[TYPO3-german] Komme nicht mehr ins Backend
Marcus Krause
marcus#exp2010 at t3sec.info
Thu Oct 7 15:49:37 CEST 2010
Hi!
David Bruchmann schrieb am 10/07/2010 02:59 PM Uhr:
> rsa funktioniert nur mit https.
> Du kannst für 'loginSecurityLevel' 'normal' eintragen, dann wird das
> Passwort verschlüsselt gespeichert aber unverschlüsselt übertragen.
> rsaauth wird für saltedpasswords auf jeden Fall benötigt, auch wenn Du
> es nicht verwenden solltest.
> Ansonstem noch mal das Manual zu saltedpasswords lesen.
Sorry, das ist totaler Quatsch!
rsaauth kannst du sowohl mit unverschlüsselten als auch verschlüsselten
Transfer (https via SSL/TLS) nutzen. Gedacht ist es sogar explizit für
Fälle, in denen kein SSL/TLS zur Verfügung steht!
Saltedpasswords ist so implementiert, dass es nur zur Verfügung steht, wenn
* der Transfer über SSL/TLS läuft ODER
* rsaauth aktiviert ist
So wird sichergestellt, dass die Passwörter nicht unverschlüsselt durchs
Netz wandern!
Das Manual von saltedpasswords beschreibt die Anforderungen auch ganz gut.
Wer saltedpasswords nutzen will, installiert rsaauth (sofern benötigt)
und saltedpasswords; bei saltedpasswords steht dann ein
Konfigurationscheck zur Verfügung, der eigentlich keine Fragen offen
lassen sollte.
Wenn man sich danach nicht einloggen kann, liegt es entweder daran, dass
es irgendwelche Probleme mit openssl gibt (sofern man rsaauth noch
benötigt) oder man abweichend von den Defaults
FE.forceSalted/BE.forceSalted aktiviert hat. Genau dann werden nämlich
nur User erfolgreich authentifiziert, wenn die Passwörter bereits als
saltedhash vorliegen.
Per default werden jedoch auch bestehende MD5 (BE) und plain-text (FE)
Passwörter benutzt und während der Authentifizierung erst in
saltedhashed Passwörter konvertiert.
Marcus.
--
Member TYPO3 Security Team
Blog on TYPO3 Security: http://secure.t3sec.info/blog/
More information about the TYPO3-german
mailing list