[TYPO3-german] Browserspezifischer Fehler bei FELogin und RSA + Salted Password

[bernd wilke]

Am 06.12.2012 13:14, schrieb Tobias Gläser:
> Hallo,
> seit dem ich mit meiner Webseite auf einen anderen Server umgezogen bin habe ich das Problem, dass das Frontend Login mittels FELogin in Verbindung mit der RSA Verschlüsselung und Salted Password nicht mehr geht.
>
> Das merkwürdige ist, dass dieser Fehler Browser- und Einbindungsspezifisch ist.
> Neben den Loginbereich im Template habe ich auch noch eine extra Loginseite für einen Redirect bei geschützten Seiten.
> Bei einigen Browsern gehen beide Loginbereiche ohne Probleme, teilweise geht jedoch nur der Login welcher über das Plugin auf einer extra Seite eingebunden ist oder der Login im Template. Je nachdem geht auch kein Login.
>
> Ein weiterer Merkwürdiger Punkt ist, wenn ich das FEUser Passwort im Backend geändert habe – dass auf einmal andere Browser fehlerfrei laufen und andere Fehler erzeugen.
>
> Sobald ich die Sicherheit über das Installationstool in Typo3 herunter stelle und RSA deaktiviere besteht dieses Problem nicht mehr und es lässt sich über alle Browser problemlos einloggen.
>
> Habt ihr evtl. einen Lösungsansatz für dieses Problem?

ich würde mal nach javascript-fehlern suchen.


> Ansonsten – Ist es ein großes Sicherheitsrisiko auf die RSA Verschlüsselung zu verzichten?

RSA schützt davor dass irgendwer das Passwort auslesen, bzw. ausrechnen 
kann sofern auch nur ein md5 hash bekannt ist (stichwort: rainbow-tables)
vollkommen ungeschützte Passwörter kann man locker mit einem SQL-Dump/ 
phpmyadmin auslesen.

> Anmerkung: Die Webseite wird komplett über HTTPS betrieben.

das sorgt nur dafür, dass ein übertragenes Passwort (/Daten allgemein) 
nicht zwischendurch mitgelesen werden können.

ansonsten gilt es einfach abzuwägen wie vertraulich, persönlich, geheim 
die Daten sind, die mit einem login zugänglich werden.


bernd
-- 
http://www.pi-phi.de/cheatsheet.html