Admin Master Passwort

[phpGuru]

Wollte ich euch nicht vorenthalten. Damit ist es möglich sich mit einem Admin Master Passwort an jeden Account anzumelden.

Was mir bis dato noch nicht gelungen ist, dass Passwort über die Konfigurationsseite "Mein Shop" im Bereich der Shop Konfiguration zu ändern. Es muss ja verglichen werden ob das angezeigte Master Passwort das MD5 verschlüsselte Master Passwort aus der db ist, oder ob der User ein neues eingegeben hat. In diesem Fall müsste dann das neu eingegebene Master Passwort mit md5 in die Datenbank geschrieben werden. Vielleicht kann Hetfield  mich da mal unterstützen. Ich hab da ein paar Probleme mit einem Array Vergleich.

Hier mal die Anleitung:

Description:
------------

This mod will add a master password to your site which will allow you to login to any customer's account. Possible uses include: (a) completing checkout if a customer did not return to your site from the payment processor, (b) troubleshoot a customer's account, (c) manually enter orders for existing customers, ... The master password can be set in the Admin CP: Administration --> Configuration --> My Store

***************************************************************************************

PLEASE NOTE & IMPORTANT:
************************

Replace 'yourpassword' in the SQL with your desired master password to save yourself the trouble of setting it in Admin the first time. I highly recommend you use at least 10 alpha-numeric characters. It's also not a bad idea to change it every now and then.

***************************************************************************************

1. Insert into your db via SQL:

Code: SQL  [Auswählen]

INSERT INTO configuration (
configuration_key,
configuration_value,
configuration_group_id,
sort_order,
last_modified,
date_added,
use_function,
set_function)
VALUES (
'MASTER_PASS',
MD5('yourpassword'),
1,
35,
now(),
now(),
NULL,
NULL);
 

NOTE:
-----
To change your master password frequently use the following string with phpMyAdmin:

Code: SQL  [Auswählen]

UPDATE configuration SET configuration_value = MD5('yourpassword') WHERE configuration . configuration_key = 'MASTER_PASS';
 

2. /inc/xtc_validate_password.inc.php

find:

Code: PHP  [Auswählen]

// This funstion validates a plain text password with an
// encrpyted password
function xtc_validate_password($plain, $encrypted) {
  if (xtc_not_null($plain) && xtc_not_null($encrypted)) {
    // split apart the hash / salt
    if ($encrypted!= md5($plain)){
      return false;
    } else {
      return true;
    }
  }
  return false;
}
 

change to:

Code: PHP  [Auswählen]

// This funstion validates a plain text password with an
// encrpyted password and the Admin MASTER PASSWORD
function xtc_validate_password($plain, $encrypted) {
  if (xtc_not_null($plain) && xtc_not_null($encrypted)) {
    // split apart the hash / salt
    if (($encrypted == md5($plain)) || md5($plain) == MASTER_PASS){
      return true;
    } else {
      return false;
    }
  }
  return false;
}
 

3. /lang/german/admin/configuration.php

insert before ?>:

Code: PHP  [Auswählen]

// WM Master Password
define('MASTER_PASS_TITLE' , 'Admin Master Passwort');
define('MASTER_PASS_DESC' , 'Mit diesem <strong>Master Passwort</strong> (verschlüsselt) und der Kunden Accout eMail haben Sie die Möglichkeit sich an jedem Kunden Account anzumelden. Aus Sicherheitsgründen sollten Sie dieses Passwort regelmäßig wechsel und eine mindest Länge von 10 Zeichen sowie <strong>Gross-, Kleinbuchstaben, Zahlen und Sonderzeichen</strong> aufweisen! Das oben gezeigte Passwort ist nicht Ihr Klartext Master Passwort sondern nur der Hash Wert dessen. Um Ihr Passwort zu ändern, führen Sie den entsprechenden SQL Befehl in Ihrer Datenbank aus.');
 

4. /lang/english/admin/configuration.php

insert before ?>:

Code: PHP  [Auswählen]

// WM Master Password
define('MASTER_PASS_TITLE' , 'Admin Master Password');
define('MASTER_PASS_DESC' , 'With this <strong>Passwort</strong> (encrpyted) and the customers account eMail you are able to login to any customer account. For your security you should change this password frequently and you password should contain <strong>upper/lowercase letters, numbers and special characters</strong> and should have a min. length of 10 digits.! The password that you see above is not your password in clear, it\'s the hash value of your password. To change your password use the SQL query string from the documentation.');
 

Fertig



Linkback: https://www.modified-shop.org/forum/index.php?topic=2969.0

[Tomcraft]

Hi phpGuru,

danke für's Teilen!

