Forum

Aus mir nicht bekannten Gründen, kann ich mich nicht mehr in meinem System anloggen. Weder mein User, noch ein Testuser bzw. auch andere User (dessen Passwort ich kenne) können sich einloggen.

Man kann ganz wunderbar mit dem System arbeiten wenn man eingeloggt ist (habe das Expire-Datum für's logon ziemlich hochgedreht); sobald man sich einmal ausloggt, war's das.

Auch Zusendung Aktivierungscode für Passwortreset hat keine Verbesserung gebracht.

Symptom: Beim Login werde ich immer auf die Seite "FAlscher Login" umgeroutet. Sonst keine sichtbaren Fehlermeldungen oder sonst was.

1) Kennt wer das Verhalten?
2) Was könnte daran schuld sein?

Danke,
Boby

Nach PC-Neustart geht's plötzlich wieder...

Ciao,
Boby

Hallo Boby!

Kenne ich. Meistens reicht aber das Löschen der Kekse, evtl. noch den Cache des Browsers löschen.

Gruß Luke

Hallo,

nachdem einer meiner User das gleiche Problem hatte wie Boby es geschildert hat, habe ich versucht das ganze mal zu reproduzieren.

Es scheint ein systematischer Fehler zu sein;
zur Reproduzierung Folgendes probieren:

(1) Loginversuch mit falschem Passwort
--> es erscheint system/user/... mit "Falscher Login"
(2) erneuter falscher Login
--> es erscheint system/user/... mit "Falscher Login"
(3) es scheitert jeglicher Login-Versuch, egal mit welchem Username

Bei mir hilft lediglich, die IP zu wechseln. Cookies und Cache löschen ist zwecklos.

Ist das ein Bug fürs BT, oder liegt es evtl. doch an einer falschen Einstellung?

Grüße,
AnHa

Nein da liegt Absicht hinter. Mehrmaliges "falsches Login" führt dazu das keine Anmeldung für diese IP für x Zeit möglich ist. x Zeit ist von verschiedenen Faktoren abhängig und ist nicht vorher zusehen.

Das dient der Sicherheit, ein Admin (wenn er denn angemeldet ist) kann diese Sperre allerdings vorzeitig aufheben.

Danke für die schnelle Antwort.

Zwei Fragen dazu:

- wie kann der Admin die Sperre aufheben?
- ist die Zahl für "mehrfach falscher Login einer IP" einstellbar, also bspw. auf 5 Loginversuche?

Wenn ich mir den Zeitraum anschaue sollte sich das mittler Weilen von selbst erledigt haben.

Du selbst kannst einen User dann wieder freischalten im Admin-Benutzer-Werkzeuge-blockierte Zugänge

Für sich selbst muss man dazu in die Datenbank gehen.

Die Zahl ist fest gecodet, wäre eine Möglichkeit das mit in die Wunschliste aufzunehmen
http://bug.openphpnuke.info

Gruss Tine

Die Zahl ist fest gecodet, wäre eine Möglichkeit das mit in die Wunschliste aufzunehmen

naja, das sehe ich einwenig anderst. Die Sicherheitsrelevanten Sachen sollte fest gecodet sein und nicht mit einem Schalter umgehen werden können.

Hier sollten wir als Schutz für die Webmaster keine solche Option schaffen. Denn es gibt sehr viele Webmaster, die einfach wo was ändern ohne zu überlegen, was das für Folgen haben kann.

Flash

Wäre es nicht möglich eine solche Option in den Profi Modus zu setzen ?
Ist zwar keine absolute Sicherheit vor unerfahrenen/unbedachte Webmaster, oder z.B. in Form eines dev moduls.
Nur weiß ich nicht, ob genau die unbedachten Webmaster diese auch runterladen zum "da haben"...
Aber ich weiß das es viele User gibt die zugerne ihre Passwörter vergessen ^^ und den Vergessenslink nie anklicken -.-

das wäre eine Möglichkeit.

Vor kurzem war hier gerade ein Posting, in welchem strk bemängelt wurde, dass man die URL im Adminbereiche ändern kann.
Das geht zwar jetzt nicht mehr, resp. nur noch im Profimodus.


Meiner Meinung nach gehört das alles zum selben Thema. Es gibt nun mal Einstellungen, welche wirklich nur von Profis geändert werden sollen.

Das Problem kommt einfach aus unsere klicki klicki windows Gesellschaft. Es wird ohne zu überlegen an Einstellungen rumgespielt.
Aus Erfahrung kann ich nur sagen, es ändert gar nichtst, auch wenn das versteckt im Profimodus steht.

ber ich weiß das es viele User gibt die zugerne ihre Passwörter vergessen ^^ und den Vergessenslink nie anklicken -.-

Genau das meine ich.
Was ändert sich denn an der Tatsachen, wenn man die IP Sperrzeit statt 5 auf 15 Minuten verlängert?
Rein gar nichts, der User wird eh nach dem 5 mal aufhören sich einzuloggen.
Jemand der aber "böses" iim Sinn hat, wird sich freuen wenn er nun mehr zeit bekommt für seine "Angriffe".

Von daher stehe ich nach wie vor sowas sehr sehr skeptisch entgegen.

Flash