+ Antworten
Ergebnis 1 bis 8 von 8

Thema: User Passwort (Neu-)Verschlüsselung deaktivieren

  1. #1
    Neu an Board
    Registriert seit
    22.02.2011
    Ort
    Berlin
    Beiträge
    68
    Bedankte sich
    13
    1 Danksagung in 1 Beitrag

    Standard User Passwort (Neu-)Verschlüsselung deaktivieren

    Kann mir jemand einen Weg nennen, wie man bei Joomla 2.5. einstellt, dass Passwörter nicht mehr verschlüsselt werden?

    Es soll bei über die Datenbank angelegten Usern der Hash-Wert beibehalten werden, da diese mit einer externen Datenbank quergeschaltet sind. Leider wissen wir die dortige Verschlüsselungsmethode nicht.

    Wenn man sich mit den angelegten Usern zum ersten mal einloggt wird über Joomla das Passwort neu generiert. Dabei wird MD+Salt angewendet, wie auch in der

    /libraries/Joomla/user/helper.php beschrieben ($encryption = 'md5-hex' ... etc.)

    Es soll aber gar keine (Neu-)Verschlüsslung stattfinden. Der Hashwert soll so beibehalten werden, wie er in der Datenbank angelegt wurde und beim ersten Einloggen der neuen User nicht durch Neuverschlüsselung verändert werden.

    Da leztlich niemand ein neues Passwort bekommen oder verändern können soll, wäre auch die 'radikale' Lösung durchaus hilfreich. den Prozess der Verschlüsselung von Passwörtern im Joomla System (oder deren Weitergabe an die Datenbank) komplett zu deaktivieren.
    Geändert von chris3.0 (29.01.2018 um 10:57 Uhr)

  2. #2
    Gute Seele des Boards Avatar von time4mambo
    Registriert seit
    11.12.2006
    Ort
    76646 Bruchsal
    Alter
    62
    Beiträge
    19.644
    Bedankte sich
    767
    Erhielt 4.012 Danksagungen
    in 3.769 Beiträgen

    Standard

    Aktuell ist Joomla in der Version 3.8.3
    Deine Version ist uralt und wird seit Jahren nicht mehr weiterentwickelt. Desweiteren ist bekannt, dass Joomla 2.5x diverse und teils gravierende Sicherheitsmängel enthält.
    Updaten auf die aktuelle Joomlaversion und dann können wir uns noch einmal über dein Problem unterhalten. Zumal hier auch keiner mehr solche Versionen am Start hat und ergo auch gar nicht mehr nachschauen kann. Der Code von einst funktioniert nur noch zum Teil heute.



    Axel
    Joomla- und Office-Tutorials: time4joomla
    Deutschsprachige SEBLOD-Community
    CCK SEBLOD-Das Handbuch als kostenloses Onlinebook

  3. #3
    Neu an Board
    Registriert seit
    22.02.2011
    Ort
    Berlin
    Beiträge
    68
    Bedankte sich
    13
    1 Danksagung in 1 Beitrag

    Standard

    Danke für den Tip. Der Kunde wünscht zunächst kein Update bzw. kann sich das vorerst nicht leisten. Falls aber jemandem ein Tip einfällt wie/bzw dass dies bei Joomla 3.8.x möglich ist, bin ich auch dafür dankbar - Zwecks Überredung des Kunden zum Update nach Test der Vorgehensweise (deren Erfolg Bedingung für die Updatebereitschaft wäre)

    Also:

    - User in Datenbank anlegen mit selbst vorgegebenem Hash-Keyword
    - Userlogin, das nicht zur Änderung des Passworts führt

  4. #4
    Gute Seele des Boards Avatar von time4mambo
    Registriert seit
    11.12.2006
    Ort
    76646 Bruchsal
    Alter
    62
    Beiträge
    19.644
    Bedankte sich
    767
    Erhielt 4.012 Danksagungen
    in 3.769 Beiträgen

    Standard

    ähmmm,
    weise deinen Kunden mal darauf hin, dass er vollumfänglich für seine Website verantwortlich ist.
    Angenommen die Site wird gehackt (und es sit nicht auszuschließen, dass sie das noch nicht wurde) und über die Site wird Schadcode verbreitet - ich gehe auf die Site, fange mir was ein, was mein Virenscanner nicht rechtzeitig sieht, mein Rechner wird lahm gelegt, ich kann nicht mehr arbeiten - und finde heraus, wo der Schädling gekommen sit - dann bekommt dein Kunde von mir eine Streafanzeige nebst Verdienstausfallsklage.
    Und wenn dein Kunde, dessen Website vermutlich auf einem normalen Server bei einem nichtsahnenden Webhoster liegt und durch die Hackerei einen Server lahm legt und dort zufälligerweise ein gut gehender Onlineshiop drauf liegt - dann kann das sowas von teuer werden für deinen Kunden, da könnte er 100erte Updates von bezahlen.
    Oder eine dDoS-Attacke, wie neulichst, wo die Telekom und andere Anbieter lahm gelegt wurden. Hoffen wir, dass dann von deines Kunden Website nicht auch ein Angriff ausging. Oder glaubst die Telekom schaut da ruhig bei zu?!


