Änderung von Benutzerpasswort über Website

    Hallo,


    ich habe folgende Email von einer unbekannten Person erhalten.


    Zitat

    'Sehr geehrter Leser dieser E-Mail,


    die Seite bietet die Möglichkeit das Passwort des Kontos zu bearbeiten

    Sollte Sie darüber keine Kenntnis haben und das Problem beheben wollen, das simple entfernen einiger URL-Endungen, dem "&Itemid=101" ließ mich zum Bearbeitungsmodus vorstoßen. Eventuell sollte dieser entfernt oder besser geschützt werden.

    MfG

    Es handelt sich um folgende Website:


    gymnasium-oschersleben.de



    Kann mir bitte jemand erklären wie das

    möglich ist? Was er meint? Was ich jetzt ändern muss damit das nicht mehr möglich ist?


    Ich habe bereits auf der Website herumgeguckt und gesehen das wenn man im Menüpunkt 'Vertretungsplan' über 'Benutzername vergessen' oder 'Passwort vergessen' hovert - Joomla einen Link aufruft der den Suffix '&ItemId=101' hat nach dem entfernen, möchte Joomla das man die Email des Accounts eingibt. Diese ist allerdings fiktiv. Und es passiert nichts - das Passwort bleibt unverändert.

    Das müsste jetzt der Schreiber doch genauer definieren. Was ist denn das Problem dabei, wenn ein User sein Passwort ändern kann? Eigentlich ist das sogar gut so, wenn User ihr Passwort immer mal wieder erneuern. Die wenigsten machen das. Halt unpraktisch.


    Und sollte es um ein konto gehen, dass mehrere User verwenden, wo dann jemand die anderen durch Änderung aussperrt, ist das grundlegend eh eine schlechte Idee.


    Ich hab dam mal ein Plugin geschrieben: https://www.ghsvs.de/programmi…ten-nicht-aendern-duerfen

    (Download am Ende der Seite.)


    Es verhindert zwar nicht, dass jemand ins Bearbeitungs-Layout kommt, wenn er angemelkdet ist, aber alle "Änderungen" werden geblockt. Zu blockende User kann man im Plugin einstellen.


    Wenn ein nicht angemeldeter Benutzer in irgendein Bearbeitungs-Layout kommt... gut, dann ist das vermutlich ein Problem, wenn der dann irgendwas unerlaubt bearbeiten kann.


    Den Account nutzen die Schüler um sich Zugang zum Vertretungsplan zu verschaffen -> alle Schüler ein Account

    Deswegen ist es ein großes Problem das über das FrontEnd überhaupt Passwörter verändert werden können.

    Wir geben zum Anfang jedes Schuljahres einen neuen Login raus, mit dem sich die Schüler anmelden können.


    Der Acccount den die Schüler haben, besitzt eigentlich gar keine Rechte und sollte auch nix bearbeiten dürfen.

    Ein angemeldeter Benutzer kann seitens Joomla immer im Frontend seine Benutzerdaten ändern. Siehe meinen einleitenden Texte unter dem Link von mir, warum ich mich zu diesem Plugin entschlossen habe.

    Zitat

    Joomla bietet bzgl. Profiländerungen diverse Wege und Schliche, was das Blockieren ohne Plugin entsprechend aufwendig macht. Man muss an mehreren Code-Stellen ansetzen, für mehrere Dateien Overrides erstellen oder in der Datenbank einen so genannten Trigger anlegen, der aber das Speichern von Nutzerdaten auch für SuperUser blockiert, also auch der Administrator muss den Trigger erst wieder entfernen, bevor er die "getriggerten" Benutzerdaten ändern kann, dann den Trigger wieder anlegen. Zwischenzeitlich ist die Blockierung nicht mehr aktiv und es kann doch wieder ein Spielkind was ändern. Nervt irgendwann.

    Es gibt also weitere Möglichkeiten, die aber aufwendiger sind, wenn nur 1, 2, 3 Accounts blockiert werden sollen.

    Mal eine ketzerische Frage,

    Warum sind das Informationen, die nur Passwortgeschützt angezeigt werden können?

    Wenn es aber unbdeingt geschützt sein muss, ist es ggf. einfacher die Daten durch ein Verzeichnisschutz vor unbefugtem Zugriff zu schützen.

    Habe das Plugin installiert und hoffe das Problem ist damit gelöst.


    Aber mal rein Informativ:


    Wenn ich beim anmelden auf Passwort vergessen drücke fragt er ja nach der Email die im Backend hinterlegt ist und schickt zum ändern des Passwortes einen Link oder so.

    Im Backend habe ich allerdings da nur Kauderwelsch eingegeben - also existiert quasi keine Email dafür.

    Wie kann man dann trotzdem die Benutzerdaten ändern ?

    Zitat von Lui_brempt

    Mal eine ketzerische Frage,

    Warum sind das Informationen, die nur Passwortgeschützt angezeigt werden können?

    Wenn es aber unbdeingt geschützt sein muss, ist es ggf. einfacher die Daten durch ein Verzeichnisschutz vor unbefugtem Zugriff zu schützen.

    Wegen Datenschutz, dürfen zb Namen der Vertretungslehrer nicht anzeigen.

    Zitat von qoubo

    Wie kann man dann trotzdem die Benutzerdaten ändern ?

    Durch Eingabe eines direkten Links im Frontend. Ich schätze (habe gerade kein passendes Joomla zum Testen) z.B.

    Code
    www.examplae.org/index.php?option=com_users&view=profile&layout=edit

    sollte im Frontend für angemeldeten Benutzer sein Profil anzeigen.


    Es gibt mehrere Varianten, die irgendwie in Frage kommen könnten. Je nach Joomla-Seite.

    Zitat von qoubo

    Wenn ich beim anmelden auf Passwort vergessen drücke fragt er ja nach der Email die im Backend hinterlegt ist und schickt zum ändern des Passwortes einen Link oder so.

    Im Backend habe ich allerdings da nur Kauderwelsch eingegeben - also existiert quasi keine Email dafür.

    Wie kann man dann trotzdem die Benutzerdaten ändern ?

    Auch hier "habe gerade kein passendes Joomla zum Testen". Ich weiß nicht genau wie das Prozedere in Joomla im Hintergrund abläuft. Ob vielleicht durch so eine Aktion der User in der Datenbank blockiert wird. Egal, ob nun Email geschickt wird oder nicht. Eigentlich wärs ja blöd, wenn dem so wäre ;) Ich weiß es halt nicht gewiss.

    Zitat von qoubo

    Habe das Plugin installiert und hoffe das Problem ist damit gelöst.

    Einfach ausprobieren. Wenn du die Einstellungen so gesetzt hast, dass du im Backend als Super Admin das betr. Konto trotzdem ändern darfst oder generell aus Backend erlaubt ist, kannst ja die Daten wieder zurücksetzen, falls du jetzt wider Erwarten doch was ändern darfst.


    Wenn's nicht funktioniert, gib Rückmeldung. Dann korrigiere ich das.