Über den Author / Internet / Piwik Login per Link

Piwik Login per Link

~2 Min. Lesezeit

Piwik ist eine geniales Tool, welches Statistiken zur eigenen Webseite liefert.

Genial daran ist, das man es einmalig installieren muss und dann gleich wie Google Analytics auf allerlei Seiten einbinden kann, auch Server übergreifend.

In einem geschützten Bereich habe ich all meine Dienste verlinkt, mit Autologon. So brauche ich nur den Link anzuklicken und ich bin im Dienst eingeloggt.

Piwik schützt sich gegen Bruteforce mit dem sogenannten Nonce Attribut beim Login. Dieses wird bei jedem Aufruf der Loginseite geändert und falls der Code im Hintergrund nicht stimmt, wird User und Passwort erst nicht überprüft.

Autologon geht nicht oder nur per kleinem Trick. Dazu öffnet man folgende Datei /plugins/Login/Controller.php und sucht die Zeile:

if(Piwik_Nonce::verifyNonce('Piwik_Login.login', $nonce))

Diese Zeile ersetzt man dann gegen diese:

if(Piwik_Nonce::verifyNonce('Piwik_Login.login', $nonce) OR $nonce=='GEHEIMER-SCHLÜSSEL')

Dies hebelt den Schutz nicht komplett aus, sondern lässt einem jedes Mal durch wenn der geheime Schlüssel geschickt wird.

Danach kann man auf der gewünschten (geschützten) Webseite folgenden Code einfügen:

<form target="_blank" id="form10" name="form10" action="http://DEINE_URL/?module=CoreHome" method="POST">
<input type="hidden" name="form_nonce" value="GEHEIMER-SCHLÜSSEL">
<input id="userfeld10" type="hidden" name="form_login" value="USERNAME"><input id="passfeld10" type="hidden" name="form_password" value="PASSWORD">
</form>

<a rel="nofollow" href="#" onclick="javascript:document.forms['form10'].submit(); return false" class="button-1"><b>Piwik Stats</b></a>

Mit einem Knopfdruck ist man eingeloggt und um das User/PW muss man sich keine Gedanken machen. So kann man dann auch problemlos Passwörter mit 40 Stellen verwenden und für jeden Dienst ein Eigenes.

Es lohnt sich aber sehr, diese Single-Sign-On Seite nicht auf dem Internet zu publizieren und genügend zu schützen.

Als kleines Beispiel habe ich ein Auszug meiner Singl-Sign-On Seite angehängt, welche per HTTPS erreichbar ist und einmalig eine Passwortauthentifierung benötigt. Die Seite selbst ist mit einem eigenen PHP-Confusor verschlüsselt, das der Quellcode auch nicht so einfach lesbar wäre im Notfall.
In meinem Beispiel integrierte ich gleich noch, das man mit einem Dropbox Feld den User auswählen kann, mit welchem man sich am System anmelden möchte.

Ich nutze dies schon sehr lange und würde es nicht wieder hergeben. Endlich macht es Sinn jedem Dienst sein kryptisches Passwort zu vergeben und sich nicht darum kümmern zu müssen, zudem ist das Ganze von Überall erreichbar und selbstverständlich wird nichts gecached.

About Stefan

avatar
Ein männlicher IT Nerd, durchstöbert das Web nach speziellen Gadgets, unentbehrlicher Software und Alles was man im IT Sektor nicht verpassen darf.Immer hilfsbereit wenn Probleme zu lösen sind oder das Unmögliche umgesetzt werden sollte.

Weitere interessante Artikel

PHP Trojaner (Teil 4: Codierte Uploader Infektion)

~2 Min. LesezeitNicht jeder PHP Trojaner kann auf den ersten Blick identifiziert werden, was der …

PHP Trojaner (Teil 3: Spamsender Infektion)

~1 Min. LesezeitSpam ist ein grosses Problem der heutigen Zeit, doch wer verschickt Spam und …

2 Kommentare

  1. avatar

    Tolle Sache. Leider ist es ein Core-Hack und somit dann vorbei mit Piwik Updates 🙁

  2. avatar

    Das ist klar, aber ein keines Patchscript fürgt dies bei mir auf Knopfdruck wieder ein und ich weiss ja, wenn ich ein Update einspiele.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.

This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg