[TYPO3-german] TYPO3.org: Eh, hallo?

David Bruchmann david at bruchmann-web.de
Fri Nov 14 19:32:07 CET 2008 

Hallo Alex,

Kann ja sein, daß das gehackte BE-Passwort verschlüsselt war.
Die gestohlenen Paswörter waren aber unverschlüsselt, nach meinem
Kenntnisstand werden FE-Passwörter nämlich unverschlüsselt abgelegt.

Wenn ein System gehackt wird ist der vorübergehende Verlust der Kontrolle
tragisch aber durch ein Backup reparabel, der Missbrauch von Userdaten hat
aber eine andere Qualität und bedarf normalerweise besonderer Verantwortung
durch den Seitenbetreiber. MD-5 Verschlüsselung schafft hier (wie in einem
vorherigen Beitrag beschrieben) zumindest vordergründig Vertrauen,
angemessen währe aber eine andere technische Methode.

@Manfred: Du hattest mich wohl mit David Brunnthaler verwechselt - es gibt
mehrere Davids ;-)

Gruß
David


-----Ursprüngliche Nachricht-----
Von: typo3-german-bounces at lists.netfielders.de
[mailto:typo3-german-bounces at lists.netfielders.de] Im Auftrag von Alexander
Herrmann
Gesendet: Freitag, 14. November 2008 15:40
An: German TYPO3 Userlist
Betreff: Re: [TYPO3-german] TYPO3.org: Eh, hallo?

Aufregen bringt nix. Laut Robert Lemkes Twitter Message
(http://twitter.com/t3rob/statuses/1005359702) waren die passwörter
md5 verschlüsselt aber das Passwort zu einfach.

Alex

2008/11/14 Markus Bucher <markusbucher at gmx.de>:
> David Bruchmann schrieb:
>> Das Passwort in typo3.org wird tatsächlich unverschlüsselt abgelegt.
>> Es handelt sich um eine einfache Installation von fe_useradmin.
>> Wenn das Passwort verloren geht wird es einfach per Mail verschickt,
anstatt
>> ein neues zu generieren.
>
> Welcher Schlaukopp hat sich denn bitteschön das ausgedacht? Erstens
> verschlüsselt man Passwörter generell und zweitens generiert man halt
> ein neues Kennwort, wenn das alte verloren geht. Wofür haben wir denn
> diese Funktion? Welche Gründe sprechen dagegen? Dass zwei von 12
> Millionen Wörtern die gleichen MD5-hashes produzieren? Kaum.
>
> Ich möchte bitteschön wissen, wenn mein Kennwort unverschlüsselt auf
> einer Webseite gespeichert wird. Dann nehme ich nämlich nicht eins
> meiner geheimen Standardkennwörter sondern denke mir eins ausschließlich
> hierfür aus. Oder verzichte aus Sicherheitsbedenken komplett auf die
> Registrierung hier.
>
> TYPO3 will ein hochprofessionelles CMS sein und dann sowas hier. Ich bin
> erschüttert.
>
> Markus
>
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.netfielders.de
> http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german
>
_______________________________________________
TYPO3-german mailing list
TYPO3-german at lists.netfielders.de
http://lists.netfielders.de/cgi-bin/mailman/listinfo/typo3-german

More information about the TYPO3-german mailing list