Web icon indicating copy to clipboard operation
Web copied to clipboard

Published 20 hours ago verified publisher icon DecentralizedAmateurPagingNetwork

Nach Umstellung des Passworts ist die Fehlermeldung verwirrend

Open dh3wr opened this issue 8 years ago • 15 comments

Wenn man sein eigenes Passwort ändert, wir nach Druck auf "Save" verzucht, die Userliste erneut zu laden. Dies aber wohl mit der alten Identifizierung, welche dann sagt "API-Server not found". Könnte man bei der Änderung seines eigenen Passworts automatisch "ausgeloggt" werden, so dass man zwangsweise sein neues Passwort eingeben muss?

dh3wr avatar Jun 12 '17 08:06 dh3wr

Wenn man sein eigenes Passwort ändert, werden die im Browser gespeicherten Authentifizierungsdaten automatisch aktualisiert. Daher sollte das Laden der Userliste anschließend auch funktionieren (gerade getestet).

menzerath avatar Jun 12 '17 08:06 menzerath

Ging bei einem User heute morgen nicht. Soll ich mal nach dem Browser fragen?

dh3wr avatar Jun 12 '17 08:06 dh3wr

Gerne. Browser inkl. Version und Add-Ons wären interessant.

menzerath avatar Jun 12 '17 09:06 menzerath

image002 image001

dh3wr avatar Jun 12 '17 09:06 dh3wr

Mit der aktuellen Version von Edge (40.15063.0.0) kann ich das Problem auch nicht nachvollziehen...

menzerath avatar Jun 12 '17 14:06 menzerath

Gibt es hier Neuigkeiten?

menzerath avatar Jun 23 '17 07:06 menzerath

Wenn es Neuigkeiten gibt, kannst du das hier gerne wieder aufmachen

menzerath avatar Jul 24 '17 08:07 menzerath

Wir haben noch so einen Fall. Ich habe die Browser-Infos angefragt.

dh3wr avatar Oct 10 '17 11:10 dh3wr

Es scheint daran zu liegen, dass die Menschen Zeichen außerhalb von a-z, A-Z und 0-9 verwenden. Jedenfalls ist das gerade aufgefallen, dass die Änderung nach Beispiel1234 geht, ein Passowrt mit ! und : aber nicht. Wie sieht es mit Sonderzeichen aus beim Passwort? Wo kann da etwas schief gehen? @MarvinMenzerath @Taronyu

dh3wr avatar Oct 10 '17 12:10 dh3wr

Das Problem wird im verwendeten Doppelpunkt liegen. Das Format der Authentifizierungsdaten ist ein Base64 kodierter String nach dem <username>:<password> Schema. Anscheinend prüfen aber weder das Web-Interface, noch der Core ob das Passwort nur aus A-Z, a-z und 0-9 besteht...

menzerath avatar Oct 12 '17 06:10 menzerath

Hmm, am Besten könnte man ja alle Unicode-Zeichen unterstützen. Laut https://de.wikipedia.org/wiki/Base64 sollte doch in Base64 gar kein Doppelpunkt als Zeichen vorkommen, oder?

dh3wr avatar Oct 12 '17 19:10 dh3wr

Der Base64 kodierte String enthält auch keinen Doppelpunkt, der dekodierte String allerdings in diesem Fehlerfall zwei oder mehr.

Ich vermute, dass das Problem beim Core liegt, der an irgendeiner Stelle im Authentifizierungsprozess am Doppelpunkt splittet und damit nicht das ganze Passwort erwischt. Das Web-Frontend reicht den Authentifizierungsstring jedenfalls bloß in dem bekannten Format durch und behandelt ihn nicht weiter. Als Workaround habe ich 335dd07 implementiert, der einfach keine Doppelpunkte als Eingabe zulässt.

menzerath avatar Oct 16 '17 08:10 menzerath

Bei Basic Auth wird Username und Passwort durch ein ":" zusammengepackt. Im Core wird dann in der Tat der String per Tokenizer mit Doppelpunkt als Trenner zerlegt. Das funktioniert also schon mal nicht, wenn Username oder Passwort Doppelpunkte enthalten. Ich habe das jetzt mal so umgebaut, dass alles bis zum ersten Doppelpunkt der Username und alles weitere das Passwort ist.

Taronyu avatar Oct 26 '17 22:10 Taronyu

Bei Base64 wird doch ein Doppelpunkt ersetzt. Ist man nicht mit der Variante (Base64:Base64) immer auf der sicheren Seite für Basic Auth? Also erst Base64 und dann mit Dopplepunkt zusammenbauen und zum dekodieren entsprechend anders herum.

dh3wr avatar Oct 27 '17 07:10 dh3wr

Hier wäre nur das Problem, dass man das Passwort dann immer vorab in Base64 kodieren muss. Ein Anmelden über den Browser, wget oder SoapUI braucht dann immer das Base64 Passwort, das Klartextpasswort funktioniert dann nicht mehr. Solange der Benutzername keinen Doppelpunkt enthält (wird das geprüft?), dürfte das jetzt aber keine Probleme mehr machen.

Taronyu avatar Oct 29 '17 16:10 Taronyu