Passwortänderung: Länge des alten Passworts wird überprüft

[flod]

modified eCommerce Shopsoftware 1.05: Beim Ändern des Passworts wird auch die Länge des alten Passworts geprüft und eine Fehlermeldung ausgegeben, falls es zu kurz ist (account_password.php, Z.39ff).

Ein zu kurzes Passwort kann z.B. durch die Synchronisation der Kundendaten mit einem externen Programm die Datenbank kommen. Meiner Meinung nach gibt es keinen Grund, das Ändern eines zu kurzen Passworts verhindern zu wollen (ganz im Gegenteil).



Linkback: https://www.modified-shop.org/forum/index.php?topic=12018.0

[Tomcraft]

Da hast du Recht, das sollte wirklich geändert werden, Danke für den Hinweis.

Grüße

Torsten

[DokuMan]

@Torsten: Kannst du das vorerst mal noch auf die Roadmap setzen?

[Tomcraft]

Na klaro! Ist jetzt auf der Roadmap für modified eCommerce Shopsoftware 1.06.

Grüße

Torsten

[cYbercOsmOnauT]

Ist in der Revision r1867 im trunk gefixed.

[Tomcraft]

Prima, Danke!

Super, auch die Roadmap ist bereits aktualisiert, Danke!

Grüße

Torsten

[ingo]

...wenn es nur in der account_password.php geändert wird, kann man das Passwort nur mit deaktivierten Javascript ändern. Denn da hängt noch die /includes/form_check.js.php mit einem Test davor:

Bei mit ist es Z90:

Code: PHP  [Auswählen]

 if (password_current == '' || password_current.length <field_size) {

ändern auf:

Code: PHP  [Auswählen]

 if (password_current == '') {

Dann klappt es auch...  

[Tomcraft]

Das ist doch aber im Adminbereich unter "Konfiguration" -> "Minimum Werte" -> "Passwort" einstellbar und durchaus so gewollt!

Grüße

Torsten

[ingo]

Es ging doch darum, dass ich als Benutzer ein neues Passwort für mein Konto vergeben will. Wenn ich als Admin früher Passwörter mit 6 Zeichen erlaubt hatte und jetzt als Minimum im Admin 8 Zeichen eingestellt habe, dann schaue ich als Benutzer mit einem 6-Zeichen Passwort in die Röhre.

Denn password_current.length prüft ja das bislang gespeicherte Passwort und beschwert sich, das es nicht 8 Zeichen lang ist... So kann ich nie mein altes Passwort ändern.

Geprüft soll aber die Läünge des neues Passwort - und das steht in password_new.length und wird ja korrekt geprüft.

Oder sehe ich das was falsch?  

[Tomcraft]

Ja, da hast du Recht... glaube ich zumindest. *gg*

Vielleicht kann da noch einer der Entwickler was zu sagen?

Grüße

Torsten

[guensi]

Auch ohne Entwickler zu sein bin ich der Meinung, dass die Überprüfung des alten Passwortes auf korrekte Länge Unsinn ist. Dieses Passwort soll geändert werden. Damit ist es vollkommen wurscht ob das nun zu kurz war, oder ob der Duden abgeschrieben wurde. Das Ding soll in die Tonne getreten werden, und dann gefälligst dort auch landen.

Abstrus ist, wenn mir die Tonne dann sagt, du darfst das hier nicht reinwerfen, weil es nach deinen neuen Einstellungen zu kurz ist.

Wichtig ist doch nur, dass das neue Passwort die Anforderungen erfüllt.

[Tomcraft]

Hi guensi,

das ist völlig klar, dass es Unsinn ist! Es geht gerade nur speziell darum, ob die Stelle in der "/includes/form_check.js.php" dazu noch angepasst werden sollte. Die Datei ist ja noch für andere Formulare zuständig, daher dann doch lieber nochmal warten, was die anderen dazu sagen.

Grüße

Torsten

[harrygrey]

Ich weiß nicht, ob das hierher gehört:
Bei einer frischen Installation habe ich als PW nur deutsche Sonderzeichen eingegeben, wie vorher auch in dem XTC.
Wurde auch akzeptiert.
Danach mußte ich mir allerdings ein neues PW senden lassen bei der Anmeldung. Als ich jedoch mein PW wieder ändern wollte, heißt es, daß das eingegebene PW nicht mit dem gespeicherten übereinstimmt.
Da ist doch was faul?!
Sollte man mal testen.

[billybob]

... Als ich jedoch mein PW wieder ändern wollte, heißt es, daß das eingegebene PW nicht mit dem gespeicherten übereinstimmt.

Bei mir funktioniert's. Hast Du denn bei der Funktion Ihr Konto » Passwort ändern das Passwort, das Dir in der Mail als neues Passwort zugesendet wurde im Feld Aktuelles Passwort: eingegeben?

Gruß
billybob

[harrygrey]

Na klar, das ist doch elementar.
Mache ich überdies immer mit cut and paste.
Seltsamerweise funktioniert das erhaltene PW immer beim Einloggen.
Nur ich kann es nicht ändern.
Ist das nun ein Bug oder nicht?
Wie schon gesagt, die Installation ist ganz "jungfräulich".