Benutzernamen Problem [WB 2.8.2 RC 1506]

[HStrunz]

Hallo,

wenn ich im aktuellen WB Release einen neuen Benutzer anlegen will bekomme ich eine Fehlermeldung.
Den Benutzernamen baue ich normalerweise als vorname.nachname auf.

Meldung : "Es wurden ungültige Zeichen für den Benutzernamen verwendet / Der eingegebene Benutzername war zu kurz"

Sind Punkte in den Namen nicht erlaubt ? Das wäre aber komisch.

LG Holger

[instantflorian]

Hallo,

wenn ich mich da gleich mal ranhängen darf: Ich hatte das Problem, dass auch "!" offenbar neuerdings pfui sind (o_O)

Gruß
_florian.

[badknight]

Hallo,

wenn ich mich da gleich mal ranhängen darf: Ich hatte das Problem, dass auch "!" offenbar neuerdings pfui sind (o_O)

Gruß
_florian.

Die save.php zeigt mir folgendes (hoffe ich habe die richtige WB Version erwischt):

Code:

if(!preg_match('/^[a-z]{1}[a-z0-9_-]{2,}$/i', $username)) {
$admin->print_error( $MESSAGE['USERS_NAME_INVALID_CHARS'].' / '.
                  $MESSAGE['USERS_USERNAME_TOO_SHORT'], $js_back);
}

sprich.. hier sieht man welche Zeichen erlaubt sind

[instantflorian]

Ok, danke für die Info.
Da ich nur ein Klickidoofidesigner wäre es lieb, wenn man mir die RegEx mal übersetzte...

Anyway, Ausrufungszeichen, Punkt und Raute gehen offenbar nicht mehr.
Warum ist das so? Früher war das nicht. Gibt es einen bestimmten Grund dafür?
Ich würze meine Passworte gern mit dem einen oder anderen Sonderzeichen.

Grüße
_florian.

[badknight]

Ok, danke für die Info.
Da ich nur ein Klickidoofidesigner wäre es lieb, wenn man mir die RegEx mal übersetzte...

Anyway, Ausrufungszeichen, Punkt und Raute gehen offenbar nicht mehr.
Warum ist das so? Früher war das nicht. Gibt es einen bestimmten Grund dafür?
Ich würze meine Passworte gern mit dem einen oder anderen Sonderzeichen.

Grüße
_florian.

es wird dadurch verhindert, das zeichen gewählt werden die nicht gültig sind.

in der WB 2.8.1 war das anders, da wurde nur abgefragt ob der user länger als 2 Zeichen ist.

bzgl. der Regex:

[a-z0-9_-]

hier siehst du die erlaubten zeichen:

a-z
0-9
_ so wie -

[dbs]

---

[HStrunz]

Hallo,

ok die save.php anzupassen ist ja nun nicht wirklich schwierig. Bleibt die Frage ob das ein Bug ist oder so gewollt.
Wenn es gewollt wäre, frage ich mich warum? Benutzernamen mit Punkten sind doch irgendwie das normalste in der IT Welt 

Gibt es dafür einen Hintergrund?

Lg Holger

[DarkViper]

ok die save.php anzupassen ist ja nun nicht wirklich schwierig. Bleibt die Frage ob das ein Bug ist oder so gewollt.
Wenn es gewollt wäre, frage ich mich warum? Benutzernamen mit Punkten sind doch irgendwie das normalste in der IT Welt 

Gibt es dafür einen Hintergrund?

Oberflächlich gesehen ist der Einsatz von beliebigen Zeichen kein Problem. Die Probleme tauchen erst auf, wenn man ein wenig weiter denkt.
Einer der wichtigsten Gründe für diese Einschränkung ist die Plattform-Unabhängigkeit. Trotz der Schwierigkeiten, die uns in der Entwicklung daraus entstehen, besteht die Welt zum Glück nicht nur aus den Produkten aus Redmont. Deswegen denken wir, speziell im Serverbereich eben nicht nur in Windoof, sondern auch in Linux, Unix, Mac und -fast- allen anderen Betriebssystemen, die Webserverdienste zur Verfügung stellen können. Der Schwerpunkt liegt jedoch auf der Kombination von Linux+Apache+mySQL+PHP (a.k.a. LAMP).
Um den nächsten Grund zu verstehen, müssen wir uns erst mal über verschiedene benutzerbezogene Daten klar werden.

