Autore Topic: Due password per entrare nell'amministrazione del sito  (Letto 8826 volte)

Offline frankquart

  • Esploratore
  • **
  • Post: 118
  • Sesso: Maschio
  • Rust never sleeps
    • Mostra profilo
Ciao a tutti,
circa un mese e mezzo fa ho cambiato la mia password di amministratore per entrare nel pannello di controllo di Joomla. Ieri sera per errore mi sono loggato con la vecchia password e sono entrato lo stesso...
Poi per sicurezza sono uscito e sono rientrato con la password nuova.


E' già successo a qualcuno? Potrebbe essere che si siano salvate le impostazioni sul computer? Anche se in genere svuoto cronologia e tutto il resto dal browser Chrome.


Intanto grazie e a presto.
« Ultima modifica: 20 Feb 2014, 21:40:31 da frankquart »

Offline $Red

  • Team Joomla.it
  • Instancabile
  • *******
  • Post: 5281
  • "Bastard Inside"
    • Mostra profilo
Re:Due password per entrare nell'amministrazione del sito
« Risposta #1 il: 20 Feb 2014, 09:16:28 »
Ciao a tutti,
circa un mese e mezzo fa ho cambiato la mia password di amministratore per entrare nel pannello di controllo di Joomla. Ieri sera per errore mi sono loggato con la vecchia password e sono entrato lo stesso...

ciao, non sono un esperto ma secondo me è una cosa impossibile, se hai cambiato la password sul database è stata memorizzata la nuova e non penso sia possibile memorizzare due password per lo stesso account, hai riprovato ad accedere inserendo la vecchia password? magari non ci hai fatto caso ma hai inserito quella corretta! comunque ripeto non sono un esperto e sono curioso di leggere anche le opinioni di chi ha piu esperienza di me  :)

Offline giovi

  • Instancabile
  • ******
  • Post: 9835
  • Sesso: Maschio
    • Mostra profilo
Re:Due password per entrare nell'amministrazione del sito
« Risposta #2 il: 20 Feb 2014, 09:33:39 »
immagino che dopo essere entrato non hai fatto ulteriori giri all'interno del pannello di controllo, in questo caso infatti è l'ossessionante cache di chrome che gioca questo scherzo (perchè altrimenti sarebbe il più veloce?). Mi succede a volte di aggiornare la pagina anche a sessione scaduta e di vedere ancora il backend ma appena cambio pagina o eseguo un'azione ecco che mi viene richiesta la pwd. Quindi puoi tranquillizzarti perchè è tutto ok ;)

Offline frankquart

  • Esploratore
  • **
  • Post: 118
  • Sesso: Maschio
  • Rust never sleeps
    • Mostra profilo
Re:Due password per entrare nell'amministrazione del sito
« Risposta #3 il: 20 Feb 2014, 09:47:24 »
Scusami $Red però se racconto che mi sono reso conto di aver messo la vecchia password e di essere entrato, non vedo perché dire subito che è impossibile. Se chiedo qui consiglio è proprio perché è accaduto qualcosa di anomalo.


Per conferma di ciò ho provato a farlo anche dal pc dell'ufficio et voilà sono entrato con la vecchia password anche da questo PC e riesco a fare modifiche.


Uso Chrome anche in ufficio.


Ho provato con Internet Explorer e succede la stessa cosa.


Intanto ringrazio entrambi per i consigli.
Attendo ulteriori news per risolvere il problema.
Ciao




Offline giovi

  • Instancabile
  • ******
  • Post: 9835
  • Sesso: Maschio
    • Mostra profilo
Re:Due password per entrare nell'amministrazione del sito
« Risposta #4 il: 20 Feb 2014, 10:00:34 »
se inserisci password errate entri comunque? Se si verificano questi problemi il sistema non sta funzionando e potresti essere vittima di un bug o di un attacco... Se non hai lultima versione di joomla aggiorna, altrimenti sovrascrivi tutti i file di sistema accertandoti che vengano sovrascritti tutti correttamente e riprova

Offline $Red

  • Team Joomla.it
  • Instancabile
  • *******
  • Post: 5281
  • "Bastard Inside"
    • Mostra profilo
Re:Due password per entrare nell'amministrazione del sito
« Risposta #5 il: 20 Feb 2014, 10:01:01 »
ma è il sito che hai nel profilo con host altervista? non è che per caso hai attivo cloudflare? non penso sia quello anche perche dopo piu di un mese non so se cloudflare tiene cosi tanto tempo in cache un sito, però se è attivo prova a svuoltargli la cache come si dice tentar non nuoce, dal pannello di controllo altervista menu risorse trovi cloudflare clicchi su gestisci cloudflare e c'è il tasto cancella cache

Edit: ho appena reinstallato wappalyzer e cloudflare sul sito che hai nel profilo è attivo, anche se sinceramente come ho gia detto non so se potrebbe essere quello il problema
« Ultima modifica: 20 Feb 2014, 10:04:22 da $Red »

Offline frankquart

  • Esploratore
  • **
  • Post: 118
  • Sesso: Maschio
  • Rust never sleeps
    • Mostra profilo
Re:Due password per entrare nell'amministrazione del sito
« Risposta #6 il: 20 Feb 2014, 10:06:58 »
grazie a tutti per le pronte risposte, gentilissimi.


