Due password per entrare nell'amministrazione del sito

[frankquart]

Ciao a tutti,
circa un mese e mezzo fa ho cambiato la mia password di amministratore per entrare nel pannello di controllo di Joomla. Ieri sera per errore mi sono loggato con la vecchia password e sono entrato lo stesso...
Poi per sicurezza sono uscito e sono rientrato con la password nuova.


E' già successo a qualcuno? Potrebbe essere che si siano salvate le impostazioni sul computer? Anche se in genere svuoto cronologia e tutto il resto dal browser Chrome.


Intanto grazie e a presto.

[$Red]

Ciao a tutti,
circa un mese e mezzo fa ho cambiato la mia password di amministratore per entrare nel pannello di controllo di Joomla. Ieri sera per errore mi sono loggato con la vecchia password e sono entrato lo stesso...

ciao, non sono un esperto ma secondo me è una cosa impossibile, se hai cambiato la password sul database è stata memorizzata la nuova e non penso sia possibile memorizzare due password per lo stesso account, hai riprovato ad accedere inserendo la vecchia password? magari non ci hai fatto caso ma hai inserito quella corretta! comunque ripeto non sono un esperto e sono curioso di leggere anche le opinioni di chi ha piu esperienza di me 

[giovi]

immagino che dopo essere entrato non hai fatto ulteriori giri all'interno del pannello di controllo, in questo caso infatti è l'ossessionante cache di chrome che gioca questo scherzo (perchè altrimenti sarebbe il più veloce?). Mi succede a volte di aggiornare la pagina anche a sessione scaduta e di vedere ancora il backend ma appena cambio pagina o eseguo un'azione ecco che mi viene richiesta la pwd. Quindi puoi tranquillizzarti perchè è tutto ok

[frankquart]

Scusami $Red però se racconto che mi sono reso conto di aver messo la vecchia password e di essere entrato, non vedo perché dire subito che è impossibile. Se chiedo qui consiglio è proprio perché è accaduto qualcosa di anomalo.


Per conferma di ciò ho provato a farlo anche dal pc dell'ufficio et voilà sono entrato con la vecchia password anche da questo PC e riesco a fare modifiche.


Uso Chrome anche in ufficio.


Ho provato con Internet Explorer e succede la stessa cosa.


Intanto ringrazio entrambi per i consigli.
Attendo ulteriori news per risolvere il problema.
Ciao

[giovi]

se inserisci password errate entri comunque? Se si verificano questi problemi il sistema non sta funzionando e potresti essere vittima di un bug o di un attacco... Se non hai lultima versione di joomla aggiorna, altrimenti sovrascrivi tutti i file di sistema accertandoti che vengano sovrascritti tutti correttamente e riprova

[$Red]

ma è il sito che hai nel profilo con host altervista? non è che per caso hai attivo cloudflare? non penso sia quello anche perche dopo piu di un mese non so se cloudflare tiene cosi tanto tempo in cache un sito, però se è attivo prova a svuoltargli la cache come si dice tentar non nuoce, dal pannello di controllo altervista menu risorse trovi cloudflare clicchi su gestisci cloudflare e c'è il tasto cancella cache

Edit: ho appena reinstallato wappalyzer e cloudflare sul sito che hai nel profilo è attivo, anche se sinceramente come ho gia detto non so se potrebbe essere quello il problema

[frankquart]

grazie a tutti per le pronte risposte, gentilissimi.


Risposta a Giovi: ho provato altre password ma non funzionano. A quanto pare entra solo con quella vecchia e quella nuova.


Risposta a $Red: il sito è zonasismica.net che ho su uno spazio a pagamento

[$Red]

ho visto che è joomla 1.5 è l'ultima cioè 1.5.26 ? analizzanolo sembrerebbe la 1.5.18, non mi viene in mente nient'altro per il problema, comunque fossi in te comincerei a pianificare una migrazione almeno a joomla 2.5.18

[frankquart]

già, in effetti mi sto muovendo in questo senso solo che il template è un po' complicato da adattare e quindi sono un po' bloccato. Grazie comunque 

[$Red]

di niente figurati, comunque se la versione è 1.5.18 intanto aggiornala alla 1.5.26 con il template non dovresti avere problemi

[tomtomeight]

Hai controllato di non avere due account? Forse quando hai cambiato la password hai inserito anche un nuovo admin.