In WB gibt es 3 wichtige Elemente in Bezug auf einen User:

1.: Login-Name
2.: Passwort
3.: Anzeigename

Der Login-Name ist ein vorrangig rein funktionales Datum. Zusätzlich zur Anmeldung wird er z.B. auch als Verzeichnisname für ein Benutzer-Verzeichnis, als Schlüsselwert in der internen Verwaltung und noch vieles mehr benutzt. Da wir jetzt aber auf die Regeln der unterschiedlichsten Betriebssysteme Rücksicht nehmen müssen, sind wir gezwungen, den kleinsten, gemeinsamen Nenner zu finden und zu benutzen. (nicht vergessen: bei einem reinen Windows-, Linux- oder Sonstwassystem sind diese Einschränkungen nicht oder nur teilweise erforderlich)  Der kleinste, gemeinsame Nenner, der allen Systemen gemeinsam ist, ist der ASCII-Zeichensatz von 0-127. Aus diesem Zeichenbereich ist wiederum nur eine Teilmenge in allen Systemen für Verzeichnis- und Dateinamen oder Variablen-/Schlüsselwertbezeichner verfügbar.
Wenn man das alles berücksichtigt und auch auf zukünftige Funktionserweiterun gen vorbereitet sein will, kommt man zu der von uns jetzt eingesetzten Regelung.

Aufbau eines Loginnamens: 
minimale Länge 3 Zeichen, maximale Länge 31 Zeichen.
Das erste Zeichen muss ein Buchstabe a-z sein, darauf folgen mindestens 2, maximal 30 Zeichen a-z 0-9 - _
Auf Groß- Kleinschreibung wird nicht geachtet, da zur internen Verwaltung alles auf Kleinbuchstaben umgewandelt wird.

Aufbau eines Passwortes:
Die Mindestlänge eines Passwortes wird ab WB2.8.2 SP2 auf 6 Zeichen, als schwächste Variante festgelegt sein.
Maximale Länge sind 255 Zeichen. Bei Passwörtern ist zwingend auf Groß- Kleinschreibung zu achten (case sensitive).
Passwörter dürfen im Prinzip sämtliche druckbaren Zeichen enthalten. Also auch zeichensatzspezifis che Sonderzeichen und Satzzeichen. Bis hin zu kyrillischen und chinesischen Schriftzeichen. Allerdings sollte man darauf achten, dass Passwörter auch auf den Bildschirmtastature n von Smartphones und Tablets etc. eingegeben werden können!

Anzeigename
Im Gegensatz zum Loginnamen hat der Anzeigename keinerlei Funktionalität und kann, bis auf Satz- und Leerzeichen praktisch alle druckbaren Zeichen aller Sprachen enthalten. Ein Anzeigename kann - auch mit kleinen Abwandlung durch Satzzeichen etc.- im gesamten System nur ein einziges Mal existieren um z.B. das Vortäuschen einer fremden Identität in Posts, Kommentaren etc. zu verhindern.

Sicherheitshinweise
Aus Sicherheitsgründen ist es ratsam, zumindest im Frontend niemals den Loginnamen, sondern grundsätzlich nur den Anzeigenamen sichtbar zu machen. (Loginname + Passwort ist für 'Einbrecher' schwerer zu erraten als nur das Passwort alleine)
Realnamen als Loginnamen sind ein hohes Sicherheitsrisiko! Beispiel: Ich weiß von meinem eigenen Account, dass der Loginname nach dem Schema vorname.nachname aufgebaut ist. Will ich mich jetzt mit einem fremden Account anmelden, nutze ich einfach den Namen des Anderen, betreibe ein wenig 'Social-Engineering' und teste mal den Namen der Freundin etc. als Passwort (statistische Trefferquote ~15% und mehr). Ist jedoch der Loginname frei gewählt und dieser wird nirgends angezeigt, so wird es ein Vielfaches schwieriger einen Account auf diese 'einfache' Weise zu übernehmen.

