Erfassen des Benutzernamens beim Login

Ein CMSimple Support Forum für deutsch sprechende Nutzer und Entwickler
frase
Posts: 507
Joined: Thu Apr 21, 2016 6:32 am
Location: Saxony
Contact:

Erfassen des Benutzernamens beim Login

Postby frase » Fri Dec 16, 2016 4:12 pm

@Christoph
Nun werde ich noch ganz unverschämt ;-)

Beim Nachdenken über dieses Problem fiel mir noch etwas ein.
Stell dir mal vor, eine Site wird von mindestens zwei Leuten betreut.
Ein CMSimpler und ein Kunde.
Irgendwann taucht die Frage auf: Wer hat denn diese komische Textänderung gemacht?
(klopfe 3 mal auf Holz - ist mir noch nicht so passiert)
Da könnte ja ein Blick in das Logfile (im CMSimple-Ordner) Auskunft geben!?
Ich meine, wenn Benutzernamen erfasst würden. Und vielleicht sogar noch das Logout?

Das hätte natürlich nur Sinn, wenn du das Passwortfeld sowieso nochmal anfasst . Dabei könntest du ja das Login/Logout und das Loggen gleich mitmachen?
Es ist dann zwar immer noch kein Mehrmandanten-System, aber vielleicht hilfts a bissl.
(Bei memberpages wird ja auch geloggt - mit Name und Passwort)
Last edited by cmb on Fri Dec 16, 2016 10:46 pm, edited 1 time in total.
Reason: Zwecks thematischer Trennung von http://cmsimpleforum.com/viewtopic.php?f=16&t=12091 gesplittet

cmb
Posts: 9964
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa
Contact:

Re: Problem: jquery_for_CMSimple_latest

Postby cmb » Fri Dec 16, 2016 5:14 pm

frase wrote:Beim Nachdenken über dieses Problem fiel mir noch etwas ein.
Stell dir mal vor, eine Site wird von mindestens zwei Leuten betreut.
Ein CMSimpler und ein Kunde.
Irgendwann taucht die Frage auf: Wer hat denn diese komische Textänderung gemacht?
(klopfe 3 mal auf Holz - ist mir noch nicht so passiert)
Da könnte ja ein Blick in das Logfile (im CMSimple-Ordner) Auskunft geben!?
Ich meine, wenn Benutzernamen erfasst würden. Und vielleicht sogar noch das Logout?

Das wurde bei CMSimple 4.4.2 eingeführt, und ich finde es eigentlich albern. Letztlich kann man irgendetwas x-beliebiges als Username eintragen, und das wird dann halt ins Logfile geschrieben. Selbst wenn User nicht absichtlich sinnfreie Einträge als Username vornehmen, könnte ein Tippfehler schon wieder für Probleme sorgen (sprich, mehrere User mit dem selben Passwort auf der selben Domain). Und ob das wirklich hilfreich ist, um herauszufinden, wer nun eine bestimmte Textänderung gemacht hat? Okay, man kann natürlich anhand der Backups nachforschen, was aber auch nur geht, wenn sich wirklich immer nur einer einloggt. Trotzdem dauert das Nachforschen vermutlich länger, als die Änderung einfach rückgängig zu machen (oder sonstwie geeignet zu korrigieren). Und mal ganz ehrlich: wievielen Usern gibt man denn Zugriff zur Administration? Ich denke vielleicht mal zweien oder dreien – mehr gibt doch vermutlich sowieso Hick-Hack. Und dann wird man auch ohne Nachforschen schnell herausfinden können, wer "den Mist verzapft" hat.

Ich habe grundsätzlich nichts gegen eine (einfache) Mehrbenutzermöglichkeit, aber dazu müssten erst mal die Grundlagen gelegt werden und auch die Plugins müssten mitspielen. Aber das ist nur meine Meinung, und andere denken vielleicht anders darüber, weshalb ich es mal auf die Roadmap für 1.6.10 gepackt habe.

lck wrote:gib mal in FF unter Einstellungen > Sicherheit > Gespeicherte Zugangsdaten jeder Website/Passwort einen eindeutigen Benutzernamen (Rechtklick "Benutzername bearbeiten"), dann sollte das Problem erledigt sein.
Firefox belegt dann das Loginfeld nicht mehr vor, aber du kannst im Loginfeld mit Rechtlick "Passwort einfügen" den Benutzernamen anwählen und somit wird das gespeicherte Passwort ins Feld eingetragen.

