[TYPO3-german] Browserspezifischer Fehler bei FELogin und RSA + Salted Password

[Peter Linzenkirchner]

Hallo Bernd, Tobias, 

> 
>> Ansonsten – Ist es ein großes Sicherheitsrisiko auf die RSA Verschlüsselung zu verzichten?
> 
> RSA schützt davor dass irgendwer das Passwort auslesen, bzw. ausrechnen kann sofern auch nur ein md5 hash bekannt ist (stichwort: rainbow-tables)
> vollkommen ungeschützte Passwörter kann man locker mit einem SQL-Dump/ phpmyadmin auslesen.

Das ist so nicht richtig. Für die Verschlüsselung der Passwörter in der Datenbank ist saltedpassword zuständig, nicht rsa. Das Poblem von saltedpassword (und allen vergleichbaren Lösungen) ist, dass das Passwort unverschlüsselt übertragen werden muss, sonst kann das salt nicht errechnet werden. 

Eine unverschlüsselte Übertragung darf aber nicht sein, und deshalb: 

> 
>> Anmerkung: Die Webseite wird komplett über HTTPS betrieben.
> 
> das sorgt nur dafür, dass ein übertragenes Passwort (/Daten allgemein) nicht zwischendurch mitgelesen werden können.

Genau - ssl oder alternativ RSA, wenn man nämlich keine ssl-Verbindung hat. Sowohl ssl wie rsa verschlüsseln die Verbindung. 

http://typo3blogger.de/passwort-sicherheit-erhohen-mit-saltedpasswords/ 
(ab Absatz TYPO3 bringt eine einfache Lösung mit)
http://blog.pitsolutions.com/?p=502
(ab Absatz Salted passwords) 

Und so stehts im Manual von saltedpassword:  

Suggested server environment

Due to the nature of salted user password hashes, the server needs to have a plain-text password to check against stored salted user password hashes of a database user record during authentication. This requires a transfer of the plain-text password from a user's browser to the TYPO3 server.
You obviously want to send the password over an encrypted channel. According possibilities are the usage of either SSL with your web server _or_ TYPO3 system extension rsaauth.

Also schalte das RSA einfach ab, es wird nicht benötigt, wenn du ssl einsetzt. 

Gruß
Peter






> 
> ansonsten gilt es einfach abzuwägen wie vertraulich, persönlich, geheim die Daten sind, die mit einem login zugänglich werden.
> 
> 
> bernd
> -- 
> http://www.pi-phi.de/cheatsheet.html
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

-- 
-----------------------------------------------
Peter Linzenkirchner
Lisardo EDV-Beratung
Katharinengasse 20, Rückgebäude, Eingang Bleigäßchen 5
86150 Augsburg
Tel. +49-821-150565, Fax +49-821-150595
http://typo3-lisardo.de
info at lisardo.de
-----------------------------------------------

--
Xing: http://www.xing.com/profile/Peter_Linzenkirchner
Web: http://www.typo3-lisardo.de
Facebook: http://tinyurl.com/lisardo-multimedia