Die oben genannten Punkte sind, soweit dies nicht schon bereits erfolgt ist, für WB 2.8.2 spätestens ab dem SP2 sowie für alle Folgeversionen (2.9.x etc.) gültig. Zusätzlich wird auch eine (nach außen nicht sichtbare) wesentlich stärkere und aufwändigere Verschlüsselung der Passwörter (Faktor ~10.000) eingeführt um 'Brute-Force'-Angriffe zu erschweren und 'Hash-Diebstahl' praktisch sinnlos zu machen.

[dbs]

Was bedeutet das im Hiblick auf alte Benutzernamen, also nach einem Update/Upgrade, wo vorher noch kurze Namen wie z,.B. beim Portable "admin" vorkommen?
Oder auch die angesprochenen name.nachname oder ähnliches.

[DarkViper]

Die neuen Routinen sind in WB2.8.x dauerhaft und ab WB 2.9 für eine längere Übergangszeit soweit abwärtskompatibel, dass 'alte' Namen, Passwörter etc. weiterhin funktionieren, jedoch zur Neuanlage nur noch die neuen Regeln gelten.

Werden neue, zukünftige Module installiert, die Namen nach den neuen Regeln benötigen, gibt es bereits beim Anmelden automatisch die Möglichkeit, den Loginnamen entsprechend zu ändern.

Im übrigen sind ja auch Lösungen wie name_nachname oder name-nachname möglich. Und Loginnamen kürzer als 3 Zeichen???  dann am besten gar kein Login.

[DDI-web]

Ich hatte auch Probleme. Benutzernamen waren mit Vorname Nachname, also Leerzeichen dazwischen und funktionierten nach dem Update nicht mehr.
Ansonsten hat das Update problemlos funktioniert. 

[dbs]

Hallo

Nach einem Upgrade von 2.8.1 auf 2.8.3.

Habe hier Benutzer die sich ins Backend einloggen können (mit Punkt im Benutzernamen). Gut so.
Nun gibt es Seiten mit Sichtbarkeit "registriert" und da klappt das nicht mit dem Einloggen seit dem Upgrade.
Woran kann diese Ungleichbehandlung liegen?

dbs

[FastAsAShark]

Bei mir wurden alte Anmeldungen mit einem Upgrade rausgekickt. Das ist schon recht ärgerlich. Mit abwärtskompatibel war da nix.

Also alle alten Anmeldungen unbedingt kontrollieren, ob da nicht "illegale" Zeichen vorhanden sind.

[dbs]

...alte Anmeldungen mit einem Upgrade rausgekickt

Das kann und darf nicht sein.

[FastAsAShark]

War vielleicht etwas krass ausgedrückt. Die Eintragungen in der Benutzerverwaltung waren noch vorhanden. Allerdings waren die Logins mit einem Leerzeichen geschrieben. Daher war für dieser User kein Einloggen mehr möglich. Habe das Leerzeichen gegen einen Unterstrich ersetzt, dann war wieder alles gut.

[dbs]

Bei mir waren es eben Punkte im Usernamen und wie Werner weiter oben schrieb ist das alles abwärtskompatibel.
Dies stimmt was das Login im Backend betrifft (domain.de/admin), aber beim Login auf einer Seite (Sichtbarkeit "registriert") gilt diese Abwärtskompatibilität plötzlich/scheinbar nicht mehr.
Mal sehen was die Jungs dazu rausfinden.

[dbs]

Daher war für dieser User kein Einloggen mehr möglich.

Und nun hatte ich auch so einen User. Wundert sich, dass er nicht reinkommt, lässt sich neues Passwort zuschicken und kommt immer noch nicht rein.
Mein lieber Scholli Werner, diese Regelung macht nicht viel Sinn.