    Das ist in meinen Augen grob fahrlässig, was ihr da veranstaltet!


    Axel
    Joomla- und Office-Tutorials: time4joomla
    Deutschsprachige SEBLOD-Community
    CCK SEBLOD-Das Handbuch als kostenloses Onlinebook

  5. #5
    Neu an Board
    Registriert seit
    22.02.2011
    Ort
    Berlin
    Beiträge
    68
    Bedankte sich
    13
    1 Danksagung in 1 Beitrag

    Standard

    Danke für den Hinweis. Ich habe mit dem Klienten schon über das Update gesprochen, aber solange ich keine Lösung für das Problem habe, ist er nicht gewillt, in ein Update / Redesign zu investieren.

    Die Frage wäre erst einmal zu klären, ob es Wege gibt, bei J.2.5 oder 3.8.x, im System die automatische (Neu-)Verschlüsselung von Userpasswörtern (nach dem ersten Login) zu unterbinden, da neue User ausschliesslich über die Datenbank, mit vorgegebenen Passwörtern angelegt werden sollen.
    Geändert von chris3.0 (26.01.2018 um 14:33 Uhr)

  6. #6
    Gehört zum Inventar Avatar von Re:Later
    Registriert seit
    21.04.2014
    Ort
    Berlin
    Beiträge
    5.808
    Bedankte sich
    156
    Erhielt 2.259 Danksagungen
    in 2.026 Beiträgen

    Standard

    Ich versteh deinen Plan überhaupt nicht. Warum ist das denn eigentlich nötig? Was (Code, System etc.) braucht denn diese Verschlüsselung.

    Außerdem baust du ein Sicherheitsfeature von Joomla rück. Es hatte doch Gründe, dass die md5-Verschleierung ("Verschlüsselungen" sind das alle nicht) in Joomla nur noch im Notfall Anwendung finden.

    Du kannst versuchen mit einem User-Plugin in das Login-Prozedere einzugreifen
    https://docs.joomla.org/Plugin/Events

    Und/Oder eine weitere Tabelle anlegen, in der dann die altertümlichen Hashes zusätzlich gespeichert werden. Auf die dann das andere System zugreift.

    Du bist auf der Suche nach einem, Entschuldigung: dämlichen Core-Hack. Hat doch keine Zukunft...

    "Leider wissen wir die dortige Verschlüsselungsmethode nicht."
    Warum wisst Ihr das nicht? Bei dem, was Ihr vorhabt, solltet Ihr doch in der Lage sein, das wenigstens codeseitig in Erfahrung zu bringen?
    Joomlafachmann: https://www.ghsvs.de

  7. Erhielt Danksagungen von:


  8. #7
    Neu an Board
    Registriert seit
    22.02.2011
    Ort
    Berlin
    Beiträge
    68
    Bedankte sich
    13
    1 Danksagung in 1 Beitrag

    Standard

    Wir haben das Problem gelöst, ohne in den Joomlacode einzugreifen, indem die von der externen Datenbank übernommenen User-Passwörter in einer Kopie der Joomla Datenbank nach der Zurücksetzung durch Joomla wiederhergestellt und zum Loginabgleich beider Systeme verwendet werden können.
    Geändert von chris3.0 (29.01.2018 um 11:07 Uhr)

  9. #8
    Wohnt hier
    Registriert seit
    03.08.2011
    Beiträge
    2.824
    Bedankte sich
    144
    Erhielt 683 Danksagungen
    in 659 Beiträgen

    Standard

    Der Kunde wünscht zunächst kein Update bzw. kann sich das vorerst nicht leisten.
    Joomla (Updates) ist (sind) kostenlos. Für einen guten Webdesigner auch kein großes Problem, kostengünstig upzudaten bzw. upzugraden.
    Wie schon erwähnt kann es ein Sicherheits- und finanzielles Risiko werden/sein.

    Vielleicht macht es auch Sinn, die Seite mit J!3.8.3 neu aufzusetzen. Gerade, wenn es eine Firmenseite ist!
    Bin jetzt hier: http://forum.joomla.de

+ Antworten

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein