[TYPO3-german] felogin mit passwordCompareStrategy=rsa funktioniert nicht und speichert Passwort gesalted in der Datenbank
Hallo an alle,
ich hoffe ich mache nichts falsch, das hier ist mein erste Mail an eine
Mailingliste.
Bei mir läuft:
TYPO3 4.7.1
mit felogin 4.7.1
und felogin_security 0.0.1
Ich möchte FE-Nutzer ausschließlich über das Backend anlegen können, das
"funktioniert" auch. Wenn ich einen Testnutzer mit dem Passwort "hallo"
im Backend anlege, steht in der Datenbank in der Passwortspalte
"$1$OsjLcQFF$Zr3XF.HIGPZ8bG3sYLgy/."das scheint gesalted zu sein, denn
es ändert sich auch bei jedem abspeichern. Aber ich finde das salt
nicht. Wo könnte es sein? Hab nur eine tx_rsaauth_keys gefunden, dort
ist aber nur ein Eintrag drin, ich habe aber zwei FE-User.
Außerdem habe ich, nach fehlgeschlagenem Login versucht, mal den Weg der
Logindaten zu gehen und bin dann in der Datei t3lib_userAuth gelandet.
Dort kommen die Logineingaben 1:1 an.
(abhängig von aktiviertem JavaScript RSA-Verschlüsselt oder nicht)
Mit JavaScript:
$loginData = array(
'status' => 'login',
'uname' => 'loginname',
'uident' =>
'rsa:RwAS+duvVaT/F+MHMUIlFVn9UpE+Q4AOLG7lcp/GD5Fbxncpl4CJPtMMIMCSkCzQL/xaTsmzhzppw5IUKB9ZRMXbGciYmUI6/3QFq5gasD6N/p9Jp1/ghK4y37OrteYnzJleZvASXvTDBhYpHrOIVe+j2RnJO66yzSz+wvLhoR0=',
'chalvalue' => '',
'permanent' => 0
)
Ohne JavaScript:
$loginData = array(
'status' => 'login',
'uname' => 'loginname',
'uident' => 'hallo',
'chalvalue' => '',
'permanent' => 0
)
nach einem Umweg über die class.tx_sv_authbase.php lande ich wieder in
der class.t3lib_userauth.php in der methode compareUident().
function compareUident($user, $loginData, $passwordCompareStrategy = '') {
$OK = FALSE;
$passwordCompareStrategy = $passwordCompareStrategy ?
$passwordCompareStrategy : $this->security_level;
t3lib_utility_debug::Debug($passwordCompareStrategy,
'passwordcomparestrategy in class.t3lib_userauth');
t3lib_utility_debug::Debug($loginData, 'logindata in compareUident in
class.t3lib_userauth');
t3lib_utility_debug::Debug($user, 'user in compareUident in
class.t3lib_userauth');
switch ($passwordCompareStrategy) {
case 'superchallenged': // If superchallenged the password
in the database ($user[$this->userident_column]) must be a md5-hash of
the original password.
case 'challenged':
// Check challenge stored in cookie:
if ($this->challengeStoredInCookie) {
session_start();
if ($_SESSION['login_challenge'] !==
$loginData['chalvalue']) {
if ($this->writeDevLog) {
t3lib_div::devLog('PHP Session stored
challenge "' . $_SESSION['login_challenge'] . '" and submitted challenge
"' . $loginData['chalvalue'] . '" did not match, so authentication
failed!', 't3lib_userAuth', 2);
}
$this->logoff();
return FALSE;
}
}
if ((string) $loginData['uident_' .
$passwordCompareStrategy] === (string) md5($user[$this->username_column]
. ':' . $user[$this->userident_column] . ':' . $loginData['chalvalue'])) {
$OK = TRUE;
}
break;
default: // normal
if ((string) $loginData['uident_text'] === (string)
$user[$this->userident_column]) {
$OK = TRUE;
}
break;
}
return $OK;
}
Dort ist:
$passwordCompareStrategy = 'rsa' und somit rennt er in den default-modus
wo er einfach das übermittelte Passwort (entweder rsa:... oder 'hallo')
mit dem salted hash in der Datenbank abgleicht.
Da kann doch irgendwas nicht richtig sein. Also entweder habe ich das
Dingen komplett vor die Wand gesetzt oder aber da ist ein Bug. Wäre für
Hilfe sehr dankbar, sollte es ein Bug sein, könnte ich versuchen mich
drum zu kümmern (loginData in einem Hook wieder aueinandernehmen und das
aus der Datenbank auch, sodass er gerne in den Default: reinkann). Wie
ihr aber vielleicht merkt bin ich nicht so erfahren.
