Admin Passwort vergessen

  • Betroffene Version
    WoltLab Suite 3.1

    Folgendes Problem:


    Ich bin im Forum eingeloggt als Admin (User ID 1),

    mein Passwort funktioniert aber nicht mehr, auch kein Login im ACP möglich.
    Das Forum ist geschlossen (keine Neu-Registrierung mehr möglich).


    Ich habe allerdings FTP/Datenbank Zugriff... habe auch schon in der "Tabelle: wcf1_user" nachgesehen...
    Passwort ist ja in eine Richtung verschlüsselt...

    Mein Lösungsansatz wäre gewesen:

    neues Passwort zusenden, doch ich erhalte keine Email...
    (bzw. Emailadresse ändern, ... wieder keine Mail erhalten)

    Könnt ihr mir vl einen Lösung anbieten?

    (vermutlich hat ein Plugin das Passwort zerschossen... aber wer weiß)

  • Prima Gebrauchanweisung, keine Frage. Kümmert sich hier eigentlich jemand darum, ob man wirkich ein Berechtigter ist? Dies sollte ja nur Woltlab anstellen dürfen, die müssten das nach Verifizierung schon selbst bewerkstelligen.

    Ich hatte schon einmal auf ein Missbrauchspotential hingewiesen.

    Aber so braucht man sich über eine gewisse Sicherheitsarchitektur nicht mehr wundern.

    Sorry, aber ich wundere mich gerade. Sicherheitstechnich kann man wohl alles umf diese Software hier vergessen.

    _____________________________________

  • Kein Adminpasswort, keine Mailadresse des Admins aber eine Datenbank.... sorry da klingeln keine Alarmglocken?

    Wenn der besagte User Zugriff auf die Datenbank hat & sich damit unbefugten Zugriff zu einem Administrator Konto verschafft, dann hat der Administrator seinen Job falsch gemacht und gehört bestraft ;)

    Ich verstehe deine Sorgen dennoch.

  • Außerdem bin ich Inhaber der Lizenz (das wird ja überprüft werden können).

    Alle Verantworltichen können sich gerne bei mir melden, ich kann Klarnamen und Forum gerne schicken. ;)

  • Prima Gebrauchanweisung, keine Frage. Kümmert sich hier eigentlich jemand darum, ob man wirkich ein Berechtigter ist? Dies sollte ja nur Woltlab anstellen dürfen, die müssten das nach Verifizierung schon selbst bewerkstelligen.

    Ich hatte schon einmal auf ein Missbrauchspotential hingewiesen.

    Aber so braucht man sich über eine gewisse Sicherheitsarchitektur nicht mehr wundern.

    Sorry, aber ich wundere mich gerade. Sicherheitstechnich kann man wohl alles umf diese Software hier vergessen.

    Dein Ernst? 🤣

  • Dann hätte sicherlich der Admin oder Provider eine schlechte Arbeit gemacht, oder eben ein Zugangsberechtigter.

    Von Strafe redet ja keiner, die gibt es in D sowieso nicht.

    Es geht nicht darum, dass man Besitzer einer Softwarelizenz ist. Es geht darum wem z.B die Datenbank mit personenbezogenen Daten Dritter gehört und vor allem das hier keine Softwarehacks veröffentlicht werden, die in falschen Händen befindlich, Schaden anrichten können. Sei es im einfachsten Fall darum, z.B. einen ehemaligen Partner- Admin einfach und rechtswidrig auszusperren.

    _____________________________________

  • Dann hätte sicherlich der Admin oder Provider eine schlechte Arbeit gemacht, oder eben ein Zugangsberechtigter.

    Von Strafe redet ja keiner, die gibt es in D sowieso nicht.

    Es geht nicht darum, dass man Besitzer einer Softwarelizenz ist. Es geht darum wem z.B die Datenbank mit personenbezogenen Daten Dritter gehört und vor allem das hier keine Softwarehacks veröffentlicht werden, die in falschen Händen befindlich, Schaden anrichten können. Sei es im einfachsten Fall darum, z.B. einen ehemaligen Partner- Admin einfach und rechtswidrig auszusperren.

    Wie kommst du darauf, dass es sich hier um einen Softwarehack handelt? Das ist vollkommener Unsinn.

  • Dann hätte sicherlich der Admin oder Provider eine schlechte Arbeit gemacht, oder eben ein Zugangsberechtigter.

    Von Strafe redet ja keiner, die gibt es in D sowieso nicht.

    Es geht nicht darum, dass man Besitzer einer Softwarelizenz ist. Es geht darum wem z.B die Datenbank mit personenbezogenen Daten Dritter gehört und vor allem das hier keine Softwarehacks veröffentlicht werden, die in falschen Händen befindlich, Schaden anrichten können. Sei es im einfachsten Fall darum, z.B. einen ehemaligen Partner- Admin einfach und rechtswidrig auszusperren.

    Echt?

    Wenn man keine Ahnung hat einfach schweigen und weiter gehen ist ja schon fremdschämen angesagt bei so Beiträögen...

  • Ganz ehrlich: jemand, der zB nur die Datenbank übernommen hat, hätte das Wissen um in der Datenbank auch das Passwort auszutauschen... Der würde hier nicht einfach fragen...