[frankquart]

correggo la mia risposta verso $Red. In effetti il mio tentativo è di passare a joomla 2.5 per cui ho una installazione nuova in una sottocartella /joomla25.


Però l'account che uso è sempre lo stesso, e nella lista utenti non ce ne sono altri uguali con quel nome.


Sull'installazione della 2.5 entro solo con la password nuova.


   è sempre tutto più enigmatico...

[giovi]

$red ti ha chiesto anche che versione di joomla 1.5 usi

[frankquart]

ah già, ho appena controllato, versione 1.5.26
in effetti mi pareva di aver aggiornato a questa versione qualche mese fa.

[frankquart]

credo di aver trovato il problema!!! l'abilitazione agli account di gmail!!!


riepilogo quanto accaduto:


(account amministratore di esempio)
user joomla: francom
password: pword1
mail dello user: francom@yahoo.it


autenticazione gmail per acconsentire log in con account gmail attivata


cambio password

user joomla: francom
password: pword2
mail dello user: francom@yahoo.it


la mia mail di gmail è
user gmail: francom@gmail.com
password: pword1


ACCEDO A JOOMLA CON
user: francom
password: pword2


MA ANCHE CON
user: francom
password: pword1 (tra l'altro ex password di joomla)






la cosa che non capisco è come faccia a riconoscere che sono sempre io avendosu joomla una mail con yahoo.


Ma ho fatto la prova ed è così, ho cambiato password alla mail di google



user gmail: francom@gmail.com
password: pword3


e ora entro in joomla con
user: francom
password: pword2


e con
user: francom
password: pword3


non più con pword1




Spero l'esempio sia stato chiaro. Forse influisce il fatto che il nome della mail Google è uguale al nome utente di joomla!!


Potrebbe essere pericoloso?!?!?
Se fosse così, nel momento in cui, di un sito qualunque, conosco il nome utente e vedo che è installato il modulo di Gmail posso creare una mail con quel nome ed entrare come amministratore sul sito?

[frankquart]

Ho fatto la prova anche in Joomla 2.5 ed è così:



Mettiamo che so queste informazioni che riguardano il sito:


Nome admin Joomla: pincopallo
Autenticazione per loggarsi con gmail attivata


Creo una mail con Gmail pincopallo@gmail.com
e con la mia password e questa mail riesco a entrare nell'amministrazione di joomla.


Questo è ciò che accade sul mio sito

[alexred]

ciao    frankquart,
grazie per la segnalazione, ho fatto un test su Joomla 2.5 e confermo che si può rubare l'identità nel modo descritto.
Proveremo a segnalare il problema.

...cavoli, pensa chi ha presto admin@gmail.com rischia di potersi loggare come amministratore in moltissimi siti Joomla! (che hanno il plugin gmail attivo)

[frankquart]

Esatto stesso pensiero che avevo avuto anch'io.


PS: ma la cosa strana è che mi succede con un sito e non con l'altro...


boh

[ste]

Ho fatto qualche test e anche a me su un sito succede quanto descritto da frankquart, mentre su un altro con molti più utenti no. Entrambi i siti sono aggiornati alla 3.2.2

Ho aperto un tracker su Joomlacode per segnalare il problema
http://joomlacode.org/gf/project/joomla/tracker/?action=TrackerItemEdit&tracker_item_id=33322&start=0

[mau_develop]

ma non esisteva la possibilità di applicare un suffisso allo username? ... tanto sembra non funzioni nemmeno quello

Comunque credo sia un problema noto da sempre... ci sono post del 2006 uguali a quelli del 2013
Quì risponde allo stesso problema quello che credo lo abbia scritto o comunque verificato
http://forum.joomla.org/viewtopic.php?t=212437

mai usato qs plugin ma nonostante tutte le scuse / giustificazioni / alibi ... se qualcuno riesce a farlo vuol dire che è possibile e quindi una vulnerabilità.
Anche se dovesse dipendere dall'ambiente dove lo installi è comunque una vulnerabilità ugualmente grave anche se riflessa...