Risposta a Giovi: ho provato altre password ma non funzionano. A quanto pare entra solo con quella vecchia e quella nuova.


Risposta a $Red: il sito è zonasismica.net che ho su uno spazio a pagamento

Offline $Red

  • Team Joomla.it
  • Instancabile
  • *******
  • Post: 5281
  • "Bastard Inside"
    • Mostra profilo
Re:Due password per entrare nell'amministrazione del sito
« Risposta #7 il: 20 Feb 2014, 10:17:47 »
ho visto che è joomla 1.5 è l'ultima cioè 1.5.26 ? analizzanolo sembrerebbe la 1.5.18, non mi viene in mente nient'altro per il problema, comunque fossi in te comincerei a pianificare una migrazione almeno a joomla 2.5.18

Offline frankquart

  • Esploratore
  • **
  • Post: 118
  • Sesso: Maschio
  • Rust never sleeps
    • Mostra profilo
Re:Due password per entrare nell'amministrazione del sito
« Risposta #8 il: 20 Feb 2014, 10:19:41 »
già, in effetti mi sto muovendo in questo senso solo che il template è un po' complicato da adattare e quindi sono un po' bloccato. Grazie comunque  ;)

Offline $Red

  • Team Joomla.it
  • Instancabile
  • *******
  • Post: 5281
  • "Bastard Inside"
    • Mostra profilo
Re:Due password per entrare nell'amministrazione del sito
« Risposta #9 il: 20 Feb 2014, 10:23:09 »
di niente figurati, comunque se la versione è 1.5.18 intanto aggiornala alla 1.5.26 con il template non dovresti avere problemi

Offline tomtomeight

  • Global Moderator
  • Fuori controllo
  • ********
  • Post: 31835
  • Sesso: Maschio
  • Gli automatismi aiutano ma non insegnano nulla.
    • Mostra profilo
Re:Due password per entrare nell'amministrazione del sito
« Risposta #10 il: 20 Feb 2014, 13:11:46 »
Hai controllato di non avere due account? Forse quando hai cambiato la password hai inserito anche un nuovo admin.

Offline frankquart

  • Esploratore
  • **
  • Post: 118
  • Sesso: Maschio
  • Rust never sleeps
    • Mostra profilo
Re:Due password per entrare nell'amministrazione del sito
« Risposta #11 il: 20 Feb 2014, 14:21:45 »
correggo la mia risposta verso $Red. In effetti il mio tentativo è di passare a joomla 2.5 per cui ho una installazione nuova in una sottocartella /joomla25.


Però l'account che uso è sempre lo stesso, e nella lista utenti non ce ne sono altri uguali con quel nome.


Sull'installazione della 2.5 entro solo con la password nuova.


 :o  è sempre tutto più enigmatico...

Offline giovi

  • Instancabile
  • ******
  • Post: 9835
  • Sesso: Maschio
    • Mostra profilo
Re:Due password per entrare nell'amministrazione del sito
« Risposta #12 il: 20 Feb 2014, 14:24:39 »
$red ti ha chiesto anche che versione di joomla 1.5 usi

Offline frankquart

  • Esploratore
  • **
  • Post: 118
  • Sesso: Maschio
  • Rust never sleeps
    • Mostra profilo
Re:Due password per entrare nell'amministrazione del sito
« Risposta #13 il: 20 Feb 2014, 14:34:19 »
ah già, ho appena controllato, versione 1.5.26
in effetti mi pareva di aver aggiornato a questa versione qualche mese fa.

