[TYPO3-german] Frontend-User mit verschlüsselten Passwörtern
Jörg Klein
joerg at klein-family.com
Fri Mar 20 16:42:07 CET 2009
Hallo!
"David Bruchmann" schrieb
>
> 1) "Man in the middle": Jemand kann die Übertragung abhören (z.B. der
> Admin in der Firma) und Deine unverschlüsselte Eingabe abfangen.
>
> Die Versschlüsselung greift erst dann richtig, wenn auf dem Client-Rechner
> verschlüsselt wird...
>
> Bei kb_md5fepw wird das Passwort auf dem Clientrechner wie oben verlangt
> per JavaScript verschlüsselt. Wie es bei t3sec_saltedpw abläuft weiss ich
> nicht, aber sollte dort genauso sein.
Nein, so ist es bei t3sec_saltedpw nicht!
Ihr habt das Manual doch schon zitiert: Die Übertragung sollte bei
t3sec_saltedpw mit SSL geschützt werden, sonst ist sie 1 zu 1 mithörbar.
Es findet vor der Übertragung KEINE Verschlüsselung statt.
Die zusätzliche Sicherheit, die diese Erweiterung bietet, zieht erst, wenn
bereits jemand Zugriff zur DB mit den Passworten erlangen konnte. Dann kann
er die gesalzenen Werte kaum misbrauchen. (Anders bei Passwörtern, die "nur"
mit md5 verschlüsselt sind; siehe Rainbow-Tables.)
SSL hast du nicht, also bliebe bei dir die Gefahr von man in the
middle-attacks bestehen.
Willst du eine sichere Übertragung, dann kannst du das nur mit kb_md5fepw
erreichen.
dann hast du da zumindest md5-Verschlüsselung.
Jörg
More information about the TYPO3-german
mailing list