[TYPO3-german] TYPO3.org: Eh, hallo?

["Manfred Müller-Späth"]

Hallo David!

Ich denke, das ist allen klar. Aber es geht um mehr - wenn so ein Fehler den TYPO3-Protagonisten passiert, dann kann man davon ausgehen, dass zig andere T3 Installationen auch so aufgesetzt sind - das ist ein gefundenes Fressen für Angreifer. Als IT-Sicherheits-Spezialist rollen sich mir bei solch einer Meldung die Fußnägel hoch - und neben dem möglichen pekuniären Schaden kommt ja auch noch der Imageschaden der TYPO3-Community bzw. des Systems an sich dazu - wenn das einmal bei heise gepostet wird, braucht man auf hämische Kommentare nicht zu warten. Und ich habe meinem Arbeitgeber TYPO3 empfohlen - da ist dann wieder Argumentationsaufwand nötig.

Insofern nützt jammern doch - denn in TYPO3 müssen IMHO einige Standard-Funktionen besser abgesichert werden, das sehe ich genauso. Ok, entsprechend instruierte Seiten-Entwickler werden die MD5-Codierung laden, aber interessierte Anwender dürften alleine mit dem Begriff gar nichts anfangen können. Daher muss es eine Prämisse sein, auch den Anfängern ein möglichst sicheres System an die Hand zu geben.

Der Hinweis auf Mapping-Tabellen mag ja berechtigt sein, aber mit MD5-Codierung ist das Passwort immer noch sicherer als ohne ...

Gruß, Manfred

On Fri, November 14, 2008 16:51, David Brunnthaler wrote:

> Also ich hab das so verstanden, dass das Problem nur die Typo3.org Seite
> betrifft. Also wenn du auf deiner Typo3-Installation die fe_user
> Extension verwendest, dann sind deine darin gespeicherten User nicht
> betroffen. "Nur" dein Typo3.org Passwort ist betroffen..
> 
> Zumindest hab ich das so verstanden..
> 
> Gruß
> David

-- 
Sensationsangebot nur bis 30.11: GMX FreeDSL - Telefonanschluss + DSL 
für nur 16,37 Euro/mtl.!* http://dsl.gmx.de/?ac=OM.AD.PD003K11308T4569a