Moin Moin,
wir haben jetzt zwei Mal folgendes Phänomen erlebt. Wir haben eine alte Installation von 5.3 mit den Zwischenschritten hochgezogen bis 8.0.5. Anschließend konnten sich die Benutzer nicht mehr einloggen. Der Benutzer, der das Update machte blieb davon nicht betroffen.
Über diesen konnte man dann das Passwort erneut eingeben und der Login funktionierte wieder. Hat jemand schon ähnliches erlebt?
Leider können wir kein Muster erkennen, trotzdem eine komische Sache...
Gruß
Finn
Nach Update kein Login möglich
-
WBTMagnum
- webEdition Partner
- Beiträge: 1825
- Registriert: Di 7. Mär 2006, 16:50
- Wohnort: Wien
- Kontaktdaten:
Re: Nach Update kein Login möglich
Hallo Finn,
Bist du dir sicher mit V5.3?
Bzgl. des Problems vermute ich mal, dass die Umstellung der Passwortverschlüsselung hier die Ursache ist[1]. Warum das beim aktuellen User allerdings klappen sollte erschließt sich mir nicht. Hat du Einträge im webEdition Fehlerlog? Was steht in den User Tabellen?
Liebe Grüße,
Sascha
[1] Ab 8.0.3 werden keine unverschlüsselten Passwörter mehr akzeptiert. Mit 8.0.4 sollten die Passwörter aber automagisch umgewandelt werden.
Bist du dir sicher mit V5.3?
Bzgl. des Problems vermute ich mal, dass die Umstellung der Passwortverschlüsselung hier die Ursache ist[1]. Warum das beim aktuellen User allerdings klappen sollte erschließt sich mir nicht. Hat du Einträge im webEdition Fehlerlog? Was steht in den User Tabellen?
Liebe Grüße,
Sascha
[1] Ab 8.0.3 werden keine unverschlüsselten Passwörter mehr akzeptiert. Mit 8.0.4 sollten die Passwörter aber automagisch umgewandelt werden.
Re: Nach Update kein Login möglich
Naja, der Automatismus liegt im Login. Wenn eine Install natürlich nicht benutzt wird, sondern nur in einem Rutsch aktualisiert wird, geht das mit bestehenden Passwörtern nicht. Hier müssen die Pwd's halt von Hand neu vergeben werden - geht nicht anders!
webEdition-Kern-Entwickler
-
WBTMagnum
- webEdition Partner
- Beiträge: 1825
- Registriert: Di 7. Mär 2006, 16:50
- Wohnort: Wien
- Kontaktdaten:
Re: Nach Update kein Login möglich
@Marc: Verstehe ich das richtig, dass ein Update auf 8.0.2 hier OK hätte sein sollen? Und sobald alle User sich einmal am Backend angemeldet haben, kann auf aktuellere Versionen gewechselt werden? Sind Frontend-User davon auch betroffen?
@Finn: Über die "Passwort Vergessen"-Funktion können die User neue Passwörter anfordern. Das setzt aber wieder voraus, dass eine gültige E-Mailaddresse hinterlegt ist.
Liebe Grüße,
Sascha
@Finn: Über die "Passwort Vergessen"-Funktion können die User neue Passwörter anfordern. Das setzt aber wieder voraus, dass eine gültige E-Mailaddresse hinterlegt ist.
Liebe Grüße,
Sascha
Re: Nach Update kein Login möglich
@Sascha stimmt, allerdings sind in den alten Installationen keine Mailadressen hinterlegt 
@Marc ab wann welcher Version sind die Passwörter denn verschlüsselt?
Bei Updates von z.B. 6.4.4 die wir viel im Einsatz hatten, haben wir keine Fehler
Auch scheint es von einigen 5.x keine Probleme zu geben (oder es ist noch nicht aufgefallen)
Ist es sinnvoll dann von z.B. 7.3 dann nochmal auf die 8.0.2 und dann auf 8.0.6 zu gehen? Oder ist das egal?
@Marc ab wann welcher Version sind die Passwörter denn verschlüsselt?
Bei Updates von z.B. 6.4.4 die wir viel im Einsatz hatten, haben wir keine Fehler
Auch scheint es von einigen 5.x keine Probleme zu geben (oder es ist noch nicht aufgefallen)
Ist es sinnvoll dann von z.B. 7.3 dann nochmal auf die 8.0.2 und dann auf 8.0.6 zu gehen? Oder ist das egal?
Re: Nach Update kein Login möglich
Also, ich gehe mal davon aus, wir sprechen von der Benutzerverwaltung
In der Benutzerverwaltung wurden die Passwörter immer verschlüsselt (WE>=6). Allerdings nicht wirklich gut/sinnvoll (md5).
Das bedeutet aber auch, das wir bei einem Update nicht die Passwörter in ein anderes Format konvertieren können, da wir das Plain-Text-Passwort nicht kennen. Wir haben also mit der Zeit andere Verschlüsselungen (Hash) eingeführt, die aktuell sinnvoll sind und mit der Zeit auch die Prüfung der alten Kennwörter deaktiviert, sonst könnte man das System ja weiterhin mit dem alten Hashing "kapern".
Jeder Benutzer der sich anmeldet und noch ein altes Passwort hat, wird dann beim Login - denn das ist der einzige Moment wo das Passwort bekannt ist, aktualisiert. Ich meine wir haben das mit dem Passwortumschreiben irgendwann in 6.3 eingeführt und das alte Verfahren dann 7 Jahre später abzuschalten ist doch legitim
Wenn das wirklich eine Installation von 5.3 war, dann würde ich jetzt wirklich einfach die Kennwörter zurücksetzen und die Benutzer müssen sie dann halt aktualisiert bekommen.
In der Benutzerverwaltung wurden die Passwörter immer verschlüsselt (WE>=6). Allerdings nicht wirklich gut/sinnvoll (md5).
Das bedeutet aber auch, das wir bei einem Update nicht die Passwörter in ein anderes Format konvertieren können, da wir das Plain-Text-Passwort nicht kennen. Wir haben also mit der Zeit andere Verschlüsselungen (Hash) eingeführt, die aktuell sinnvoll sind und mit der Zeit auch die Prüfung der alten Kennwörter deaktiviert, sonst könnte man das System ja weiterhin mit dem alten Hashing "kapern".
Jeder Benutzer der sich anmeldet und noch ein altes Passwort hat, wird dann beim Login - denn das ist der einzige Moment wo das Passwort bekannt ist, aktualisiert. Ich meine wir haben das mit dem Passwortumschreiben irgendwann in 6.3 eingeführt und das alte Verfahren dann 7 Jahre später abzuschalten ist doch legitim
Wenn das wirklich eine Installation von 5.3 war, dann würde ich jetzt wirklich einfach die Kennwörter zurücksetzen und die Benutzer müssen sie dann halt aktualisiert bekommen.
webEdition-Kern-Entwickler
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 9 Gäste