/
login.inc.php
375 lines (346 loc) · 15.3 KB
/
login.inc.php
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
<?php
if(logged_in()) gotop("index.php");
// Per Autologin einloggen
if(isset($_COOKIE['autologin']) && strpos($_COOKIE['autologin'], '-') !== false) {
list($autologin, $token) = explode('-', $_COOKIE['autologin'], 2);
$query = $database->prepare('SELECT token, user_id FROM user_autologin WHERE id = ?');
$query->execute(array($autologin));
$result = $query->fetch(PDO::FETCH_OBJ);
if($result) {
if($result->token != $token) {
// Hier liegt ein Sicherheitsproblem vor!
status_message("Dein Login-Cookie wurde zwischenzeitlich von einem anderen Standort aus verwendet." .
" Du wurdest aus Sicherheitsgründen ausgeloggt.");
$query = $database->prepare('DELETE FROM user_autologin WHERE id = ?');
$query->execute(array($autologin));
gotop("index.php?q=login");
}
// Neues Sicherheitstoken erzeugen
$token = sha1($token . '-' . microtime() . '-' . rand());
$query = $database->prepare('UPDATE user_autologin SET token = ? WHERE id = ?');
$query->execute(array($token, $autologin));
setcookie('autologin', $autologin . '-' . $token, time() + 15552000,
(dirname($_SERVER['REQUEST_URI']) == '/' ? '/' : dirname($_SERVER['REQUEST_URI']) . '/'),
null, false, true);
// Benutzer einloggen
$user = user_load('id', $result->user_id);
if(!$user) {
setcookie('autologin', null, time() - 1,
(dirname($_SERVER['REQUEST_URI']) == '/' ? '/' : dirname($_SERVER['REQUEST_URI']) . '/'),
null, false, true);
gotop("index.php");
}
else {
$_SESSION['logged_in'] = true;
$_SESSION['login'] = $user;
gotop('index.php');
}
}
}
// Formzielbehandlung nur bei korrekter URL
if($_GET['q'] == "login"):
// Namens-Check für Anmeldung
if(isset($_GET['name_check'])) {
ob_end_clean();
$query = $database->prepare('SELECT COUNT(*) FROM users WHERE name = ?');
$query->execute(array($_GET['name_check']));
if($query->fetchColumn() != 0) {
die("Dieser Benutzername ist bereits vergeben.");
}
die();
}
// Registierungsinfo nochmals anzeigen, falls Token gesetzt
if(isset($_REQUEST['token'])) {
$is_register = true;
}
$errName = $errPass = '';
if(isset($_REQUEST['action'])) { // Request statt Post ist Absicht!
// Prüfungen im Zusammenhang mit LDAP-Usern ohne lokalen Account
if($ldap_server && $_POST['name']) {
$query = $database->prepare('SELECT COUNT(*) FROM users WHERE name = ?');
$query->execute(array($_POST['name']));
if($query->fetchColumn() == 0) {
// Kein lokaler User.
if(ldap_authenticate($_POST['name'], $_POST['pass'])) {
// Gültiger LDAP Account, automatisch Registrieren
$_REQUEST['action'] = $_POST['action'] = 'Registrieren';
}
elseif(!$allow_local_registration) {
// Kein gültiger LDAP Account und lokale Registrierung verboten
if($_POST['action'] != 'Anmelden') {
// Sollte nie passieren, weil der Button fehlt
die();
}
}
}
}
elseif(!$allow_local_registration && $_POST['name'] && $_POST['action'] != 'Anmelden') {
// Kein LDAP vorhanden, aber lokale Registrierung verboten
// Dann sollte ein User nie an diesen Punkt kommen
die();
}
// Voraussetzungen zur Registrierung
if($_POST['action'] != 'Anmelden') {
// Registrierung auf IP-Bereiche einschränken
if(isset($restrict_registration) && $restrict_registration) {
$register_ok = false;
$client_ip = ip2bin($_SERVER['REMOTE_ADDR']);
foreach($restrict_registration as $ip_range) {
list($ip, $sub) = explode('/', $ip_range);
$mask_ip = ip2bin($ip);
if(strncmp($client_ip, $mask_ip, $sub) == 0) {
$register_ok = true;
break;
}
}
if(!$register_ok && isset($_POST['token'])) {
// Registrierungslink validieren
list($time, $hash) = explode('-', $_POST['token'], 2);
if($time > time() - 3600 * 24 * 2 && substr(md5($time . "register" . $secure_token), 0, 5) == $hash) {
$register_ok = true;
}
}
if(!$register_ok && isset($_POST['register_mail']) && $restrict_registration_mail_allow) {
// Registrierungsmail zusenden
$valid = false;
foreach($restrict_registration_mail_allow as $regex) $valid |= preg_match($regex, $_POST['register_mail']);
if(!$valid) {
status_message("Diese Email-Adresse ist leider nicht erlaubt");
gotop("index.php?q=login&action=Registrieren");
}
else {
$headers = "Content-Type: text/plain;charset=UTF-8" . PHP_EOL .
