4 Reaktionen zu “FE User Passwörter im Klartext?”

Kommentare abonnieren (RSS) oder TrackBack URL

Tim, die Erweiterung verschlüsselt zwar die Passwörter in der Datenbank, aber die Übertragung selbst findet im Klartext statt.
Ohne SSL (das dürften wohl die meisten Seiten sein), ist die Erweiterung daher nicht zu empfehlen!

Jörg am 01. März 2009 um 00:05

Weiss jemand wie es mit kb_md5fepw weiter geht? Die Erweiterung wird im Core berücksichtigt und es gab trotzdem kein Update seit 2006. Sie ist noch mit XClasses bestückt, was in gewissen Situation sehr stören kann. kb_md5fepw bietet eine javascript md5 übertragung, was eigentlich nicht schlecht funktioniert, dafür ist es ein gebastel bis man es mit Registration, Commerce, Login, Passwort Vergessen usw. usf. am laufen hat.

Kann nicht jemand mal eine ‚Encrypt your passwords‘ Tutorial machen, wo wirklich auf alle Aspekte eingegangen wird. (nicht nur wie man es für felogin an macht, sondern für sr_feuser_register etc…)

Jonas am 03. März 2009 um 08:22

Ich habe letzte Tage t3sec_saltedpw bei TYPO3 4.2.6 eingesetzt. Aus irgendeinem unerfindlichen Grund wird das Passwort eines fe_users beim Anlegen oder Ändern im Backend nicht verschlüsselt. Erst beim ersten Login wird es jetzt verschlüsselt.

Desweiteren musste ich die Extension felogin mit den Änderungen von Steffen Kamper (Bugtracker #10017) patchen, damit die „Passwort vergessen“ funktioniert.

Zusammenfassend würd ich sagen, dass der Einsatz von t3sec_saltedpw erst ab 4.3 sinnvoll ist. Außerdem braucht es auf jeden Fall das schon von Jörg angesprochene SSL Zertifikat solange das Passwort im Klartext übertragen wird.

Gruß
Peter

Peter am 04. März 2009 um 15:59

Ich habem ich jetzt noch mal erkundigt und das Projekt sieht wirklich vielversprechend aus. Aber wie Peter richtig sagt, benötigt es doch noch eine gewisse Zeit. Auch für die Javascript Transfer Verschlüsselung…

Jonas am 04. März 2009 um 17:17

Kategorien

Archiv