Probleme beim Kunden-Login nach UTF8-Umstellung

[cayuco]

Ich habe meinen Shop Vers. modified-shop_1.06-r4642 nach utf-8 umgestellt. Hat soweit alles wunderbar geklappt - dank der verständlichen Anleitungen hier und im Wiki.

Nun haben seit einiger Zeit meine Kunden Probleme wenn Sie sich einloggen wollen. Offenbar werden die Passwörter nicht richtig abgespeichert. Soll heißen, sie werden abgespeichert, aber möglicherweise falsch.

Allerdings habe ich auch an den Kundengruppen gearbeitet, so dass auch hier der Fehler liegen kann.

Hätte jemand eine Idee, was ich tun könnte, um hier Abhilfe zu schaffen? Oder könnte hier jemand Abhilfe schaffen. Würde mich über Hilfe freuen - nicht zwingend gratis.
Vielen Dank schon mal.

Linkback: https://www.modified-shop.org/forum/index.php?topic=33577.0

[cayuco]

Schade, ich hatte gehofft das hier jemand aus dem Forum helfen könnte. Dann muss ich mich wohl anderweitig umsehen.

[Viol]

Hallo,
kann es sein, dass die Kunden, deren Passwörter nicht angenommen werden, Umlaute in den Passwörtern genutzt haben?

[swolfram [templatix]]

Leider fehlt im Wiki wohl ein Hinweis darauf, dass man auch in den configure.php Dateien ganz unten die Datenbank-Anbindung auf UTF8 umstellen muss. Darin könnte also auch eine Ursache liegen bei Dir.

Am besten dann auch selber testen als "Fränky Möller" mit Passwort "Dornrößchen" 
Dann weiß man ob die Umlaute Schuld sind

[pq]

Hab den Thread bereits vor der Umstellung meines Shops verfolgt und deshalb auch vor der Umstellung mal einen Testaccount mit Passwort "ü" angelegt.
Nach dem Update auf utf8 (auch in der config.php) konnte ich mich mit dem alten Passwort nicht mehr anmelden. Der MD5 hash wird wohl ein anderer sein, als mit utf8.
Da das Problem auch meine Kunden haben werden, habe ich die xtc_validate_password geändert zu:

Code: PHP  [Auswählen]

  function xtc_validate_password($plain, $encrypted) {
    if (xtc_not_null($plain) && xtc_not_null($encrypted)) {
      // split apart the hash / salt
      if ($encrypted== md5($plain)){
            return true;
      } else {
        $plain = mb_convert_encoding($plain, "ISO-8859-15", "UTF-8");
        if ($encrypted== md5($plain)){
              return true;
        } else {
              return false;
        }
      }
    }
    return false;
  }

Ich prüfe also zusätzlich noch, ob das Passwort dann stimmt, wenn man es wieder  nach ISO-8859-15 zurückwandelt und dann den hash bildet.

Ist mehr ein Workaround, aber es funktioniert.

[web28]

Das mit den unterschiedlichen Hashwerten bein den Passwörtern kann ich bestätigen, danke für den Tipp

PW = 'testüser'

MD5 Hash ISO:

1c06c956026cf6c3b8df27d06ddcbbdf

MD5 Hash UTF-8:

77191bea3d9ab4f7c20afc98d785f40d

Habe dafür ein Ticket eröffnet.

Gruss Web28

[karsta.de]

@pq
Habe dein Script ebenfalls getestet und funktioniert super.
Aber dabei ist mir ein weiterer Fehler aufgefallen. Hat der Kunde eine Mail-Adresse mit einem Umlaut (was ja inzwischen möglich ist) kommt die Fehlermeldung: Ihre eingegebene E-Mail-Adresse ist fehlerhaft.

Habe es ebenfalls im neuen modified-shop 2.00 Demoshop getestet und auch hier wird ein Umlaut in der Mail-Adresse als Fehler ausgegeben.

[cayuco]

Vielen Dank an alle, die behilflich waren. Besonderen Dank an pq - genau das war es. Nun funtzt es wieder.

 

[webald]

@web28:
Hast Du auch die Umstellung auf UTF-8 in modified 2.0 getestet? Dort wird ja nicht mehr mit md5 verschlüsselt. Allerdings wird es folgendes Szenario geben:
Shop 1.06 auf 8859-15 wird umgestellt auf 2.0 mit 8859-15 => Alte Accounts mit altem MD5-Passwort
Meldet sich der Kunde nun an wird auf auf die neue Verschlüsselung (SHA) umgestellt => soweit kein Problem

Nun wird Shop 2.0 von 8859-15 auf UTF-8 umgestellt.
Es gibt in der DB nun u. U. folgende Versionen an Passwörtern:
- 8859-15 mit MD5
- 8859-15 mit SHA
- UTF-8 mit SHA (so sollten alle am Ende aussehen)

Hast Du das auch alles getestet?

[webald]

Habe es ebenfalls im neuen modified-shop 2.00 Demoshop getestet und auch hier wird ein Umlaut in der Mail-Adresse als Fehler ausgegeben.

Habe da mal ein Ticket draus gemacht (https://trac.modified-shop.org/ticket/680#ticket)

[web28]

Passwörter:

Ich habe nur getestet ob die MD HASH unterschiedlich sind.
Auch beim neuen Verschlüsselungsverfahren sind die Werte verschieden.

Das Passwort muss also bei einem UTF-8 Shop zweimal überpüft werden

Emailadressen:
Zur Zeit werden nur Emailadressen ohne Umlaute akzeptiert.
Die Frage ist ob das die Emailprogramme und Server problemlos beherrschen.
Wäre blöd, wenn der Shopkunde aufgrund der Umlaute keine Emails zugestellt bekommt.

Gruss Web28

[Fakrae]

Ich hab da noch eine Frage: Wäre es nicht sinnvoll, die Funktion etwas zu erweitern?
"Wenn altes ISO-Passwort, aber korrekt: Ändere Hash in der Datenbank auf UTF-8-Passworthash"?
Auf diese Art würden doch nach und nach die Passwörter in der Datenbank korrigiert werden und nach 1-2 Jahren, beim nächsten Shop-Update, müsste man die xtc_validate_password nicht mehr anfassen, weil alle (relevanten) Passwörter mittlerweile als UTF-8 vorliegen.

[0815]

Gibt's zu diesem Thema schon eine endgültige Lösung?

Auf UTF-8 habe ich heute nach bereits umgestellt und würde deshalb vorerst mal den o.g. Code austauschen.
Als nächstes möchte ich aber noch die Passwortverschlüsselung von MD5 auf eine aktuellere Verschlüsselung umstellen. Ich nehme an, dann muss der o.g. Code neu angepasst werden, oder?