Anmeldung mit Mitgliederverifizierung

  • Ramses Ramses
    T3PO
    0 x
    19 Beiträge
    0 Hilfreiche Beiträge
    13. 07. 2005, 12:13

    Hallo,

    weiß jemand, ob folgendes realisiert werden kann und wie?

    Zu einem geschlossenen Bereich auf unserer Seite sollen nur unsere Vereinsmitglieder (6000 St.) Zugang haben. Klappt auch mit dem Login. Um sich einzuloggen, müssen die Mitglieder Benutzername und Passwort eingeben.

    Jetzt kommt das Problem: Wie verifiziere ich, dass es sich tatsächlich um eines unserer Mitglieder handelt. Mein Ansatz war, allen einen Mitgliedsnamen und Passwort zu geben (als Frondend-User), den sie dann abfragen können. Heinz Müller soll auf einem Formular Name/Adresse und Email angeben und bekommt dann automatisch eine Mail mit Benutzernamen und Passwort. Mit dem "Front End User Admin " komm ich da irgendwie nicht weiter.

    Bin dankbar für jede Anregung!

    Gruß Ramses


  • just2b just2b
    TYPO3-Yoda
    0 x
    18741 Beiträge
    2 Hilfreiche Beiträge
    13. 07. 2005, 12:28

    Nur mal so als Idee, keine Ahnung wie zu realisieren:

    Benutzername ist hoffentlich sowas wie vorname.nachname.

    jetzt gibt es sicher via google 100 skripte, wie man zB md5-pws oder sowas erhält. dh du schreibst dir ein skript, das dir von allen usern über vorname.nachname ein PW generiert...
    dann gibts da eine Ext rs_userimp, mit der kannst du alle user importieren

    das mit adresse/email ist ja insoweit sinnlos, da du ja ohnehin jedem ein mail schicken musst, und das pw kann ja user1 für user2 auch anfordern...

    hoffe geholfen zu haben

  • Ramses Ramses
    T3PO
    0 x
    19 Beiträge
    0 Hilfreiche Beiträge
    13. 07. 2005, 12:47

    Erst mal herzlichen Dank für die schnelle Antwort.

    Zu meinem großen Bedauern gibt es in unserer Vereinsverwaltung keine Emailadressenliste. Da heißt, ich muss eine Anmeldung haben, die betehende, gepflegte Daten mit der Eingabe des Users vergleicht. Über die Passwortgenerierung mache ich mir da im Augenblick noch keine Gedanken.
    Alle Anmeldungen per Hand zu kontrollieren finde ich etwas mühsam, und alle Mitglieder anzuschreiben, die deutschlandweit verstreut sind, ist teuer.

    Der Tipp mit rs_userimp ist gut, werde ich ausprobieren. Ansonsten wollte ich es mit "Carasys DataTranslator" versuchen. Damit kann man lokale Access-Daten in seine online Mysql-Datenbank übertragen.

    Gruß Ramses

  • just2b just2b
    TYPO3-Yoda
    0 x
    18741 Beiträge
    2 Hilfreiche Beiträge
    13. 07. 2005, 13:07

    Hallo,

    ich hab das "und bekommt dann automatisch eine Mail mit Benutzernamen und Passwort" falsch interpretiert, sorry!

    naja das mit vergleichen haut so oder so nicht hin, denn _ich_ würd schon wen finden, der Mitglied ist, seine Adresse find ich auch heraus und dann bin ich schon er... verstehst was ich meine...

    und was ist, wenn du das ganze auf die Vereinsstruktur aufteilst? D.h. jeder (Orts-)Leiter ist für seine Mitglieder verantwortlich und verifiziert für dich die User? Wie auch immer das ausschauen mag, zB
    - Leiter hat Liste mit angelegten Usern/PW und verteilt die Accountdaten

    aber den Weg über Typo kannst du vergessen, da wie gesagt dann sich jeder für jeden ausgeben kann :/

    georg

  • Ramses Ramses
    T3PO
    0 x
    19 Beiträge
    0 Hilfreiche Beiträge
    13. 07. 2005, 13:43

    Dann bleibt also nur der lange mühselige Weg übrig. Oder über die Mitgliedsnummer zu gehen, die leider auch nicht immer mehrstellig sind. #angry#

    Du hast natürlich recht, eine komplett sichere Methode ist die von mir angedachte nicht. Aber Typo macht ja letztendlich auch nichts anderes. Typo schaut nach, ob Username und Passwort stimmen und lässt mich dann rein. Stattdessen sollte es zwei/drei andere definierte Felder auslesen und als Email ausgeben.

    Gruß Ramses
    [/quote]

  • just2b just2b
    TYPO3-Yoda
    0 x
    18741 Beiträge
    2 Hilfreiche Beiträge
    13. 07. 2005, 13:58

    [quote="Ramses"]Du hast natürlich recht, eine komplett sichere Methode ist die von mir angedachte nicht. Aber Typo macht ja letztendlich auch nichts anderes. Typo schaut nach, ob Username und Passwort stimmen und lässt mich dann rein. Stattdessen sollte es zwei/drei andere definierte Felder auslesen und als Email ausgeben. [/quote]

    Seh ich nicht so!
    weil was du angedacht hast bringt dich in Teufels Küche, weil wenn ich dann nämlich den Account von Mister x hab, dann kann ich über seinen Namen 1.) mal viel Müll schreiben und 2.) hast du dann einen mühsamen Weg vor dir, herauszufinden, wer wer ist...

    Typo macht eine einfache DB-Abfrage, aber dass da wer anderer den Account bekommt, da muss er schon das PW erraten, da ist ein riesen Unterschied, im ersten Fall bist du am A****, im 2. nicht!

    Das, was du sicherstellen willst/musst, ist halt, dass Person x auch wirklich den Account x bekommt, und das ist kein typo-Problem, das kannst du nur persönlich lösen (und dazu würde auch gehören, user x hat email x und bekommt pw an email x geschcickt)

    du könntest dir natürlich als alternative was suchen, was als temporäres (!) PW geeignet ist, ein Bsp wär die Mitgliedsnummer, falls halt nur das Mitglied (bzw + Leiter) die Kombination Nr + Mitglied wissen...
    alles andere ist schmafu, und da kannst du soviele felder abfragen, das wird nicht sicherer solangs felder sind, die jeder weiß oder wo herbekommt (öffentl. TelBuch)!

    lg georg

  • Ramses Ramses
    T3PO
    0 x
    19 Beiträge
    0 Hilfreiche Beiträge
    13. 07. 2005, 14:36

    Hast ja recht!!

    Wenn jemand weiß, Nachbar x ist in unserem Verein, dann kommt er auch rein. Das Ärgerliche ist eben, wir sind zentral organisiert, also nix mit Gruppenleitern oder so. Alles läuft von hier, oder gar nicht.

    [b]Vielen Dank für die klugen kritischen Gedanken.[/b]

    Es entsteht so oder so eine Sicherheitlücke, egal wie ich es mache. Selbst wenn ich jedes Mitglied anschreibe und ihm PW und Name zuweise, dann weiß ich immer noch nicht mit Sicherheit, dass er es ist, der sich anmeldet.

    Wenn ich mich beim ADAC einloggen will, muss ich auch erst Namen und Mitgliedsnummer eingeben. Dann komme ich auf eine Seite, auf der ich Namen bzw. Email und eigenes, frei gewähltes Passwort eingeben muss. Dies wird dann gespeichert und ich kann den Service des ADAC nutzen. Wenn ich jetzt die Karte mit Nummer und Name gefunden habe, kann ich als mein lieber Nachbar auftreten.
    Vom Prinzip machen die auch nichts anderes, die haben bei mir nur eine 9stellige Mitgliedsnummer.

