Das vergebene Passwort hat 32 stellen

Stifler · #1 (**permalink**) 17.10.2005, 09:23

Hallo,

habe gerade entdeckt das mein Shop bei der Anmeldung automatisch ein Passwort vergibt, dass 32 Stellen hat!
Das ist schon echt heftig! wo kann man das einstellen!? 6-8 Stellen wurden voll reichen!

Gru? Stifler

Stifler · #2 (**permalink**) 17.10.2005, 09:25

anmerkung, das gilt wenn ich als admin nen neuen kunde anlege.

bmg4ever · #3 (**permalink**) 17.10.2005, 11:10

?hm es scheint sich hierbei tats?chlich um einen fehler zu handeln, denn es handelt sich bei diesem monster-passwort um den md5-hash des eigentlichen passworts, dass nur 8 stellen lang sein sollte.

witzigerweise kriegt der kunde in der E-Mail tats?chlich auch den md5-hash und in der datenbank wird dann dieses bereits verschl?sselte passwort nochmals verschl?sselt, so dass der kunde als passwort am ende den md5-hash des eigentlich zuf?llig erzeugten 8-stelligen passworts bekommt.
irgendwie lustig.

Um das zu l?sen machst du folgendes:
?ffne die Datei /admin/create_account.php
suche dort die Zeilen mit dem Inhalt:

Code:

 if ($customers_password == '') $customers_password = xtc_create_password(8);

und ersetze sie durch

Code:

 if ($customers_password == '') $customers_password = xtc_RandomString(8);

pixeltronics · #4 (**permalink**) 22.10.2005, 17:07

Hallo,

habe auch das gleiche Problem: wenn ich selbst einen Kunden unter Admin manuell anlege (er sich also nicht ?ber die Anmeldemaske des Shops angemeldet) erh?lt er in der mail einen 32 stelligen Code.

Habe die ?nderungen gem?? Vorgabe durchgef?hrt. Hat aber leider nichts genutzt? Kann mir jemand weiterhelfen?

PS: wo kann ich denn den Text der mail, die bei einem manuellen Anlegen eines neuen Kunden verschickt wird, ?ndern? Dies ist ja scheinbar eine andere Vorlage als die, die benutzt wird, wenn sich ein neuer Kunden ganz normal ?ber den Shop anmeldet? Bei mir erscheinen hier jedenfalls zwei unterschiedliche mails.

Und nun zum Schlu? ein bischen Bartpinseln (is aber ernst gemeint): das Forum hier ist das beste, das ich seit langem besucht habe. Habe unz?hlige "Problemchen" durch Nachlesen l?sen k?nnen!

Gru?
pixeltronics

pixeltronics · #5 (**permalink**) 22.10.2005, 17:24

Hi alle zusammen,

hat sich teilweise erledigt. Das Problem mit dem 32 stelligen Code habe ich mittlerweile im Griff. grmpf: wer lesen und schauen kann ist eindeutig im Vorteil...

Aber das Problem mit dem mailtext habe ich immer noch. Irgendjemand ne Ahnung??

gru?+Danke
pixeltronics

toskka · #6 (**permalink**) 24.10.2005, 09:51

Wei? zuf?llig jemand, wie ich die generierten Passw?rter in der Datenbank unter "customers" als richtiges Passwort ausgeben kann?

Hubi · #7 (**permalink**) 24.10.2005, 11:50

Ist nur durch sog. bruteforcing m?glich, also f?r den Ottonormalverbraucher nicht m?glich.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln