "No-Go" :(

Browser wie Firefox, Chrome oder Edge erkennen Passwortfelder automatisch und speichern diese Zugangsdaten oft im eigenen Passwortmanager. Wenn eine Anwendung nur mit einem Passwort arbeitet, kann der Browser nicht sauber zuordnen, zu welchem Benutzer dieses Passwort gehört. Dadurch werden alte Testpasswörter oder falsche Zugangsdaten später plötzlich wieder automatisch eingetragen.

Genau das ist bei mir passiert: In verschiedenen Browsern erscheinen unterschiedliche gespeicherte Passwörter, die ich in der Anwendung selbst gar nicht mehr finden kann.

Besser ist daher immer die klassische Kombination aus:

Benutzername + Passwort

Dann kann der Browser die Zugangsdaten eindeutig einer bestimmten Domain und einem bestimmten Benutzer zuordnen. Auch für mehrere Benutzer, Passwortänderungen, Admin-Konten und spätere Erweiterungen ist das deutlich sauberer.

Zusätzlich sollten die Formularfelder passende autocomplete-Attribute bekommen, zum Beispiel:

Code: Alles auswählen

<input type="text" name="username" autocomplete="username">
<input type="password" name="password" autocomplete="current-password">
Bei einer Passwort-ändern-Seite entsprechend:

Code: Alles auswählen

<input type="password" name="oldpassword" autocomplete="current-password">
<input type="password" name="newpassword" autocomplete="new-password">
<input type="password" name="newpassword2" autocomplete="new-password">
So kann der Browser besser unterscheiden, ob es um ein bestehendes Login-Passwort oder um ein neu zu vergebendes Passwort geht.

Aus meiner Sicht ist „nur Passwort“ zwar für ganz einfache Schutzseiten bequem, aber für echte Login-Anwendungen mit Admin, Benutzern und Passwortänderung sollte man unbedingt Benutzername + Passwort verwenden.
Volker
Moderator
Moderator
Beiträge: 3113
Registriert: Sa 12. Dez 2020, 22:35

Re: Login Block

Ungelesener Beitrag von Volker »

Moin Tommy,

Tippfehler passieren ;)

Das mit dem User und Passwort Feldern ist eine gute Idee - hau ich gleich rein.

15 Euro ??? Sind die 5 Euro Provision für Dich ? :D

Also ein 10er sagte ich :confused: Finde das ist OK. ;)
Benutzeravatar
Tommy Herrmann
Site Admin
Site Admin
Beiträge: 9127
Registriert: So 6. Dez 2020, 07:37
Wohnort: Berlin
Kontaktdaten:

Re: Login Block

Ungelesener Beitrag von Tommy Herrmann »

Huch - nee 15,00 Euro sind viel zu wenig - 150,00 wären angemessen :tu: (ändere ich)

Ändere das noch mit dem "autocomplete" - damit da nix steht, denn das ist total verwirrend :angst:

Wahrscheinlich müsssen dann alle drei Komponenten nochmals ausgetauscht werden. Bitte gib Bescheid.
Volker
Moderator
Moderator
Beiträge: 3113
Registriert: Sa 12. Dez 2020, 22:35

Re: Login Block

Ungelesener Beitrag von Volker »

Lade bitte nochmal runter und teste bitte ;)
Ich hoffe das jetzt alles stimmt
Benutzeravatar
Tommy Herrmann
Site Admin
Site Admin
Beiträge: 9127
Registriert: So 6. Dez 2020, 07:37
Wohnort: Berlin
Kontaktdaten:

Re: Login Block

Ungelesener Beitrag von Tommy Herrmann »

Das ging mir zu schnell :D

... aber ja - mache ich - alles neu oder?

Melde mich dann.
Benutzeravatar
Tommy Herrmann
Site Admin
Site Admin
Beiträge: 9127
Registriert: So 6. Dez 2020, 07:37
Wohnort: Berlin
Kontaktdaten:

Re: Login Block

Ungelesener Beitrag von Tommy Herrmann »

Immer noch ziemlich durcheinander.

> Nun wird das "Altes Passwort eingeben" zwar das richtige Passwort (nur im vorne falsch groß geschrieben) verwendet - was falsch ist - da sollte nirgendwo irgendwelche Passwörter stehen, alles sollte immer leer gesetzt sein.