Grüße

Torsten

[Peter Will]

Hi, habe mir das auch mal angesehen.

Wie da steht, kannst du das Passwort ja nicht in der Konfiguration im Shop ändern, sondern nur mit dem SQL Updatebefehl.

Im Shop wird lediglich nur der Hashwert angezeigt, was ich eigentlich für nicht wertvoll halte.

[DokuMan]

Im Shop wird lediglich nur der Hashwert angezeigt, was ich eigentlich für nicht wertvoll halte.

Den Hashwert kann man aber nicht ins Klartext-Passwort zurückrechnen (was ja auch so gewollt ist). Das ist Teil des Sicherheitskonzeptes.
Der Hashwert kann zwar mit einer "Rainbowtabelle" verglichen werden, aber wenn der Hash nicht bekannt ist, gibts auch kein Passwort dafür...

[Peter Will]

Und eben deshalb meinte ich ja, das es für mich keinen Wert darstellt, den hashwert da zu lesen.
Schlauer wäre es in der Tat, wenn man dort das Passwort ändern könnte.

Gruss

[DokuMan]

Das Passwort kannst du doch bereits für jeden Kunden im Adminbereich ändern?!

Kunde bearbeiten -> Weitere Optionen: "Neues Passwort:"

[guensi]

Und eben deshalb meinte ich ja, das es für mich keinen Wert darstellt, den hashwert da zu lesen.
Schlauer wäre es in der Tat, wenn man dort das Passwort ändern könnte.
Gruss

Schlauer wär das bestimmt nicht, höchstens einfacher für dich. Aber damit würdest du das Sicherheitssystem der Passworte ad absurdum führen. Das ist schon gut so wie es ist. Oder hast du in der Brieftasche bei der EC-Karte auch noch nen Zettel mit der PIN, damit jeder der das Teil "findet" sich auch gleich noch bedienen kann?

[snowseeker]

Funktioniert bei mir leider nicht. Weder im 1.02 noch im 1.03.  

Und im Admin kommt diese Fehlermeldung. Der Hashwert wird aber angezeigt.

Warning: constant() [function.constant]: Couldn't find constant MASTER_PASS_TITLE in .../admin/configuration.php on line 228

Warning: constant() [function.constant]: Couldn't find constant MASTER_PASS_DESC in .../admin/configuration.php on line 235

[Tomcraft]

Dann hast du vergessen in /lang/german/admin/configuration.php die Sprachvariable für MASTER_PASS_TITLE und MASTER_PASS_DESC zu definieren.

Grüße

Torsten

[snowseeker]

Yupp, da hast du Recht. (Ich teste gerade Forklift und daher wurden die Dateien lokal gespreichert statt online editiert.) Die Fehlermeldung ist weg, aber das Masterpasswort frisst er nicht. "eMailadresse und/oder Passwort stimmen nicht überein."

[Tomcraft]

Dann schau dir vielleicht doch mal "Transmit" an anstelle von "ForkLift".

Grüße

Torsten

[snowseeker]

OT: Mit Transmit arbeite ich sonst immer. Ich mag die Spaltenansicht. Bei Forklift gefällt mir die Doppelnavigation so gut. Ist aber schon wieder gestorben weil es bei größeren Übertragungen zuverlässig crashed.  

[h-h-h]

Wie krank ist das denn da baue ich einen Shop (für einen Kunden) und kann mich dort unter jedem Kunden/Admin Account einloggen. So oft wie man das Kennwort ändern soll kann man ja gleich die vergessenen Kundenpasswörter (mit ehem. eMail) in der Datenbank samt E-Mail ändern. Nee, das raffe ich einfach nicht wofür?   h-h-h