Problem mit FlexicontactPlus und User-Login

4 months 3 weeks ago #10669 by xml76
Hallo Herr Vogel,

beim Einsatz der ECC+-Standart-Version in Kombination mit FlexicontactPlus 12.0 kommt es zu dem Effekt, daß jegliche Fehleingabe in ECC+ im Kontaktformular akzeptiert wird. Die eigene FC-Captcha-Funktion ist dabei deaktiviert.

2. Problem: im Joomla-User-Login-Modul wird das ECC+ überhaupt nicht angezeigt.

Alle ECC+Einstellungen habe ich mehrfach überprüft, auch mit verschiedenen Templates und Stilen. Es scheitert leider immer.

Im Support-Forum empfehlen Sie in ähnlichen Fällen den Einsatz der "Dev-Versionen". Ich habe diese nun auch installiert, finde aber keinen Weg der Einbindung unter FlexicontactPlus. Benötigt man hier ein weiteres Plugin?

Obwohl im User-Login-Modul nichts von ECC+ angezeigt wird, scheitert dort jedoch jegliche Anmeldung über das User-Login-Modul bei aktivierten ECC-Dev-Plugins

Was ist zu tun?

Gruß
xml76

4 months 3 weeks ago #10670 by Vitja
Hallo xml76,

danke für die Aktivierung der Support-Subscription!

Das Problem bei der Unterstützung von kostenpflichtigen 3rd Party Erweiterungen ist, dass ich nur begrenzt Zugriff drauf habe. Die letzte von mir getestete Version war noch im einstelligen Bereich. Gerne kannst du mir die aktuelle Version per E-Mail zusenden und ich passe den Code dafür an! :-)

Bei der Dev-Version handelt es sich um die nächste Hauptversion des Plugins, in der der Support von externen Erweiterungen in eigene Plugins ausgelagert ist. Momentan sind nur wenige Erweiterungen zum Testen verfügbar. Ich plane auch nicht, alle bisher unterstützten Erweiterungen selber umzusetzen, sondern überlasse es dann der Community / Entwicklern, die Hilfsplugins zu schreiben.

ECC+ wird nicht in Modulen getriggert. Das Plugin kann fehlerhafte Loginversuche registrieren und sperrt den Zugang über das Modul, wenn die eingestellte Anzahl erreicht wurde. Ein erfolgreicher Login ist dann nur noch über die Komponente möglich (Loginformular der Benutzerkomponente).

Viele Grüße

Kubik-Rubik Joomla! Extensions

Please support my work with a review in the Joomla! Extensions Directory: extensions.joomla.org/profile/profile/details/61997
4 months 3 weeks ago - 4 months 3 weeks ago #10685 by xml76
Hallo Viktor,

Vielen Dank für die schnelle Rückmeldung - separate email bzgl. Flexicontact+ ist bereits unterwegs.

Ich hatte das Login-Form über "Regular-Labs - Moduls Anywhere" in einem Beitrag platziert. Und hier trat bei aktiviertem DEV-Plugin (ECC + users) wiederholt der Effekt auf, daß die Anmeldung abgewiesen wurde. Sobald ich das ECC+Plugin deaktiverte war die Anmeldung jederzeit möglich. Anschließend hab ich das Login-Form aber ganz normal auf eine Template-Position platziert, und dort war es dann egal, ob ECC+ aktiviert oder nicht aktivert war. Das Einloggen war immer möglich. Vielleicht gibt es eine Interaktion mit den Regular-Labs-Erweiterungen, oder es lag an der Reihenfolge der Aktivierung. Denn: als ich das Login-Form erneut im Beitrag platziert hatte, bei bereits aktivertem ECC+Plugins, funktionierte die Anmeldung problemlos. Wer weiß...

Du schreibst: " Das Plugin kann fehlerhafte Loginversuche registrieren und sperrt den Zugang über das Modul, wenn die eingestellte Anzahl erreicht wurde. " Wieviel fehlerhafte Loginversuche sind denn hier relevant bis es zur Sperre kommt, wo wird das konfiguriert und wie überwacht/protokolliert?

Mein Plan war ursprünglich, daß unterhalb der User-Login-Eingabefelder für User-Name und Paßwort eine ECC+ Captcha bzw. Rechenaufgabe erscheint, um mögliche Angriffe durch Bots o.ä. auf das Login-Formular abzuwehren. Ist das mit der neuen Dev-Version überhaupt möglich oder sogar komplett unnötig, da der Joomla-Login-Bereich bereits joomlaseits als sicher anzusehen ist? Oder denk ich jetzt grad in die falsche Richtung?

Viele Grüße
xml76
4 months 3 weeks ago #10687 by Vitja
Hallo xml76,

ich kann dir leider nicht sagen, was bei der Integration über Modules Anywhere schief gelaufen ist, das müsste ich mir genauer anschauen, um eine Aussage treffen zu können. Ich benutze die Erweiterungen nicht.

Aber generell funktioniert dieses Feature so:

Es gibt einen Trigger, der von Joomla! ausgeführt wird, wenn der Loginversuch nicht erfolgreich war (onUserLoginFailure). Hier greift ECC+ ein und zählt die Aufrufe in einer Sessionvariable. Das heißt, dass die Anzahl nicht permanent gespeichert wird, sondern in der Session (flüchtig) abgelegt wird. Sobald die Session zerstört wird, wird der Zähler sozusagen auf 0 gesetzt.

Für die maximale Anzahl an möglichen Versuchen gibt es in den Einstellungen eine Option:



Du kannst diese Funktion natürlich für das Loginformular verwenden (auch in der Dev-Version vorhanden), um solche Angriffe zu unterbinden. Aber noch wichtiger ist der Schutz eine Ebene vorher, also das Unterbinden von automatischen Registrierungen. Dort sollte der Schutzmechanismus korrekt funktionieren. Ist die Komplexität der Passwörter hoch genug, dann ist das bloße Erraten von Passwörtern praktisch unmöglich. Dafür kannst du die Funktionen in Joomla! nutzen (oder mein Plugin Force Password Complexity - joomla-extensions.kubik-rubik.de/de/fpc-...-password-complexity ).

Eine sichtbare Einblendung im Loginformular könnte die User Experience deiner Besucher mindern. Wenn du das trotzdem einbauen möchtest, dann müsstest du das Plugin dahingehend modifizieren, dass es in der geladenen Komponente (hier Artikelkomponente) ausgeführt wird.

Ich habe deine E-Mail erhalten, danke dafür! Normalerweise sollte sich der Code einfach anpassen lassen. Ich schaue es mir mal am Wochenende an.

Viele Grüße

Kubik-Rubik Joomla! Extensions

Please support my work with a review in the Joomla! Extensions Directory: extensions.joomla.org/profile/profile/details/61997
Attachments:
Time to create page: 0.118 seconds