[TYPO3-german] TYPO3.org: Eh, hallo?
Markus Bucher
markusbucher at gmx.de
Fri Nov 14 15:30:10 CET 2008
David Bruchmann schrieb:
> Das Passwort in typo3.org wird tatsächlich unverschlüsselt abgelegt.
> Es handelt sich um eine einfache Installation von fe_useradmin.
> Wenn das Passwort verloren geht wird es einfach per Mail verschickt, anstatt
> ein neues zu generieren.
Welcher Schlaukopp hat sich denn bitteschön das ausgedacht? Erstens
verschlüsselt man Passwörter generell und zweitens generiert man halt
ein neues Kennwort, wenn das alte verloren geht. Wofür haben wir denn
diese Funktion? Welche Gründe sprechen dagegen? Dass zwei von 12
Millionen Wörtern die gleichen MD5-hashes produzieren? Kaum.
Ich möchte bitteschön wissen, wenn mein Kennwort unverschlüsselt auf
einer Webseite gespeichert wird. Dann nehme ich nämlich nicht eins
meiner geheimen Standardkennwörter sondern denke mir eins ausschließlich
hierfür aus. Oder verzichte aus Sicherheitsbedenken komplett auf die
Registrierung hier.
TYPO3 will ein hochprofessionelles CMS sein und dann sowas hier. Ich bin
erschüttert.
Markus
More information about the TYPO3-german
mailing list