Webstatus Remove -Reset Password to Default- option

Rund um die Software von Revolution Pi
Post Reply
TimSt
Posts: 6
Joined: 10 Jul 2018, 17:08
Answers: 0

Webstatus Remove -Reset Password to Default- option

Post by TimSt »

Hallo,
in dem Dialog zum Ändern des Passwortes ist mir aufgefallen, dass es eine Checkbox
"Remove -Reset Password to Default - option" gibt. Ich habe diese Option gewählt und
eine neues Passwort für den Benutzer admin vergeben.
Ich habe die Option gewählt, weil ich mal annehme, dass somit auf der Login Seite
diese Option nicht mehr angeboten wird.
Wieso ist diese Option trotzdem noch da?
Und wieso läßt es die Login Seite zu, dass bei Eingabe des Benutzers admin OHNE Eingabe
eines Passwortes die Option "Reset Password to Default" ausgeführt werden kann?
Es kommt die Rückmeldung "Passwort will be resetted- please confirm". Wenn mit OK
bestätigt wird, steht unten auf der Login Seite der Hinweis "Password has been reset...".
Danach funktioniert die Anmeldung als admin mit dem Standardpasswort wieder.
Ist das so gewollt?
Somit kann sich jeder Zugriff auf den Webstatus verschaffen, nachdem er dass Passwort
vom Aufkleber auf dem RevPiCore abgelesen hat und die IP-Adresse herausgefunden hat.

System: RevPiCore3, Updates zuletzt vor ein paar Tagen ausgeführt
User avatar
dirk
KUNBUS
Posts: 1926
Joined: 15 Dec 2016, 13:19
Answers: 4

Re: Webstatus Remove -Reset Password to Default- option

Post by dirk »

Lieber TimSt, vielen Dank für Deine Recherche. Wir werden das prüfen. Bis dahin kannst Du den WebStatus ganz abschalten mit

Code: Select all

sudo update-rc.d apache2 disable
sudo reboot
MeerArtefakt
Posts: 1
Joined: 27 Aug 2019, 08:35
Answers: 0

Re: Webstatus Remove -Reset Password to Default- option

Post by MeerArtefakt »

Hallo,

zur Erinnerung: das Thema ist noch nicht gelöst!

Habe gerade auf einem neuen Gerät für den Benutzer "admin" ein neues Passwort vergeben und auch an der Option "Remove -Reset Password to Default- option" einen Haken gesetzt. Danach einfach zurück zum login, den Benutzer admin einfach "Reset Password To Default" und dann konnte ich mich schon mit dem Aufkleber-Passwort anmelden.

Wenn ich den WebStatus ganz abschalte, dann deaktiviere ich doch den Apache Webserver? Welches in unserem Fall noch tragischer wäre!

Code: Select all

sudo update-rc.d apache2 disable
sudo reboot
Frank
Posts: 65
Joined: 09 Jan 2017, 10:46
Answers: 0

Re: Webstatus Remove -Reset Password to Default- option

Post by Frank »

Fehler wurde inzwischen behoben und ist im nächsten RevPi-Release nicht mehr vorhanden.

Workaround für Altgeräte:
die "Remove -Reset Password to Default- option" funktioniert wie gedacht ab der 2. Passwortänderung!
Der Bug bestand darin, dass die Option beim ERSTEN Ändern des Passworts nicht übernommen wurde. Passwort also bitte ZWEIMAL ändern, und bei der 2. Änderung die Checkbox setzen.
Post Reply