> auch beim Login werden immer noch am "Auge" irgendwelche falschen Passwörter angezeigt :angst:

> die "Passwort ändern" Seite kann man aufrufen ohne eingeloggt zu sein :eek: :confused:
Volker
Moderator
Moderator
Beiträge: 3113
Registriert: Sa 12. Dez 2020, 22:35

Re: Login Block

Ungelesener Beitrag von Volker »

Hast du auch alles gelöscht ? Auf dem Server den Ordner ?
Benutzeravatar
Tommy Herrmann
Site Admin
Site Admin
Beiträge: 9127
Registriert: So 6. Dez 2020, 07:37
Wohnort: Berlin
Kontaktdaten:

Re: Login Block

Ungelesener Beitrag von Tommy Herrmann »

Auf dem Server hatte ich nichts gelöscht!

Was soll ich am Server löschen? Diesen Ordner "vn-login":

/assets/vn-login

Das sollte doch überschrieben werden oder nicht.

Bitte bestätige was ich löschen soll.
Volker
Moderator
Moderator
Beiträge: 3113
Registriert: Sa 12. Dez 2020, 22:35

Re: Login Block

Ungelesener Beitrag von Volker »

Ja kompletten ordner vn-login löschen
Benutzeravatar
Tommy Herrmann
Site Admin
Site Admin
Beiträge: 9127
Registriert: So 6. Dez 2020, 07:37
Wohnort: Berlin
Kontaktdaten:

Re: Login Block

Ungelesener Beitrag von Tommy Herrmann »

OK - mache ich (Du bitte nichts machen bevor ich mich melde)
Benutzeravatar
Tommy Herrmann
Site Admin
Site Admin
Beiträge: 9127
Registriert: So 6. Dez 2020, 07:37
Wohnort: Berlin
Kontaktdaten:

Re: Login Block

Ungelesener Beitrag von Tommy Herrmann »

na ja - jetzt heißt es "Verbindungsfehler" (logisch wenn die JSON weg ist).

Ich habe ja alle neuen Komponenten in Mobirise eingebaut - soll ich die Mobirise-Seiten nochmals neu publizieren oder was?

Neu Publizieren nutzt auch nichts :confused:

Was soll ich genau tun ...
Volker
Moderator
Moderator
Beiträge: 3113
Registriert: Sa 12. Dez 2020, 22:35

Re: Login Block

Ungelesener Beitrag von Volker »

JA Tommy, nach Import alle Seiten mit den neuen Böcken aufbauen und neu veröffentlichen. Hier meine Seite: https://www.niederastroth.de/00login/
Benutzeravatar
Tommy Herrmann
Site Admin
Site Admin
Beiträge: 9127
Registriert: So 6. Dez 2020, 07:37
Wohnort: Berlin
Kontaktdaten:

Re: Login Block

Ungelesener Beitrag von Tommy Herrmann »

Habe jetzt das alte (gesicherte) Verzeichnis wieder auf den Server kopiert

Was soll ich jetzt genau machen?


... das hatte ich doch gemacht. Ich habe sämtliiche Blöcke gerade eben neu eingebaut. Nur hatte ich am Server das Verzeichnis "vn-login" nicht gelöscht - hast Du ja nicht gesagt, dass man das machen muss.
Benutzeravatar
Tommy Herrmann
Site Admin
Site Admin
Beiträge: 9127
Registriert: So 6. Dez 2020, 07:37
Wohnort: Berlin
Kontaktdaten:

Re: Login Block

Ungelesener Beitrag von Tommy Herrmann »

wie komme ich auf Deine Seite - Benutzer/Passwort
Benutzeravatar
Tommy Herrmann
Site Admin
Site Admin
Beiträge: 9127
Registriert: So 6. Dez 2020, 07:37
Wohnort: Berlin
Kontaktdaten:

Re: Login Block

Ungelesener Beitrag von Tommy Herrmann »

Soll ich jetzt nochmals alle Blöcke neu einbauen oder was?
Volker
Moderator
Moderator
Beiträge: 3113
Registriert: Sa 12. Dez 2020, 22:35

Re: Login Block

Ungelesener Beitrag von Volker »

Ja sorry ;)

Aber bitte in Zukunft bei Änderungen alles löschen und neu veröffentlichen ;)
Antworten

Wer ist online?

Mitglieder in diesem Forum: struggle, Volker und 4 Gäste