    Gruß Ramses

  • just2b just2b
    TYPO3-Yoda
    0 x
    18741 Beiträge
    2 Hilfreiche Beiträge
    13. 07. 2005, 14:59

    [quote="Ramses"]Es entsteht so oder so eine Sicherheitlücke, egal wie ich es mache. Selbst wenn ich jedes Mitglied anschreibe und ihm PW und Name zuweise, dann weiß ich immer noch nicht mit Sicherheit, dass er es ist, der sich anmeldet. [/quote]
    naajaaaa... es könnte natürlich wer von der Post die Kuverts aufmachen, aber da müsstn wir dann ohnehin zum diskutiern aufhören ;)

    [quote="Ramses"]Wenn ich mich beim ADAC einloggen will, muss ich auch erst Namen und Mitgliedsnummer eingeben. Dann komme ich auf eine Seite, auf der ich Namen bzw. Email und eigenes, frei gewähltes Passwort eingeben muss. Dies wird dann gespeichert und ich kann den Service des ADAC nutzen. [/quote] Wie bereits oben geschrieben kannst du das natürlich auch machen, solangs nicht so ist, dass es wo eine öffentliche Liste gibt mit Nr + name drauf! dann würd [b]ich[/b] es vermutlich so machen, wobei es natürlich die Frage ist, was du für Informationen an die Mitglieder abgibst bzw. ob da dran dann Foren usw usw dran hängen!

    [quote="Ramses"]Wenn ich jetzt die Karte mit Nummer und Name gefunden habe, kann ich als mein lieber Nachbar auftreten.[/quote]
    Das kannst du auch mit Kreditkarten machen, aber s.o.

    lg georg
    [quote="Ramses"]Vielen Dank für die klugen kritischen Gedanken.[/quote]freut mich wenn ich helfen kann und motiviert zum weitermachen wenns wer schätzt ;)

  • Ramses Ramses
    T3PO
    0 x
    19 Beiträge
    0 Hilfreiche Beiträge
    13. 07. 2005, 15:20

    Es gibt keine öffentliche Liste, die Namen und Mitgliedsnummer zusammenbringen. Es gibt nur Mitgliedskarten, wo beides vermerkt ist.
    Im Mitgliedsbereich ist eigentlich nur das Forum wirklich sensibel. Es gibt keinen Shop oder Rechnungsstatus etc. Letztendlich werden den Mitgliedern hauptsächlich Fachinformationen zur Verfügung gestellt.

    Extrakt der Ideen: 1. Anmeldung mit Namen und Mitgliedsnummer/Rechnungsnummer, -> weiterleitung zu einer Seite, auf der das Mitglied sich selber Namen und Password geben kann -> Eintritt in den geschlossenen Bereich
    Danach werden zum einloggen nur noch die selbstgewählten Namen und PW gebraucht.

    Das sollte doch mit Typo zu machen sein, denke ich.

    freut mich wenn ich helfen kann und motiviert zum weitermachen wenns wer schätzt ;)

    Mein Dank ist ehrlich gemeint, da ich schon andere, weniger erfreuliche Erfahrungen in so einem Forum gemacht habe.

    Gruß Ramses

  • just2b just2b
    TYPO3-Yoda
    0 x
    18741 Beiträge
    2 Hilfreiche Beiträge
    13. 07. 2005, 15:31

    Hallo,

    ne ich würds nicht so kompliziert machen!
    Du hast hoffentlich alle User digital vor dir, dh es gibt null problem, zB mit der erwähnten ext, alle user in paar minuten anzulegen!
    username = vorname.nachname => sonst wirst nachher nur nicknames suchen
    pw = mitgliedsnr

    das spielst du auf den server, gibst jedem bekannt, wie er sich einloggen soll UND dass er das PW ändern MUSS!

    und da natürlich nicht alle Mitgleider online gehen werden, du vielleicht aber eine saubere DB haben willst, machst nach x Monaten einfach check der DB und haust alle raus, die sich nicht angemeldet haben, oder du lasst sie drin, weils ja schlussendlich nicht wirkich viel ausmacht...

    wenn du natürlich nciht mit vorname.nachname als user arbeiten willst, dann hast du natürlich ein kleines problem, wo es 2 wege gibt zum Lösen:
    a) ich denk da gabs mal ne extension, habs auf anhieb nicht gefunden
    b) du schreibst dir die fe_userregister um, so schwer kann das nicht sein, dass man den usernamen editiern/speichern kann

    lg georg
    ps: ich find das ganz schön mit vollem namen, weils eine gewisse ernsthaftigkeit reinbrringt, aber IMO