Moin!

Wir haben soeben ein Update der Forensoftware veröffentlicht. Neben der Korrektur eines recht prominent platzierten Rechtschreibfehlers enthält es auch noch folgende Neuerungen:

• Ändert man sein Passwort auf einem Rechner, werden die Sessions auf allen anderen Computern beendet und man muss sich dort mit dem neuen Passwort erneut einloggen.
  
• Wir haben die Art, wie Passwörter in der Datenbank abgelegt werden, endlich auf einen aktuellen Stand gebracht. Wir verwenden nun einen für jeden Benutzer individuell gesalzenen SHA512-Hash. Um dies sauber umzusetzen, werden Ihr aufgefordert, Euer Passwort neu zu setzen. Ihr könnt selbstverständlich das identische Passwort erneut verwenden, aber einmal neu eingeben muss sein, um den neuen Hash anzuwenden.

Viele Grüße
Christian

Christian S. hat folgendes geschrieben :

Wir haben soeben ein Update der Forensoftware veröffentlicht.

War das denn vorher nicht 3.0.12 ? 3.0.13 ist ja noch nicht fertig und 3.1.x war es zu dem Zeitpunkt auch noch nicht.

Mich interessiert das Layout. "Entwickler-Ecke.de rev.b06cc4f2a27a based on phpBB" im Footer bedeutet ja nur, daß phpBB die Grundlage ist. Vermutlich istr das Drumherum eine Art Portal-Modifikation. Wurde die aktualisiert ? Oder mit welcher Modifikation wurde die individuelle Passwort-Verschlüsselung durchgeführt ?

Wahrscheinlich hätte ich hier nie irgendwas nachgefragt, wenn mich nicht nach dem Einloggen der NOCH IMMER nervende Hinweis "Wir haben die Art geändert, wie wir Passwörter speichern, um für eine höhere Sicherheit zu sorgen. Bitte aktualisiere Dein Passwort!" ganz oben erstaunt hätte. Ich habe mein Passwort neu eingegeben, aber das steht auch nach neuem Einloggen noch immer dort.

Hallo!

Unsere Software hat sich schon sehr lange sehr weit von phpBB entfernt. Wir haben schon länger nichts mehr mit dem Updatezyklus des Original-phpBB zu tun, daher ist es auch nicht sinnvoll das mit einer phpBB-Versionsnummer zu vergleichen. Versionsnummern geben wir inzwischen auch nicht mehr an, sondern nur noch den Commit im Git-Repository.

Was die Sache mit dem Passwort angeht: In der Datenbank steht Dein Passwort weiterhin im alten Format. Hast Du es mit verschiedenen Passwörtern versucht? Ich kann mir zwar nicht vorstellen, dass das was macht, aber wer weiß

Grüße
Christian

Meine Beobachtung soeben: Auch wenn in den persönlichen Einstellungen steht, daß man ein neues Paßwort nur dann eingeben muß, wenn man das alte ändern möchte, so ist die Neueingabe dennoch nötig, um den Änderungshinweis abzustellen.

In dem Hinweis steht, dass man sein Passwort aktualisieren soll. Ich finde das irgendwie klar, dass man dann auch ein neues Passwort eingeben muss (was identisch mit dem Alten sein kann).

Danke für die Antworten.

Vor allem diese Antwort ist hilfreich:

Delphi-Laie hat folgendes geschrieben :

Meine Beobachtung soeben: Auch wenn in den persönlichen Einstellungen steht, daß man ein neues Paßwort nur dann eingeben muß, wenn man das alte ändern möchte, so ist die Neueingabe dennoch nötig, um den Änderungshinweis abzustellen.

Denn das hier

Christian S. hat folgendes geschrieben :

Ich finde das irgendwie klar, dass man dann auch ein neues Passwort eingeben muss (was identisch mit dem Alten sein kann).

ist absolut nicht klar, gerade wegen "man ein neues Paßwort nur dann eingeben muß, wenn man das alte ändern möchte", denn weil das ja offensichtlich nicht zutrifft, ist entweder die Beschreibung falsch oder die Programmierung der entsprechenden Stelle. Immerhin weiß ich jetzt, woran es liegt und werde eben mein altes Passwort TROTZ des FALSCHEN Hinweises, man müsse es bei Identität nicht bestätigen. nun eben doch tun, um die nervende Zeile wegzubekommen.

