[TYPO3-german] Komme nicht mehr ins Backend
David Bruchmann
david at bruchmann-web.de
Thu Oct 7 16:01:06 CEST 2010
Am 07.10.2010 15:49, schrieb Marcus Krause:
> Hi!
>
> David Bruchmann schrieb am 10/07/2010 02:59 PM Uhr:
>> rsa funktioniert nur mit https.
>> Du kannst für 'loginSecurityLevel' 'normal' eintragen, dann wird das
>> Passwort verschlüsselt gespeichert aber unverschlüsselt übertragen.
>> rsaauth wird für saltedpasswords auf jeden Fall benötigt, auch wenn Du
>> es nicht verwenden solltest.
>> Ansonstem noch mal das Manual zu saltedpasswords lesen.
> Sorry, das ist totaler Quatsch!
>
> rsaauth kannst du sowohl mit unverschlüsselten als auch verschlüsselten
> Transfer (https via SSL/TLS) nutzen. Gedacht ist es sogar explizit für
> Fälle, in denen kein SSL/TLS zur Verfügung steht!
>
> Saltedpasswords ist so implementiert, dass es nur zur Verfügung steht, wenn
> * der Transfer über SSL/TLS läuft ODER
> * rsaauth aktiviert ist
>
> So wird sichergestellt, dass die Passwörter nicht unverschlüsselt durchs
> Netz wandern!
>
>
> Das Manual von saltedpasswords beschreibt die Anforderungen auch ganz gut.
>
>
> Wer saltedpasswords nutzen will, installiert rsaauth (sofern benötigt)
> und saltedpasswords; bei saltedpasswords steht dann ein
> Konfigurationscheck zur Verfügung, der eigentlich keine Fragen offen
> lassen sollte.
>
>
> Wenn man sich danach nicht einloggen kann, liegt es entweder daran, dass
> es irgendwelche Probleme mit openssl gibt (sofern man rsaauth noch
> benötigt) oder man abweichend von den Defaults
> FE.forceSalted/BE.forceSalted aktiviert hat. Genau dann werden nämlich
> nur User erfolgreich authentifiziert, wenn die Passwörter bereits als
> saltedhash vorliegen.
>
> Per default werden jedoch auch bestehende MD5 (BE) und plain-text (FE)
> Passwörter benutzt und während der Authentifizierung erst in
> saltedhashed Passwörter konvertiert.
>
Hallo Marcus,
danke für die Info.
Das Manual für rsa halt ich unter diesem Aspekt für Subotimal.
Momentan gehe ich davon aus, daß meine Konfiguration dann für die Fälle
gelten würde, in denen weder JS zur Verschlüsselung auf Client-Seite
gewünscht ist noch https zur Verfügung steht. Dort wird das Passwort
natürlich unverschlüsselt übertragen.
Gruß,
David
More information about the TYPO3-german
mailing list