  • Sagen wir mal so jeder kann das sogar selber machen Macht doch mal einen Test Account und gebe diesem Testaccount ein Passwort und dann kopiert ihr dieses in einem zweiten Test Account somit habt ihr dieses Passwort auch für den zweiten Testaccount :)

    Und des weiteren an die Datenbank kommt eigentlich, wenn nicht andere dafür frei geschaltet sind immer nur der Besitzer. :)

  • Kümmert sich hier eigentlich jemand darum, ob man wirkich ein Berechtigter ist?

    Du weisst schon das er für die Datenbank auch einen Usernamen und Passwort braucht?

    Es geht darum wem z.B die Datenbank mit personenbezogenen Daten Dritter gehört und vor allem das hier keine Softwarehacks veröffentlicht werden

    Wo ist das bitte schön ein Softwarehack?? Wie soll er denn an das Passwort für die Datenbank gelangt sein, wenn sie ihm nicht gehört?

  • Zumindest ist es einfach das ein Admin den anderen ( z.B den Eigentümer aussperrt.

    Die Datenbank an sich ist wohl keine merkliche Hürde.

    Das System für den Einsatz mit sensiblen Daten, ist abzuraten, bei dieser Community.

    Aber macht ruhig so weiter.

    _____________________________________

  • Zumindest ist es einfach das ein Admin den anderen ( z.B den Eigentümer aussperrt.

    Die Datenbank an sich ist wohl keine merkliche Hürde.

    Das System für den Einsatz mit sensiblen Daten, ist abzuraten, bei dieser Community.


    Aber macht ruhig so weiter.

    :D:D:D Sorry aber sag mal liest du überhaupt was die anderen User dir geschrieben haben? Da sind sogar Entwickler dabei und sehr Erfahrene Benutzer. Meinst du die geben hier Anleitungen zum Hacken raus? Dann müsste JEDER eingriff in die DB ein Hack sein^^ Auweia

    Ich mache keine Fehler.......

    Ich erschaffe Katastrophen

  • Zumindest ist es einfach das ein Admin den anderen ( z.B den Eigentümer aussperrt.

    Das lässt sich für die Benutzer der Suite mittels der jeweils zugänglichen Benutzergruppen granular steuern.

    Die Datenbank an sich ist wohl keine merkliche Hürde.

    Eine Datenbank ist eine Datenbank. Wenn du jemanden das Recht einräumst, dort Einträge zu bearbeiten, wird er genau das auch tun können. Ein anderer Benutzer mit diesem Recht wird ebenfalls Änderungen vornehmen und vorherige Änderungen revidieren können.

  • Zumindest ist es einfach das ein Admin den anderen ( z.B den Eigentümer aussperrt.

    Stell dir vor: Ein Admin kann sogar das Passwort eines anderen direkt über das ACP ändern und sogar dessen E-Mail-Adresse und Benutzernamen, ohne dazu extra in die Datenbank zu müssen. Das solltest du deinen Mitgliedern schnell verheimlichen! :o

    Die Datenbank an sich ist wohl keine merkliche Hürde.

    Die Zugangsdaten für diese sollten aber eine Hürde sein. Hoffentlich verwendest du das sichere Passwort des Jahres fwtcn83rb&C$GWA/2019! und den Benutzernamen root.

    Das System für den Einsatz mit sensiblen Daten, ist abzuraten, bei dieser Community.

    Scheiße. Ich verwalte für zwei Gewerbe die Kundendaten im WSC. Ich gehe mich schon mal beim Datenschutzbeauftragten des Lades melden, wenn so einfach jeder alle meine Kundendaten manipulieren kann und ich plötzlich mit Trump Geschäfte mache...

    PS:

    Mit dem Befehl kriegst du alle E-Mail-Adressen deiner Benutzer und die Passwörter: SELECT username, email, password FROM wcf1_user

    Und du kannst dort sogar die Konversationen deiner Mitglieder mitlesen. Das gehört verboten!!! Ach halt, da war ja was...

    Dieser Beitrag könnte Spuren von Sarkasmus enthalten. Es ist nicht zu empfehlen irgendetwas davon in die Tat umzusetzen - außer man hat Lust dazu.

    Außerdem bin ich Inhaber der Lizenz (das wird ja überprüft werden können).

    Alle Verantworltichen können sich gerne bei mir melden, ich kann Klarnamen und Forum gerne schicken. ;)

    Selbst wenn dir die Lizenz nicht gehört...

    Wenn du in die Datenbank kommst und derartige Änderungen vornehmen kannst, ist das entweder vom Betreiber so gewollt (oder du bist der Betreiber), oder dieser hat Mist gebaut. ;)

    Ich habe mir zu Fehlerbehebungszwecken auch schon administrative Konten über die Datenbank erstellt (und hinterher natürlich wieder vollständig entfernt). Man kann vieles sinnvoll einsetzen und gleichzeitig auch schwer missbrauchen.

    Ob ich als Administrator in den Account eines anderen rein komme, weil ich dessen Passwort (kurzzeitig) ändere, ist auch relativ egal. Habe ich diese Rechte, kann ich eh tun, was ich will. Datenbank hin oder her.

    Ganz ehrlich: jemand, der zB nur die Datenbank übernommen hat, hätte das Wissen um in der Datenbank auch das Passwort auszutauschen... Der würde hier nicht einfach fragen...

    Ich würde dann eher Daten manipulieren oder Werbung/Schadcode einbauen. Das Passwort zu ändern fällt sofort auf und ist schell behoben. ;)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!