Bisher werden die Passwörter für die Administratoren und Hilfs-Admins als Klartext in die "config/lmo-auth.php" geschrieben.
DwB hat dieses in Seinem LMO (Responsive Design) schon vor 3 Jahren geändert.
Bei dieser Änderung wird in der lmo-auth.php nicht mehr das Passwort gespeichert sondern der Hashwert des Passwortes. Aus diesem Wert kann das Passwort nicht ausgelesen werden. Sondern bei der Anmeldung eines Administrators wird nur verglichen ob der Hashwert des eingegebenen Passwort mit dem gespeicherten Hashwert in der lmo-auth.php übereinstimmt.
Beim Hashing mit der PHP Funktion password_hash() wird aus dem ursprünglichen Passwort im Klartext ein nicht rückrechenbarer Hash erzeugt. Dieser Hashwert ist immer 60 Zeichen lang, egal wie viele Zeichen das ursprüngliche Passwort hat.
Neben des einpflegen der Funktionen in den LMO (keine große Sache) ist auch für die Benutzer des Liga Manager Online eine Änderung der lmo-auth.php von Hand nötig.
Damit, nach einem Update, die Anmeldung des Administrators wieder möglich ist, muss diese (lmo-auth.php) per FTP geändert werden.
Das geschieht entweder in dem man den Standard Zugang (Nutzername: admin, PW: lmo) dort hinterlegt. Das würde in der lmo-auth.php so aussehen.
Code: Alles auswählen
<?php exit(); ?>
admin|$2y$10$iA0M5y8.LELmsi6DZ5Nh7edO3v0m8CPXBZhYZ497fQ/uADQYqX07C|2||0
Die Daten, die man dann von Hand in seine lmo-auth.php einträgt, können aus dem Textfeld kopiert werden.
Wichtig ist dabei IMMER das die erste Zeile mit
Code: Alles auswählen
<?php exit(); ?>Dazu habe ich nun folgende Umfrage für Euch erstellt. (siehe oben)
Wie immer mit freundlichen Grüßen
Henshingly
[EDIT]
Habe mich dazu entschieden diesen Hack als Addon zum Download freizugeben.
Henshingly