Passwort ungültig / Passwort weiterhin ungültig trotz Reset

[noRiddle (revilonetz)]

Mmh, von wem ist denn das Zitat ?
Ich kann das nicht nachvollziehen.
Ich mache Updates von 1.06 auf 2.0.X immer manuell und habe keine Probleme (seit ich weiß, daß das Passwort-Feld auf VARCHAR(60) stehen muß).

Was ist denn gemeint mit folgendem ?
"werden die Passwörter nicht mehr zurückgesetzt und diese bleiben auf MD5"
Was soll wann zurückgesetzt werden ?
Wenn die Passworte als md5 in der DB stehen werden sie doch mittels der Login-Routine (und der Funktion xtc_validate_password()) beim ersten Login mit dem neuen Hash gespeichert.

Noch Ideen (ich glaube nicht an ein Server-Problem sondern an ein Code-Problem):

Ich weiß ja nicht ob der upgedatete Shop Änderungen im Code hatte und es deshlab beim Update evtl. zu Fehlern kam.
Prüfe doch mal die login.php genau in dem Bereich:

Code: PHP  [Auswählen]

                if (xtc_validate_password($password, $check_customer['customers_password'], $check_customer['customers_id']) !== true) {
                        $messageStack->add('login', TEXT_LOGIN_ERROR);      
                } elseif ($captcha_error === false) {          
                        if (SESSION_RECREATE == 'True') {
                                xtc_session_recreate();
                        }
...

das sah in älteren Shop-Versionen nämlich anders aus, ein Parameter weniger in der Funktion und die Abfrage so

Code: PHP  [Auswählen]

if (!xtc_validate_password($password, $check_customer['customers_password'])) {
...

anstatt wie folgt

Code: PHP  [Auswählen]

if (xtc_validate_password($password, $check_customer['customers_password'], $check_customer['customers_id']) !== true) {
...
}

Da kann schnell mal was schief laufen, z.B. doppelte Verneinung à la

Code: PHP  [Auswählen]

if (!xtc_validate_password($password, $check_customer['customers_password'], $check_customer['customers_id']) !== true) {
...
}

oder ein fehlender Parameter.

Außerdem lasse dir doch in der login.php mal was für TEXT_LOGIN_ERROR ausgeben, wie ich's in einem meiner vorherigen Posts geschrieben habe, um auf jeden Fall auszuschließen, daß das Problem nicht das Passwort ist.

Weiterhin kontrolliere mal bei Login-Fehlversuchen was in der Tabelle customers_login hochgezählt wird. Ich hatte nämlich mal Doppel-Ausführungen von Code in der login.php wegen leerer HTML-Elemente eines Javascript-Sliders (habe ich ausführlich im Experten-Forum beschrieben wo du leider keinen Zugriff drauf hast). Will sagen: nach einem Login-Fehlversuch standen die customers_login_tries in genannter Tabelle bereits auf 2, beim zweiten Versuch auf 4, usw..
Die Ursache kann sein, wie gesagt, leere src-tags von img-Elementen und Ähnliches.
Sehr dubios und nicht ursächlich gelöst ist warum dann Teile der PHP-Datei doppelt ausgeführt wurden, was ich mit den Query-Logs eindeutig nachweisen konnte.

Wenn du möchtest können wir morgen mal per Team-Viewer zusammen schauen.

Gruß,
noRiddle

[awids]

Mmh, von wem ist denn das Zitat ?
Ich kann das nicht nachvollziehen.
Ich mache Updates von 1.06 auf 2.0.X immer manuell und habe keine Probleme (seit ich weiß, daß das Passwort-Feld auf VARCHAR(60) stehen muß).

Was ist denn gemeint mit folgendem ?
"werden die Passwörter nicht mehr zurückgesetzt und diese bleiben auf MD5"
Was soll wann zurückgesetzt werden ?
Wenn die Passworte als md5 in der DB stehen werden sie doch mittels der Login-Routine (und der Funktion xtc_validate_password()) beim ersten Login mit dem neuen Hash gespeichert.

Moin,

hab gar nicht registriert, dass jemand geantwortet hat. (Mein wichtigster Beitrag hier und ich abonniere ihn nicht.  )

Das Zitat stammt vom All-inkl.com-Support. Ich mag der Aussage aber nicht wirklich glauben. Schließlich habe ich ja die update.php ausgeführt. Und die xtc_validate_password.inc.php sollte ja eigentlich dann auch funktionieren, unabhängig vom Update. Tut es aber nicht.

Ich habe alle betreffenden Dateien, die etwas mit Passwörtern und Logins zu tun haben durch unveränderte Dateien aus der Vollversion 2.0.2.2 ersetzt und dementsprechend sind die Code-Zeilen hier auch alle up-to-date.

Die Tabelle customers_login war wirklich interessant:

[ Für Gäste sind keine Dateianhänge sichtbar ]

Hab da offen gestanden noch nie rein geguckt, aber kann mir nach dem Blick da rein auch nicht vorstellen, dass jemand sich so oft anmelden wollte. Also könnte es schon fehlerhaft ausgeführten Code geben. Nur - sofern ein Konto nicht dauerhaft nach X Login-Fehlversuchen automatisch gesperrt werden würde, was mir absolut neu wäre - kann ich mir nicht vorstellen, dass diese Probleme miteinander zusammen hängen.

LG Alex

[noRiddle (revilonetz)]

Da es von Ferne schwer ist zu beurteilen und man viele Worte braucht wiederhole ich mein Anhebot:
Wenn du möchtest können wir mal per Team-Viewer zusammen schauen.

Wenn du das nicht möchtest oder das nicht geht,
geh' schrittweise vor:

• Lege ein Admin-Konto an oder benutze ein vorhandenes (am Besten nicht den Super-Admin).
• Generiere ein einfaches Passwort mittels online-md5 und kopiere den Hash per phpMyAdmin in die DB.
  (Der Shop müsste ja dann bei Login dich reinlassen und den neuen Hash kreieren.)
• Aktiviere die Query-Logs im Backend vor dem ersten Login-Versuch.
• Generiere eine gesonderte Ausgabe als Fehlermeldung für den Fall if(xtc_validate_password... in der login.php vor dem ersten Login-Versuch.
• Wenn der Shop dich nicht reinlässt:
  
  • Welche Fehlermeldung kommt, deine generierte oder die Standard-Meldung ?
  • Was sagen die Query-Logs ?
  • Was sagt die Tabelle customers_login nach dem ersten Versuch ?

Gruß,
noRiddle

[awids]

Danke für dein Angebot, aber ich glaube, ich hab den Fehler nun gefunden. 

Ich scheine bei einem Template-Update Anfang des Jahres vergessen zu haben, die Template-Datei "account_password.html" zu überschreiben, bzw. diese an den aktuellen Stand der Template-Version anzupassen.  Diese wird ja auch beim Neusetzen des Passwortes geladen (zumindest im Alkim-Bootstrap-Template). Hier war ein Fehler bei einem im Klartext eingetragenen <form>-Tag (statt {$FORM_ACTION}), der bereits seitens Alkim korrigiert wurde, aber den Weg nicht zu uns fand.

Ich markiere diesen Beitrag vorläufig als gelöst. Danke an alle Mitwirkenden. 

[noRiddle (revilonetz)]

Uppps, jau, manchmal ist es ganz einfach und man kommt nicht drauf.
Dann hast du ja jetzt ein paar Kopfschmerzen weniger.
Viel Erfolg weiterhin.

Gruß,
noRiddle

[Timm]

Schön, dass es endlich gelöst ist. Da hatte man schon ehrlich etwas Mitleid beim lesen, dass dir keiner helfen konnte, wo du hier soviel Input für andere gibt’s.

Dann hat du ja jetzt vielleicht Zeit für dein Modul

Gruß Timm

[awids]

Dann hat du ja jetzt vielleicht Zeit für dein Modul

Tatsächlich komme ich dem nur näher, denn noch hab eine eine kleine Baustelle zu meistern und die heißt Actindo. Ich sehe es nicht, dass ich denen 3 x 240 EUR in den ***** schiebe, nur weil die keine kompatible Schnittstelle für modified anbieten wollen.