Vielleicht kann man damit als Workaround für 1.6 leben?
Christoph M. Becker –Plugins for CMSimple_XH, but not for CMSimple 4+

Tata
Posts: 2024
Joined: Tue May 20, 2008 5:34 am
Location: Slovakia
Contact:

Re: Problem: jquery_for_CMSimple_latest

Postby Tata » Fri Dec 16, 2016 6:16 pm

Es würde wohl ein Schrittchen anbieten:
Für Login immer Username und Passwort nutzen.
Username und Passwort in eine Datei speichern (encrypted, selbstverständlich).
Nur eine parallele Einloggen erlauben mit der Anzeige, wer bereits eingeloggt ist (sowas ist bereits möglich mit einem der Plugins, oder?)
Die Backups mit "Editor"-Name speichern z.B. DDMMYYYYHis-JohDoe.bak
Image
It's no shame to ask for an answer if all efforts failed.
But it's awful to ask without any effort to find the answer yourself.

frase
Posts: 507
Joined: Thu Apr 21, 2016 6:32 am
Location: Saxony
Contact:

Re: Problem: jquery_for_CMSimple_latest

Postby frase » Fri Dec 16, 2016 6:20 pm

cmb wrote:Vielleicht kann man damit als Workaround für 1.6 leben?

Ich kann damit leben. Das erwähnte ich schon.
Ganz so "albern" finde ich den Vorschlag aber nicht. Dumm nur, dass wahrscheinlich du, Christoph, es ausbaden musst.
Mir wäre es echt lieber, wenn ich etwas Programming beisteuern könnte.

lck
Posts: 624
Joined: Wed Mar 23, 2011 11:43 am
Location: Germany
Contact:

Re: Problem: jquery_for_CMSimple_latest

Postby lck » Fri Dec 16, 2016 7:19 pm

frase wrote:Stell dir mal vor, eine Site wird von mindestens zwei Leuten betreut.
Ein CMSimpler und ein Kunde.
Irgendwann taucht die Frage auf: Wer hat denn diese komische Textänderung gemacht?
(klopfe 3 mal auf Holz - ist mir noch nicht so passiert)
Da könnte ja ein Blick in das Logfile (im CMSimple-Ordner) Auskunft geben!?
Ich meine, wenn Benutzernamen erfasst würden. Und vielleicht sogar noch das Logout?

Vorausgesetzt Kunde und Admin hängen nicht am selben Router, wäre bereits jetzt eine Nachverfolgung möglich. In der ./cmsimple/log.txt wird ja das Datum, Zeit und auch die IP-Adresse festgehalten.
Wenn ich das mit den Sicherungsdatum von content.htm vergleiche, kann ich den Urheber der Änderung schon mal eingrenzen :?
Bevor du den Pfeil der Wahrheit abschießt, tauche die Spitze in Honig ;)       ► CMSimple_XH Templates & OnePage-Templates ◄

cmb
Posts: 9964
Joined: Tue Jun 21, 2011 11:04 am
Location: Mü-Sa
Contact:

Re: Erfassen des Benutzernamens beim Login

Postby cmb » Fri Dec 16, 2016 11:00 pm

Tata wrote:Es würde wohl ein Schrittchen anbieten:
Für Login immer Username und Passwort nutzen.
Username und Passwort in eine Datei speichern (encrypted, selbstverständlich).
Nur eine parallele Einloggen erlauben mit der Anzeige, wer bereits eingeloggt ist (sowas ist bereits möglich mit einem der Plugins, oder?)
Die Backups mit "Editor"-Name speichern z.B. DDMMYYYYHis-JohDoe.bak

Das würde ich lieber nicht machen, da
  • die Zugangsbeschränkung auf einen einzelnen Admin nicht perfekt ist
  • eine Benutzeranmeldung auch nach einer Mehrbenutzerfähigkeit schreit
  • ich es eigentlich sehr gut fände, wenn mehrere Admins auch mal gleichzeitig an der Website arbeiten können

lck wrote:Vorausgesetzt Kunde und Admin hängen nicht am selben Router, wäre bereits jetzt eine Nachverfolgung möglich. In der ./cmsimple/log.txt wird ja das Datum, Zeit und auch die IP-Adresse festgehalten.
Wenn ich das mit den Sicherungsdatum von content.htm vergleiche, kann ich den Urheber der Änderung schon mal eingrenzen :?

Ja, wobei man dann natürlich die IP-Adresse der Beteiligten kennen muss (und die kann sich ja ändern). Wenn man Zugriff auf Access-Logs hat, dann kann u.U. auch der UA (Browser) zur "Identifikation" dienen. Aber ich halte die Notwendigkeit zur Identifikation nach wie vor für etwas hypothetisch. I.d.R. wird man doch einfach alle Admins befragen können, wer nun einen bestimmten Text geändert hat. Und wenn das aus Vertrauensgründen nicht zuverlässig erscheint, dann sollte man den betreffenden Personen besser erst keinen Admin-Zugang gewähren.
Christoph M. Becker –Plugins for CMSimple_XH, but not for CMSimple 4+


Return to “Deutsch”

Who is online

Users browsing this forum: Google [Bot], Tata and 2 guests