"Content-Transfer-Encoding: 8bit" . PHP_EOL .
"From: =?utf-8?Q?=C3=9Cbungen?= <noreply@" . $_SERVER['SERVER_NAME'] . ">" . PHP_EOL .
"Reply-To: ".$support_mail;
$directory = dirname($_SERVER['REQUEST_URI']); if(substr($directory, -1) != '/') $directory .= '/';
$time = time();
$token = $time . "-" . substr(md5($time . "register" . $secure_token), 0, 5);
$link = 'http' . (isset($_SERVER['HTTPS']) ? 's' : '') . '://' . $_SERVER['SERVER_NAME'] . $directory . 'index.php?q=login&token=' . $token;
$message = "Hallo," . PHP_EOL . PHP_EOL .
"Du erhälst Diese Mail, weil Du einen Registrierungslink für den Übungszettelaggregator" . PHP_EOL .
"angefordert hast. Bitte klicke auf folgenden Link und verwende dann den „Registrieren“-Button," . PHP_EOL .
"um Dir dann einen Benutzer anzulegen:" . PHP_EOL . PHP_EOL .
" " . $link . PHP_EOL . PHP_EOL .
"Dieser Link wird zwei Tage lang gültig sein. Solltest Du diesen Link nicht angefordert haben," . PHP_EOL .
"kannst Du diese Mail einfach ignorieren." . PHP_EOL . PHP_EOL . "Gruß," . PHP_EOL . "Dein Übungszettelservice";
mail($_POST['register_mail'], '=?utf-8?Q?=C3=9Cbungszetteldienst?= Registrierung', $message, $headers);
status_message("Die Registrierungsmail wurde versandt und sollte bald bei Dir eintreffen.");
gotop("index.php");
}
}
if(!$register_ok && !$restrict_registration_mail_allow):
?><div id="content">
<h2>Von hier aus kannst Du Dich leider nicht registrieren..</h2>
<p>Die Registrierung bei diesem Dienst ist nur eingeschränkt auf Rechner aus bestimmten Netzwerken möglich.
Das ist notwendig, damit wir Dir auch Übungen von Veranstaltungen ausliefern zu dürfen, deren Homepages
vor externen Zugriffen gesichert sind.</p>
<p>Bitte benutze zum Registrieren einen PC aus einem der folgenden Netzwerke:</p>
<ul>
<?php foreach(array_keys($restrict_registration) as $key): ?>
<li><?=$key?></li>
<?php endforeach; ?>
</ul>
<p>Du kannst auch ein VPN oder einen SSH-Tunnel verwenden, um Dich von zu Hause aus anzumelden.
Wie das geht, steht auf der Webseite Deines Instituts!</p>
<p>Nachdem Du Dich registriert hast, kannst Du von überall aus auf Deinen Account zugreifen.</p>
</div>
<?php
return;
endif;
if(!$register_ok && $restrict_registration_mail_allow):
?><div id="content">
<h2>Bitte bestätige Deine Institutsangehörigkeit</h2>
<p>Du meldest Dich von außerhalb Deines Universitätsnetzwerkes an. Um Dir auch Übungen von Veranstaltungen
ausliefern zu dürfen, deren Homepages vor externen Zugriffen gesichert sind, müssen wir überprüfen, ob
Du Institutsangehöriger bist.</p>
<p>Bitte gib Deine Email-Adresse an einer der folgenden Universitäten an:</p>
<ul>
<?php foreach(array_keys($restrict_registration) as $key): ?>
<li><?=$key?></li>
<?php endforeach; ?>
</ul>
<p>Wir senden Dir einen speziellen Link zu, über den Du Dir dann einen Benutzernamen anlegen kannst. Dein Account wird nicht
mit der Email-Adresse verknüpft und die Adresse wird von uns auch nicht gespeichert.</p>
<h3>Login-Link anfordern</h3>
<form method="post">
<p>
<label><span>Email</span> <input type="text" name="register_mail" /></label>
</p>
<input type="submit" name="action" value="Anmeldelink zusenden" />
</form>
</div>
<?php
return;
endif;
}
}
// Info-Text zur Anmeldung
if($_POST['action'] == "Weiter") {
$_SESSION['confirm'] = true;
$_POST = $_SESSION['saved_post'];
unset($_SESSION['saved_post']);
}
if(!isset($_SESSION['confirm']) && $_POST['action'] == 'Registrieren') {
// Willkommens-Text anzeigen
$_SESSION['saved_post'] = $_POST;
?><div id="content">
<h2>Übungszettel</h2>
<p>
Mit der Registrierung ein paar Worte zum Programm, dem Datenschutz und den Daten, die hier
gespeichert werden:
</p>
<p>
Diese Seite erlaubt es Dir, Übungszettel automatisch von anderen Webseiten
aggregieren zu lassen. Dass ein Zettel hier nicht auftaucht, ist keine Entschuldigung
dafür ihn nicht bearbeitet zu haben. Mitdenken und aufpassen kann Dir keine Software
abnehmen.
