Loginsperre für CMSimple 5.20++

[Gonzo Gates]

Hallo Gerd,

in die 'login.php' habe ich lediglich

Code: Select all

[...]
// DOR: Login-Lock einbauen (https://www.cmsimple.org/forum/viewtopic.php?t=1442)
// CONFIG AREA LOGIN LOCK

// 'true' activates the LoginLimiter
$useCMSimpleLoginLimit = 'true';

// locktime in seconds
$cmsimpleLoginLimit = 60;

// END CONFIG AREA
[...]
function loginforms()
{
  [...]
  // $llip = 'ip' . str_replace('.','_',$_SERVER["REMOTE_ADDR"]); -> alt
  $llip = 'ip' . str_replace(array('.',':','/'),array('_','_','-'),$_SERVER["REMOTE_ADDR"]); // -> neu
  [...]
  <h5 style="margin-bottom: 5px; color: #333;">' . $tx['login']['password'] . ' ' . $llip . ':</h5>
  [...]
}
[...]

eingebaut, um den Inhalt der Variablen $llip als Ausgabezu zu sehen. Das ganze mit der Anzeige von 'Du hast dich X Mal falsch angemeldet' und das Erstellen einer 'ip2a02_3100_8b64_e00_a890_165a_6f52_a727-[1-3].txt' ist nicht enthalten.

Damit wollte ich nur beweisen, dass ich von meinem ISP bei bplaced.net mit einer IPv6-Adresse ankomme.

Ich werde dann zum Testen den anderen Kram mit 'Login Lock' doch noch einbauen. Für dich als genaueres Test-Feedback.

Gruß
Gonzo

PS: Bei dem Problem von Edi habe ich auch über WinSCP sinniert

[Gonzo Gates]

Hallo Gert,

die Veränderungen in deiner 'login.txt' hatte ich wohl nicht richtig in meine 'login.php' (CMSimple 5.11) eingepflegt, deshalb ging beim Anmelden erstmal alles den Bach herunter. Also habe ich den Inhalt der 'login.txt' stumpf in meine 'login.php' eingefügt. Bei klick auf Anmelden sah es ziehmlich beknackt aus, aber es hat funktioniert. './loginlimit' wurde erzeugt und bei falschem KW die Dateien '$llip-[1-3].txt' auch. Danach habe ich für meine Tests '$cmsimpleLoginLimit = 120;' gesetzt. anfangs dachte ich ja, dass ein Cookie gesetzt wird, aber nach lesen des Codes wurde ich erhellt. Ergebnis: 14:55:00 h Falscheingabe KW und $llip-1.txt wurde geschrieben. 14:56:00 h Falscheingabe KW und $llip-1.txt wurde in $llip-2.txt umbenannt. 14:56:30 h Falscheingabe KW und $llip-2.txt wurde in $llip-3.txt umbenannt. Jetzt wurde angezeigt, dass Login für 2 Minuten gesperrt war. 14:57:15 h auf Anmelden geklickt, die $llip-3.txt wurde gelöscht und ich hatte wieder die Anmeldeaufforderung nach 45 Sekunden und nicht nach 2 Minuten, wie es so schön da stand.

Ich denke, dass es eine gute Idee ist bei jedem falschen Login die alte Lock-Datei(en) zu löschen und eine Neue mit aktuellem Timestamp zu schreiben, statt die Datei(en) nur umzubenennen.

Schick fand ich, das bei meinen Falschanmeldungen unter 'localhost' und localhoRst' die Dateien 'ip127_0_0_1-[1-3].txt' und 'ip__1-[1-3].txt' gleichzeitig geschrieben wurden. Außerdem habe ich spaßeshalber

Code: Select all

$llip = 'ip' . str_replace(array('.',':','/'),array('_','-','-'),$_SERVER["REMOTE_ADDR"]);

ausprobiert und es wurden dann IPv6-Lock-Dateien in der Form von 'ip--1-[1-3].txt' geschrieben. Kuul!

Jetzt ist in meiner 'login.php' wieder alles beim Alten und './loginlimit' stört mich nicht.

Gruß
Gonzo