wie kann ich die passwörter der datenbank nutzen?

[seehundnz]

Ich habe yabbse erfolgreich installiert und möchte nun einen members-bereich für die restlichen teile meiner site erstellen. dazu möchte ich die user-datenbank von yabbse nutzen, aber leider ist mir aufgefallen, dass das verschlüsselte passwort, das im cookie gespeichert wird nihct mit dem in der datenbank übereinstimmt.

wie löse ich jetzt mein login problem?
welchen text muss ich eingeben, damit ich die beiden miteinander vergleichen kann, um den zugang freizugeben?

vielen dank schon einmal für die hilfe

sebastian

[Horseman]

uihhh...
das thema passwort hat es schon einmal gegeben. diese werden bei yabbSE so verschlüsselt das du eigentlich keine chance hast daran zu kommen.
denke es würde gehen wenn du ein login für deine member machst nick und passwort in einer variablen speicherst, evt. in einer db ablegen und das ganze mit einer session verwaltest, ruft der member dann das forum auf übergibst du nick und pass (siehe login des board). habe das mal gemacht, aber nicht weiter entwickelt weil mir mein chat (eigene session) den benutzer "platt" machte ;-)

[mediman]

am einfachsten ist es die membersites per .htaccess zu schützen (passwort kann verschlüsselt von yabbse übernommen werden), dazu muss allerdings die .htpasswd ständig mit den passwörtern von yabbse abgeglichen werden!

bau dir also ein script was bei neuregistrierung bzw. passwortänderung, oder per hand in adminbereich (je nach gusto) die passwörter aus der yabbse datenbank in die .passwd schreibt.

mediman

ich hatte mal ein script dafür gebaut!

Code Select Expand

<?php

function filechecker($filename)
{
  $chk =  file_exists($filename);
  if ($chk != 1)
       { $create = fopen($filename, "w");
         filechecker($filename); }
  else { }
}

$dbName = "";
$dbUser = "";
$dbPass = "";
$dbHost = "";
$db_prefix = "";

$db = mysql_connect ( $dbHost, $dbUser, $dbPass );
mysql_select_db($dbName, $db);
$query = "SELECT memberName, passwd FROM {$db_prefix}members";
$get_users = mysql_query($query, $db);
mysql_close($db);


$txtfile =".htpasswd";
filechecker($txtfile);
$fp = fopen($txtfile, "a");
        if ($fp)
        {
          flock($fp, 2);
          $nl = chr(13) . chr(10);

          while($get_data = mysql_fetch_array($get_users)){
               $name = $get_data[0];
               $pwd = $get_data[1];
               fputs($fp, "$name:$pwd$nl");
          }
          
          flock($fp, 3);
          fclose($fp);
        }
    else { echo "can´t open $txtfile :("; }


?>
Wenn Du die Passwörter direkt wie in YabbSE nutzen willst, musst du sonst wie YabbSE eine loginout.php bauen mit cookiezeugs und Tod und Teufel.

Mediman

[seehundnz]

vielen dank!

ich habe gerade das system der verschlüsselung in yabbse verstanden.   jetzt kann ich die datenbank von yabbse für meinen login benutzen.
falls das noch jemanden interessieren sollte, kann man mich per mail erreichen.

sebastian

[mediman]

Es existiert grob gesagt kein Verschlüsselungsystem, da die Passwörter abhängig vom Server (md5 bis runter zu DES) codiert werden.

Das Passwort kann man niemals rückrechnen. Das codierte Passwort ist nämlich lediglich eine Prüfsumme, die halt nur gecheckt wird.

Es gibt zwar Passwortentschlüsseler für Standard-DES (wenn sowas überhaupt noch genutzt wird) allerdings muss das Passwort nicht das des Users sein. Weil eventuell das gefundene "Passwort" nur die selbe Prüfsumme hat. Bei md5 dürfte das ganze allerdings doch schon Monate dauern ein Passwort zu finden das passt.

Falls du allerdings die Loginout.php meinst... Da muss man nur mal kurz in die *.php´s gucken. Allerdings dürften einige Server Probleme machen,wenn die zu schützenden Sites ausserhalb des YaBBSE Directory liegen (php restricitons)!

mediman

[seehundnz]

auf jeden fall funktio niert es jetzt so, wie ich das gerne hätte.
habe es schon ausprobiert

sebastian

[mediman]

Und das ist ja wohl das wichtigste Sebastian!  

[MaddiN]

An diesem Problem hab ich auch gerade gearbeitet. Ich hab rausgefunden, dass das Passwort mithilfe des eigenlichen passworts verschluesselt wird.

Falls ein User z.B. das Passwort "12345" benutzt kann man das in der mySQL-Datenbank gespeicherte Passwort folgendermasen herausbekommen.
Man bekommt zwar nicht das Passwort im Klartext, jedoch kann man so das Passwort in der mySQL ueberpruefen und so die Benutzerdaten fuer andere Zwecke verwenden.

