Gert wrote: ↑Thu May 28, 2020 11:44 am
Zu diesem Ergebnis waren wir ja nach 5 Seiten Diskussion bereits gekommen
Ja, sorry. Vielleicht sollte ich erstmal den ganzen Thread lesen, bevor ich mich einmische
...
... hab' ich jetzt aber gemacht
...
Mein Favorit:
- das CMS kommt ohne PW (bzw. ohne vollständige config.php)
- beim ersten Login wir ein Passwort abgefragt und eine entsprechende config.php erstellt
- die Datei wird an den User gesendet der sie mittels FTP auf den Server kopieren muss um die Installation freizuschalten
Da gibt es nicht eine (zeitkritische) Lücke, die von einem bösartigen Besucher genutzt werden könnte.
Das ist eigentlich die Version mit dem
Vorschlag auf Seite 1.
Für die lokale (Entwicklungs-) Umgebung kann man ja einen Hash in die config.php kopieren.
Und wem die Nutzung der existentiellen config.php zu kompliziert erscheint: warum den Hash nicht in einer neuen Datei, direkt im Hauptordner der Installation, ablegen? Das wäre vielleicht auch einfacher zu erklären: vorhandene (leere) Datei "pwhash.php" im Hauptordner überschreiben.
Gert wrote: ↑Thu May 28, 2020 11:44 am
Nebenbei ist das "Passwort vergessen" Problem gleich mit erschlagen, jedenfalls für den Admin mit ftp Zugang.
Wäre dann auch so. Datei löschen (oder leeren), neues PW kann generiert werden (oder halt auf den Link "Passwort vergessen klicken
).