Offline frankquart

  • Esploratore
  • **
  • Post: 118
  • Sesso: Maschio
  • Rust never sleeps
    • Mostra profilo
Re:Due password per entrare nell'amministrazione del sito
« Risposta #14 il: 20 Feb 2014, 15:17:31 »
credo di aver trovato il problema!!! l'abilitazione agli account di gmail!!!


riepilogo quanto accaduto:


(account amministratore di esempio)
user joomla: francom
password: pword1
mail dello user: francom@yahoo.it


autenticazione gmail per acconsentire log in con account gmail attivata


cambio password

user joomla: francom
password: pword2
mail dello user: francom@yahoo.it


la mia mail di gmail è
user gmail: francom@gmail.com
password: pword1


ACCEDO A JOOMLA CON
user: francom
password: pword2


MA ANCHE CON
user: francom
password: pword1 (tra l'altro ex password di joomla)






la cosa che non capisco è come faccia a riconoscere che sono sempre io avendosu joomla una mail con yahoo.


Ma ho fatto la prova ed è così, ho cambiato password alla mail di google



user gmail: francom@gmail.com
password: pword3


e ora entro in joomla con
user: francom
password: pword2


e con
user: francom
password: pword3


non più con pword1




Spero l'esempio sia stato chiaro. Forse influisce il fatto che il nome della mail Google è uguale al nome utente di joomla!!


Potrebbe essere pericoloso?!?!?
Se fosse così, nel momento in cui, di un sito qualunque, conosco il nome utente e vedo che è installato il modulo di Gmail posso creare una mail con quel nome ed entrare come amministratore sul sito? ???








« Ultima modifica: 20 Feb 2014, 17:08:09 da frankquart »

Offline frankquart

  • Esploratore
  • **
  • Post: 118
  • Sesso: Maschio
  • Rust never sleeps
    • Mostra profilo
Ho fatto la prova anche in Joomla 2.5 ed è così:



Mettiamo che so queste informazioni che riguardano il sito:


Nome admin Joomla: pincopallo
Autenticazione per loggarsi con gmail attivata


Creo una mail con Gmail pincopallo@gmail.com
e con la mia password e questa mail riesco a entrare nell'amministrazione di joomla.


Questo è ciò che accade sul mio sito :(
« Ultima modifica: 20 Feb 2014, 18:11:44 da frankquart »

Offline alexred

  • Fuori controllo
  • *
  • Post: 25672
  • Sesso: Maschio
  • Esperto in ozio relaxed
    • Mostra profilo
Re:Due password per entrare nell'amministrazione del sito
« Risposta #16 il: 21 Feb 2014, 09:15:22 »
ciao    frankquart,
grazie per la segnalazione, ho fatto un test su Joomla 2.5 e confermo che si può rubare l'identità nel modo descritto.
Proveremo a segnalare il problema.

...cavoli, pensa chi ha presto admin@gmail.com rischia di potersi loggare come amministratore in moltissimi siti Joomla! (che hanno il plugin gmail attivo)

Offline frankquart

  • Esploratore
  • **
  • Post: 118
  • Sesso: Maschio
  • Rust never sleeps
    • Mostra profilo
Re:Due password per entrare nell'amministrazione del sito
« Risposta #17 il: 21 Feb 2014, 09:24:25 »
Esatto stesso pensiero che avevo avuto anch'io.


PS: ma la cosa strana è che mi succede con un sito e non con l'altro...


boh

Offline ste

  • Instancabile
  • ******
  • Post: 8774
  • Sesso: Femmina
    • Mostra profilo
Re:Due password per entrare nell'amministrazione del sito
« Risposta #18 il: 21 Feb 2014, 11:04:09 »
Ho fatto qualche test e anche a me su un sito succede quanto descritto da frankquart, mentre su un altro con molti più utenti no. Entrambi i siti sono aggiornati alla 3.2.2

Ho aperto un tracker su Joomlacode per segnalare il problema
http://joomlacode.org/gf/project/joomla/tracker/?action=TrackerItemEdit&tracker_item_id=33322&start=0
TTI - Team Traduzione Italiano di Joomla.it - Guide su Joomla

mau_develop

  • Visitatore
Re:Due password per entrare nell'amministrazione del sito
« Risposta #19 il: 21 Feb 2014, 16:18:16 »
ma non esisteva la possibilità di applicare un suffisso allo username? ... tanto sembra non funzioni nemmeno quello :)

Comunque credo sia un problema noto da sempre... ci sono post del 2006 uguali a quelli del 2013
Quì risponde allo stesso problema quello che credo lo abbia scritto o comunque verificato
http://forum.joomla.org/viewtopic.php?t=212437

mai usato qs plugin ma nonostante tutte le scuse / giustificazioni / alibi ... se qualcuno riesce a farlo vuol dire che è possibile e quindi una vulnerabilità.
Anche se dovesse dipendere dall'ambiente dove lo installi è comunque una vulnerabilità ugualmente grave anche se riflessa...
« Ultima modifica: 21 Feb 2014, 17:37:26 da M_W_C »

 

Host

Torna su