Forum

Und wie wäre es mit einer (abschaltbaren) Option, dem Webmaster per Mail zu schicken "User xxxx mit IP ....." wurde soeben gesperrt?

Auch auf das wurde aus Sicherheitsgründen verzischtet. Wenn ich in ein System einbrechen würde, achte ich auf die Reaktion. Wenn IP Sperre vorhanden kommen würde, könnte ich bestimmte Rückschlüsse ziehen.

Ich kann die Argumente von Flash gut nachvollziehen und finde es sehr gut, dass bei OPN die Sicherheit ganz weit oben ist.

Allerdings denke ich, dass bei der IP-Sperre auch ein eindeutiger Hinweis für den User erscheinen sollte. Auf meinem (Test-)Portal war es so, dass ein User sich nicht mehr genau an sein Passwort erinnern konnte, und es mehr als zweimal falsch eingegeben hat. Dann hat er sich ein neues schicken lassen, hatte aber natürlich keine Chance mehr, sich einzuloggen. An dieser Stelle wäre ein Hinweis wie "Login für deine IP für .. Minuten gesperrt" angebracht.

AnHa

das wäre eine Möglichkeit.

Vor kurzem war hier gerade ein Posting, in welchem strk bemängelt wurde, dass man die URL im Adminbereiche ändern kann.
Das geht zwar jetzt nicht mehr, resp. nur noch im Profimodus.


Meiner Meinung nach gehört das alles zum selben Thema. Es gibt nun mal Einstellungen, welche wirklich nur von Profis geändert werden sollen.

Das Problem kommt einfach aus unsere klicki klicki windows Gesellschaft. Es wird ohne zu überlegen an Einstellungen rumgespielt.
Aus Erfahrung kann ich nur sagen, es ändert gar nichtst, auch wenn das versteckt im Profimodus steht.

ber ich weiß das es viele User gibt die zugerne ihre Passwörter vergessen ^^ und den Vergessenslink nie anklicken -.-

Genau das meine ich.
Was ändert sich denn an der Tatsachen, wenn man die IP Sperrzeit statt 5 auf 15 Minuten verlängert?
Rein gar nichts, der User wird eh nach dem 5 mal aufhören sich einzuloggen.
Jemand der aber "böses" iim Sinn hat, wird sich freuen wenn er nun mehr zeit bekommt für seine "Angriffe".

Von daher stehe ich nach wie vor sowas sehr sehr skeptisch entgegen.

Flash

Wäre es nicht möglich eine solche Option in den Profi Modus zu setzen ?
Ist zwar keine absolute Sicherheit vor unerfahrenen/unbedachte Webmaster, oder z.B. in Form eines dev moduls.
Nur weiß ich nicht, ob genau die unbedachten Webmaster diese auch runterladen zum "da haben"...
Aber ich weiß das es viele User gibt die zugerne ihre Passwörter vergessen ^^ und den Vergessenslink nie anklicken -.-

Die Zahl ist fest gecodet, wäre eine Möglichkeit das mit in die Wunschliste aufzunehmen

naja, das sehe ich einwenig anderst. Die Sicherheitsrelevanten Sachen sollte fest gecodet sein und nicht mit einem Schalter umgehen werden können.

Hier sollten wir als Schutz für die Webmaster keine solche Option schaffen. Denn es gibt sehr viele Webmaster, die einfach wo was ändern ohne zu überlegen, was das für Folgen haben kann.

Flash

Wenn ich mir den Zeitraum anschaue sollte sich das mittler Weilen von selbst erledigt haben.

Du selbst kannst einen User dann wieder freischalten im Admin-Benutzer-Werkzeuge-blockierte Zugänge

Für sich selbst muss man dazu in die Datenbank gehen.

Die Zahl ist fest gecodet, wäre eine Möglichkeit das mit in die Wunschliste aufzunehmen
http://bug.openphpnuke.info

Gruss Tine

Danke für die schnelle Antwort.

Zwei Fragen dazu:

- wie kann der Admin die Sperre aufheben?
- ist die Zahl für "mehrfach falscher Login einer IP" einstellbar, also bspw. auf 5 Loginversuche?

Nein da liegt Absicht hinter. Mehrmaliges "falsches Login" führt dazu das keine Anmeldung für diese IP für x Zeit möglich ist. x Zeit ist von verschiedenen Faktoren abhängig und ist nicht vorher zusehen.

Das dient der Sicherheit, ein Admin (wenn er denn angemeldet ist) kann diese Sperre allerdings vorzeitig aufheben.

Hallo,

nachdem einer meiner User das gleiche Problem hatte wie Boby es geschildert hat, habe ich versucht das ganze mal zu reproduzieren.

Es scheint ein systematischer Fehler zu sein;
zur Reproduzierung Folgendes probieren:

(1) Loginversuch mit falschem Passwort
--> es erscheint system/user/... mit "Falscher Login"
(2) erneuter falscher Login
--> es erscheint system/user/... mit "Falscher Login"
(3) es scheitert jeglicher Login-Versuch, egal mit welchem Username

Bei mir hilft lediglich, die IP zu wechseln. Cookies und Cache löschen ist zwecklos.

Ist das ein Bug fürs BT, oder liegt es evtl. doch an einer falschen Einstellung?

Grüße,
AnHa