[TYPO3-german] Problem mit saltedpasswords und rsaauth: einige BE-User verwenden weiterhin MD5-Hash-Passwords

Michael typo3ml at schams.net
Sat Jan 7 10:16:29 CET 2012


On 07/01/12 17:30, Markus wrote:

>>> "[...] The backend is configured to use SaltedPasswords over SSL"
>>
>> Das wäre schon mal ein Ansatzpunkt. Aber nein, das Backend über SSL
>> laufen zu lassen und dafür kein rsaauth zu verwenden ist natürlich
>> völlig legitim.
>> [...] Kann wer schauen, ob der Scheduler-Task das genauso sieht?
> 
> Auf unser BE wird aber über SSL zugegriffen, das dürfte also nicht die
> Ursache sein, selbst wenn der Scheduler-Task nachsehen würde, ob das
> wirklich so ist, oder?

Auch wenn es eigentlich nicht so sein sollte (dann waere's sicherlich
ein Ticket im Bugtracker wert)... denn:

In file
"typo3/sysext/saltedpasswords/classes/tasks/class.tx_saltedpasswords_tasks_bulkupdate.php"
finde ich in der Methode "execute()" folgende Pruefung:

if (tx_saltedpasswords_div::isUsageEnabled($mode)) { ... }

Wobei im file:
typo3/sysext/saltedpasswords/classes/class.tx_saltedpasswords_div.php

...fuer das BE folgendes zurueckgegeben wird:

$securityLevel = $GLOBALS['TYPO3_CONF_VARS'][$mode]['loginSecurityLevel'];
if ($mode == 'BE' && $extConf['enabled']) {
  return (($securityLevel =='normal' &&
$GLOBALS['TYPO3_CONF_VARS']['BE']['lockSSL'] > 0) || $securityLevel ==
'rsa');
}

Oder in anderen Worten:

wenn $TYPO3_CONF_VARS['BE']['lockSSL'] einen Wert groesser 0 hat (also
SSL im BE aktiviert ist), dann *muss*
$TYPO3_CONF_VARS['BE']['loginSecurityLevel'] auf "normal" stehen, sonst
laeuft der Scheduler Task gar nicht erst los.

Wie waren noch deine Einstellungen in typo3conf/localconf.php?

$TYPO3_CONF_VARS['BE']['lockSSL']
$TYPO3_CONF_VARS['BE']['loginSecurityLevel']

Das ist zumindest mein bescheidenes Verstaendnis - falls ich einen
Denkfehler habe, lasse ich mich gerne eines Besseren belehren ;-)

Cheers
Michael


More information about the TYPO3-german mailing list