</p>
<p>
Die Seite speichert von Dir Deinen Loginnamen, einen (gesalteten SHA1-)Hash Deines Passwortes sowie
welche Kurse Du abboniert hast, welche Übungszettel Du bereits bearbeitet und welche
Notizen Du hinterlegt hast. Du kannst Deinen Account jederzeit kündigen und all das
wird umgehend gelöscht. Beim Login wird ein Autologin-Cookie für Dich gespeichert, der Dich
beim nächsten Besuch automatisch wieder einloggt. Loggst Du Dich manuell aus, werden
alle Deine Autologin-Cookies automatisch deaktiviert.
<?php if($ldap_server): ?>
Falls Du bei der Registrierung einen Benutzernamen samt
Kennwort aus dem <a href="<?=$ldap_web?>">LDAP</a>
angibst, speichern wir Dein Passwort nicht, sondern speichern nur die Verknüpfung Deines Accounts
mit dem LDAP-Verzeichnis. Diese Verknüpfung kannst Du auch noch nachträglich erstellen, falls Du
Dir später einen Account im LDAP anlegst.
<?php endif; ?>
</p>
<p>
Du hast auf dieser Seite die Möglichkeit, neue Kurse zu speichern. Diese Kurse werden
<em>nicht</em> automatisch gelöscht, wenn Du Dich abmeldest. Du kannst sie aber jederzeit
manuell löschen. Alle von Dir angelegten Kurse sind erst einmal nur für Dich privat verfügbar,
bis sie von einem Administrator für alle anderen freigeschaltet werden. Das geschieht prinzipiell
immer und Du hast keine technische Möglichkeit, das zu verhindern. (Eine Kennzeichnung
als <em>privat</em> im Titel wird eine Freischaltung faktisch verhindern, verhindert aber
nicht, dass Administratoren den Kurs sehen können). Die Inhalte aggregierter URLs werden
für die mobile Ansicht als PNG, sowie für die Funktion „PDFs kombinieren“ als PDF auf diesem
Server zwischengespeichert.
</p>
<p>
Die Software dieser Seite steht unter der <a href="http://www.gnu.org/licenses/gpl.html">GNU
General Public License</a> frei zur Verfügung. Diese Seite nutzt Icons von
<a href="http://www.famfamfam.com/lab/icons/silk/">Famfamfam</a>.
</p>
<p>
Solltest Du mit alledem einverstanden sein, so klicke auf „Weiter“.