[mmleoni]

facendo un po' di ricerche mi sono imbattuto anche io nel topic segnalato da maurizio.
sintesi: un utente segnalava, con tutte le operazioni necessarie per riprodurre la situazione qui descritta, il problema in data 9 ottobre 2008 (sì, avete letto bene duemilaotto).

sì può ora continuare a dire che questo sistema di autenticazione è un concept plugin quindi solo un esempio di programmazione?
(e che bell'esempio, aggiungerei)

ma allora perché non lo si mette nel wiki, e magari con le dovute avvertenze, invece di lasciarlo nelle distro ufficiali?

la logica è quella di lasciare una pistola carica in giro per casa sussurrando che tanto non va usata.
è una cretinata: prima o poi qualcuno ci si fa male.

ciao,
marco

[mau_develop]

...infatti, a volte ragionano strano... cioè ... mi dico... ci vogliono buone ragioni per ignorare un problema per anni... tra l'altro una vulnerabilità non da poco visto che in 5 minuti il sito è mio anche se ignoro completamente l'informatica...
Non abituato a sindacare troppo i ragionamenti altrui, visto anche le non risposte che a volte ricevi ( ...un poc?!), mi sono sempre abituato a non usarlo o addirittura a toglierlo anche perchè non ne riesco a capire l'utilità... visto che chiunque con un accont gmail può accedere a contenuti registered in fe, e che un account gmail ci metti 10 secondi a fartelo... piuttosto lascio tutto public... che me ne faccio di mail e dati che sono per la maggior parte recipient spazzatura e fake account?

[frankquart]

ciao M_W_C
in effetti all'inizio accettavo commenti agli articoli del mio sito solo da chi si registrava.
Avendo avuto molte registrazioni fasulle / spam, ho ripiegato bloccando le registrazioni al sito
e sfruttando il plugin di gmail che mi sembrava utile.
In genere lo spam arrivava da mail di altri domini così ho pensato,
senza che la gente si registri anche nel mio sito, avendo semplicemente un account gmail può commentare subito gli articoli.
Lasciare tutto pubblico non posso perché anche in questo modo mi si riempirebbe il sito di commenti spam.


E così è arrivata l'amara sorpresa dell'account da amministratore


ciao a tutti
Frank

[mau_develop]

...seguo il tuo ragionamento.

Se registrandosi arrivava spam e con gmail no, c'è da pensare.
Un accont gmail ce l'hanno tutti e più di uno ci vorrebbe un attimo ... anzi forse è addirittura più semplice che registrarsi..
e allora perchè accade?
Mi viene da pensare che venga fatto tutto automaticamente dalla registrazione allo spam, cosa che risolvi con un recaptcha.
Un'altra soluzione è l'approvazione della registrazione o l'approvazione del commento.

[Babyjoomla]

Confermo, il plug in gmail ha quel bug da sempre, meglio lasciarlo disattivato, +  info qui *********

[alexred]

ciao Babyjoomla,
ho eliminato il tuo link esterno, no amiamo questo genere di attività.

Ci siamo occupati personalmente di segnalare quel bug al team di Joomla e con il prossimo aggiornamento sarà corretto nel ramo 3.2 di Joomla e successivi.

[Babyjoomla]

Chiedo scusa essendo il blog di un vostro collaboratore pensavo fosse ammesso

[mmleoni]

http://developer.joomla.org/security/581-20140304-core-unauthorised-logins.html


non sono stati proprio velocissimi ma apprezziamo lo sforzo


ciao