Code Select Expand

$passwd = "12345";
$passwd = crypt($passwd,substr($passwd,0,2));
echo $passwd;

Falls jemand Fragen dazu hat, kann man mich am besten per Mail erreichen, da ich das Forum hier nicht besonders regelmaeßig lese.

[medizinmann]

Das Passwort wird mit Hilfe des Passworts verschlüsselt   Wie denne sonst?  

Aber was Du rausgefunden hast, ist bisschen abhängig davon welche Art der Crypt-Verschlüsselung Dein Host nutzt.

Wenn Dein Host Standard DES nutzt dann ist der Anfang des Passworts ein Teil des SALT´s! In unserem (Deinem Beispiel) ist der Salt das Passwort himself!

Falls du nun aber md5 auf dem Server hast, dann beginnt  das Passwort mit $1$ und Du kannst nix mehr raten!

Fakt ist, bis auf Standard DES ist es nicht möglich das Crypt-Passwort zu entschlüsseln, da es eine One-Way-Verschlüsselung ist. Siehe medimans Posting, das kann ich so unterschreiben.

m.

Übrigens, versuch mal Deinen Code mehrmals auszuführen ! 12345 wird jedesmal anders codiert! Weil SALT´s werden nur einmal gesetzt (Recursivität)!

[MaddiN]

wieso sollte ich das script mehrmals ausführen?? dient doch nur zur authentifizierung.
Der User gibt Benutzer und Passwort ein. Diese Daten werden dann mit der mySQL-Tabelle verglichen. Das Passwort, das eingegeben wurde ist doch eigentlich egal, das will ja niemand wissen.
Im YaBBSE wird es übrigens auch nicht anders gemacht um den Benutzer mit dem Passwort zu vergleichen. Wie soll man sonst rausfinden, ob das richtige Passwort eingegeben wurde??

Code Select Expand

   $request = mysql_query("SELECT passwd,realName,emailAddress,websiteTitle,websiteUrl,signature,posts,memberGroup,.....
    $attempt = $passwrd;
   $passwrd = crypt($passwrd,substr($passwrd,0,2));  <--- Hier wird das eingegebene Passwort verschluesselt wie es in der mysql-Tabelle steht
   if (mysql_num_rows($request) == 0)
      fatal_error("$txt[40] - $user: $attempt");
   else
   {
      $settings = mysql_fetch_row($request);
      if ($settings[0] != $passwrd)  <--- und hier wird dieses Passwort(verschluesselt) mit dem aus der mysql-Tabelle verglichen!
         fatal_error("$txt[39] - $user: $attempt");
      else
         $username = $user;
   }

Ob man dann eingeloggt ist oder nicht, muss man natürlich über SessionID's oder cookies lösen, oder am besten die cookies verwenden, die YaBBSE sowieso schon angelegt hat.

Oder hab ich da was falsch verstanden?!?

[mediman]

Grundsätzlich richtig verstanden, nur kannes dann eben Konflikte mit den Cookies geben! Wenigstens der Cookiename sollte unterschiedlich sein!  Aber selbst dann wird es zu Einloggprobs kommen!

Aber ich denke medizinmann hat Deinen Post dahingehend verstanden, dass Du eine Möglichkeit gefunden hast einem Klarschrift-Passwort einem verschlüsselten zuzuordnen. Und da hat er recht, das geht nur arg begrenzt bis garnicht!

Wie man Passwörter schreibt und ausliest ist ja nicht das Problem, die Session zu halten ist das Problem, vorallem wenn schon eine Sessionläuft.

mediman
 

[MaddiN]

auf meiner seite solle es einen bereich geben, auf dem die mitglieder des forums links in eine linkliste eintragen können. und dafür reicht mir die möglichkeit, wie ich sie oben beschrieben hab.

mal schaun, vielleicht scripte ich irgendwann mal einen "memberbereich". dann kann ich mich ja mit dem problem weiter auseinandersetzen.

[Gagus]

So wie ich es verstanden habe und so wie ich es auf einer meiner Scripte mache funktioniert das mit dem Passwort so das  das Passwort mithilfe vom Loginname verschlüsselt wird damit das verschlüsselte Passwort immer das gleiche ist, sonst ist es ja nicht möglich beim Login die Passwörter zu vergleichen.

[medizinmann]

Ja, wenn der 2 Zeichen-Salt vorgegeben wird ist bei DES die Prüfsumme (verschlüsseltes Passwort) immer identisch, also z.b. das Passwort medizinmann immer meJ96.eRbid2k trotzdem nutzen die meisten Server md5 und dort nutzt Crypt ein 12 stelliges Random Salt und ignoriert den 2 Zeichen Salt, das verschlüsselte Passwort sieht jedesmal anders aus, was jedoch egal ist, wenn es mit dem Klarschriftpasswort passt.

m.

[Gagus]

Ich versteh dann nciht ganz wie beim einloggen das Forum weis ob das eingegebene Passwort mit dem verschlüselten in der Datenbank zusammenstimmt wenn das verschlüsselte nicht entschlüsselt werden kann und wenn es jedesmal die ausgabe anders ist kann es ja nicht verglichen werden....