</p>
<form method="post">
<input type="submit" name="action" value="Weiter">
<?php if(isset($_POST['token'])): ?><input type="hidden" name="token" value="<?=htmlspecialchars($_POST['token'])?>"><?php endif; ?>
</form>
</div><?php
return;
}
$name = strtolower(trim($_POST['name']));
$pass = $_POST['pass'];
$is_register = false;
if($_POST['action'] == 'Registrieren') {
$is_register = true;
// Anmelden
if(empty($name)) {
$errName = 'Bitte gib einen Benutzernamen ein.';
}
else {
// Checken, ob der Name schon vergeben ist
$name = str_replace(array('<', "\n", '>'), '', $name);
$stmt = $database->prepare('SELECT count(*) FROM users WHERE name = ?');
$stmt->execute(array($name));
if($stmt->fetchColumn() > 0) {
$errName = 'Dieser Benutzername ist bereits vergeben.';
}
}
if(empty($pass)) {
$errPass = 'Bitte gib ein Passwort ein.';
}
// LDAP Server gegenchecken
$is_ldap_account = false;
if($ldap_server && !$errPass && !$errName && ldap_check_if_name_exists($name)) {
if(!ldap_authenticate($name, $pass)) {
$errName = 'Dieser Benutzername ist bereits im LDAP vergeben';
$errPass = 'Das Passwort stimmt nicht mit dem im LDAP überein';
}
else {
$is_ldap_account = true;
}
}
if($errPass == $errName && $errName == "") {
// Benutzer erstellen
$user = user();
$user->name = $name;
if($is_ldap_account) {
$user->flags = USER_FLAG_IS_LDAP_ACCOUNT;
}
else {
$salt = base_convert(rand(0, 36*36 - 1), 10, 36);
$passSha = sha1($salt . $pass);
$user->pass = $passSha;
$user->salt = $salt;
}
user_save();
status_message('Dein Benutzer wurde angelegt. Willkommen beim Übungszetteldienst!');
// Kein Autologin beim ersten Anmelden
$_SESSION['logged_in'] = true;
$_SESSION['login'] = $user;
gotop('index.php');
}
}
if($_POST['action'] == 'Anmelden') {
// Benutzer einloggen
$user = user_load_authenticate($name, $pass);
if(!$user) {
$errPass = 'Benutzername oder Kennwort sind falsch.';
}
else {
// Autologin-Cookie anlegen
$autologin = sha1($user->salt . $secure_token . time() . $user->id . $_SERVER['REMOTE_ADDR']);
$token = sha1($autologin . '-' . microtime() . '-' . rand());
$database->query("INSERT INTO user_autologin (id, token, user_id) VALUES('" . $autologin . "',
'" . $token . "', " . $user->id . ');');
setcookie('autologin', $autologin . '-' . $token, time() + 15552000,
(dirname($_SERVER['REQUEST_URI']) == '/' ? '/' : dirname($_SERVER['REQUEST_URI']) . '/'),
null, false, true);
// User ist nun eingeloggt. Zur Übersicht.
$_SESSION['logged_in'] = true;
$_SESSION['login'] = $user;
gotop('index.php');
}
}
}
endif; // Formzielbehandlung
$support_mail_show = str_replace(array('@'), array(' auf '), $support_mail);
?>
<form action="index.php?q=login" method="post" id="login" accept-charset="utf-8">
<div>
<input type="hidden" name="destination" value="<?=htmlspecialchars($_REQUEST['destination'])?>">
<?php if($is_register) echo("<span class='info'>Um Dich zu registrieren wähle bitte einen Benutzernamen und ein Passwort aus.</span>"); ?>
<label><span>Benutzername</span><input type="text" name="name" maxlength="50" value="<?=htmlspecialchars($_POST['name'])?>"></label>
<?php if($errName) echo('<span class="error">'.$errName.'</span>'); ?>
<label><span>Kennwort</span><input type="password" name="pass" value=""></label>
<?php if($errPass) echo('<span class="error">'.$errPass.'</span>'); ?>
<?php if(!$is_register) echo('<input type="submit" name="action" value="Anmelden">'); ?>
<?php if(isset($_REQUEST['token'])): ?><input type="hidden" name="token" value="<?=htmlspecialchars($_REQUEST['token'])?>"><?php endif; ?>
<?php if($is_register || $allow_local_registration): ?><input type="submit" name="action" value="Registrieren"><?php endif; ?>
</div>
<?php if(!is_mobile()): ?>
<p class="info">Feedback? Fragen? Kommentare? → Mail an <span class="tomail"><?=$support_mail_show?></span></p>
</form>
<footer>
<p class="about"><img src="images/tux.png" />
<a href="http://github.com/phillipberndt/Uebungszettel">Übungszettel</a> ist ein Angebot von <a href="http://www.spline.de">Spline</a>.<br>
Geschrieben von <a href="http://www.pberndt.com">Phillip Berndt</a>.<br>
<?php
echo($database->query('SELECT COUNT(*) FROM users')->fetchColumn() . ' Benutzer haben zusammen ' .
($database->query('SELECT SUM( (SELECT COUNT(*) FROM data WHERE data.feed_id = user_feeds.feed_id) ) FROM user_feeds')->fetchColumn() + 0) .
' Zettel erhalten.');
?>
</p>
</footer>
<?php else: ?>
</form>
<?php endif; ?>