Doof, dass Dich das so genervt hat. Aber wenn keiner irgendwas sagt, muss ich davon ausgehen, dass alles funktioniert. Insbesondere, weil mehrere hundert Nutzer ihr Passwort umgestellt haben (was bei der aktuellen Anzahl aktiver Nutzer einen beträchtlichen Teil darstellen dürfte). Oder um es anders zu sagen: Sprechenden Menschen kann geholfen werden.


//edit: Und wenn wir gerade dabei sind, Worte auf die Goldwaage zu legen. Wo hast Du denn überhaupt Dein Passwort eingegeben? Wenn Du so buchstäblich dem folgst, was irgendwo steht, ist das Feld "Altes Passwort" auch nix für Dich, denn da steht "Du musst Dein Passwort angeben, wenn Du Dein Passwort oder Deine Mailadresse ändern möchtest.". Nach Deiner Logik wolltest Du ja keins von beidem. Und dass man zum aktualisieren des Passworts das nirgendwo eingeben muss, hätte Dich schon vor weniger als drei Monaten stutzig werden lassen können ...

Oha. Ich habe mich deshalb vorher nichts gemeldet, weil ich mich vielleicht vorher nicht eingeloggt hatte?

Man hat ja nicht nur mit Delphi (darum hatte ich mich damals hier angemeldet, als das Ganze noch nicht "Entweickler-Ecke" hieß) zu tun und es lag nun jetzt erst aktuell was an.

Die Frage, warum ich denn überhaupt (m)ein Paßwort eingab, ist irgendwie albern. Natürlich, weil ich durch die entsprechende Zeile ganz oben dazu aufgefordert wurde ! Der rest verhält sich so, wie bereits erklärt und wie es logisch war bzw. wäre.

Aber lassen wir das doch. Es ist ja jetzt geklärt und hilft vielleicht anderen, die sich auch monatelang nicht eingeloggt hatten. Ich schalte jetzt wenigstens erstmal die automatische E-Mail-Benachrichtigung für "neue Benachrichtigungen bei Antworten" ab.

Danke aber für die nochmalige Rückmeldung. So weiß ich wenigstens, welche Ansichten bzgl. "Worte auf die Goldwaage legen" möglich sind. Es ging mir aber um den mißverständlichen Sinn und nicht um die Worte.

"Altes Passwort" war natürlich das bisherige. Es neu eingeben zu sollen, ohne wirklich was ändern zu wollen, ist natürlich abartig. Aber wenn man doch mit der Meldung genervt wurde, man solle das tun?! Da denkt man doch, die Betreiber werden sich schon was dabei gedacht haben. Woher sollte ich ahnen, daß dies in eine völlig unerwartete/unlogische Richtung ging?

Von phpBB-Foren (z.B. phpBB.de) kenne ich auch schon einiges Ungewöhnliche. Hier sind es dann eben noch andere Auffassungen. Das ist eben so im Leben. Jeder hat seine Gewohnheiten und handelt entsprechend. Wenn dann irgendwas hier wie da anders als erwartet ist, schafft das erst mal Verwirrung auf beiden Seiten. Sobald es geklärt ist (wie jetzt) sollte man das dann auch ruhen lassen.

Wenigstens gab es hier Erklärungen. Wie oft hat man es statt dessen, über Suchmaschinen angebliche "Ergebnisse" zu finden, wo es dann letztlich anders als erwartet, keine wirkliche bzw. keine zielführende Antwort gibt?

Insofern bin ich hier schon ganz zufrieden.

Vielleicht darf ich das Mißverständnis, wie es vermutlich zustande kam, aufklären.

Ein "neues" Paßwort wird, wenn man es behalten möchte, aus Sicht des Einloggers nicht verwendet, weshalb man den Hinweis auf der persönlichen Seite durchaus für bare Münze nehmen durfte.

Ein "neues" Paßwort ist es aus Sicht der Forumsadministration in jedem Falle, weil es neu verschlüsselt wird (werden muß), und dann ist diese Zweiteingabe vonnöten.

Da manche Leute sich monate-, ja jahrelang nicht einloggen, wird man, wenn man diese nicht aussperren möchte, die Möglichkeit der Neueingabe ohnehin dauerhaft anbieten müssen.