Danke schonmal
LG Frederik
___
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] Statische Seiten aus T3 erzeugen
Hallo, auch meine Wahl wäre wget. Wenn Du unter OS X unterwegs bist und es komfortabler haben möchtest: http://www.sitesucker.us/home.html Formulare funktionieren, dann aber nicht mehr richtig. Glaube ich ... Viel Glück Frederik Vosberg On 19.06.2012 17:14, Michael Kasten wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hallo, wenn du ein Linux greifbar hast (ich habe keine Ahnung ob die Befehle auch für Mac oder win erhältlich sind) nimm wget hier mal ein Beispiel: wget -r -k --level=6 --domains=meinedomain.de -H --user-agent="Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6" http://www.meinedomain.de/ (recursiv bis 6 ebenen nur von der domain meinedomain.de user agent ist mozilla) den User Agent brauch ich immer weil viele Server u.a. auch mod_Security einsetzen und ohne User Agent Kennung der Server dann abriegelt Im Anschluss kann es dann noch notwendig sein Links in den Seiten zu korrigieren dafür gibts dann sed. bye am 19.06.2012 16:47 Gerhard Obermayr schrieb: Ich habe ein System von websites für einen Theaterbetrieb. Dort ist für jedes Jahr eine eigene TYPO3-Instanz angelegt, um ein Archiv zu haben. Es kann also mittels Subdomain als Jahreszahl jedes vergangene Jahr abgerufen werden. Nun ist es aber so, dass sich an den Jahren 2004 bis 2011 nichts mehr ändert. Meine Idee war nun, die Installationen der vergangenen Jahre auf statische HTML-Seiten zu wandeln. Die Seiten sind derzeit auf der Version 4.5.16. Der erforderliche Speicherplatz von bisher ca. 5,5GB müsste sich so drastisch reduzieren lassen. Das Problem dabei ist jedoch, dass ich nach ausführlicher Recherche im Netz für den erforderlichen Vorgang keinen wirklich sinnvollen Ablauf gefunden habe. Es gibt zwar die Extension „Static Publish“, die ich installiert habe. Jedoch findet sich in der Anleitung keinerlei Hinweis, wie man denn nun statische Seiten damit erzeugt. Auch in der Konfiguration finde ich nichts dazu. Zusätzlich gibt es „Static Upload“, aber auch hier finde ich nicht wirklich eine zielführende Anleitung. Wie würdet ihr ein derartiges Projekt durchziehen? Im Endeffekt sollte dann jede Seite so vorhanden sein, dass sie auch von CD mittels index.html abrufbar wäre. Zweckdienliche Hinweise sind erbeten. - -- Michael Kasten | http://m-kasten.de Im wirklichen Leben gibt es kein [Strg]+[Z] -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iQEcBAEBAgAGBQJP4JdMAAoJEF1/iIvWnG8N9L8H/12QLnGYzY32mjsutc/w3Z75 J1K4GYIdgFPEfJv3ZgvdJN0JbDmIX5Z+dWuEb6HRK++6sp0Nku+ujegOC0ufpxUi DIPtLPr7UuF8grBlqr6Nq7z4H4Qxjth8KcENpyTPdvPA8/wJsVHjDAv3sV2zrJgm AFAyKG4fUybQsnWsGn/FMbzCuvmwznZ/9L0HNG4JJF6ANPCOYXMW32OrOBmDXtNP 9fYXmY/Sgr6EoHQYZb4d7Tcgl5L1VuJ58g8fYvfdbucZGZpntSYyKbQCjfbMQvUp e4dfi3dMPI6I6dZTnwgz0rZP9zYTnvUzF3xrTm86abilK2UD4YN83dPedY7lrOo= =5ylR -END PGP SIGNATURE- ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] felogin mit passwordCompareStrategy=rsa funktioniert nicht und speichert Passwort gesalted in der Datenbank
Hallo Steffen,
danke für deine Antwort. Tut mir Leid, der erste richtige Weg durch die
t3lib etc hat mich ein wenig mitgenommen. Ja, ich kann mich nicht
einloggen.
Danke schonmal für die beiden Links, die schaue ich mir jetzt erstmal an
MfG
Frederik
On 19.06.2012 17:45, Steffen Gebert wrote:
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Hi Frederik,
ich verstehe noch nicht genau, was der letztendliche Fehler ist. Kannst
du dich mit dem festgelegten Passwort erfolgreich einloggen?
Das salt ist im Passwort-Hash mit eincodiert, siehe auch
http://php.net/crypt oder
http://www.slideshare.net/StephenKing/passwrter-in-typo3-sicher-speichern-mit
Kind regards
Steffen
- --
Steffen Gebert
TYPO3 v4 Core Team Member
TYPO3 Server Administration Team Member
TYPO3 inspiring people to share!
Get involved: http://typo3.org
I work for TYPO3 solely in my spare time. If you think that
my work helps you running your business, you are invited to
send me a donation via PayPal to this email address. Thanks
On 19.06.12 17:05, Webmeck - TYPO3 wrote:
Hallo an alle,
ich hoffe ich mache nichts falsch, das hier ist mein erste Mail an eine
Mailingliste.
Bei mir läuft:
TYPO3 4.7.1
mit felogin 4.7.1
und felogin_security 0.0.1
Ich möchte FE-Nutzer ausschließlich über das Backend anlegen können, das
"funktioniert" auch. Wenn ich einen Testnutzer mit dem Passwort "hallo"
im Backend anlege, steht in der Datenbank in der Passwortspalte
"$1$OsjLcQFF$Zr3XF.HIGPZ8bG3sYLgy/."das scheint gesalted zu sein, denn
es ändert sich auch bei jedem abspeichern. Aber ich finde das salt
nicht. Wo könnte es sein? Hab nur eine tx_rsaauth_keys gefunden, dort
ist aber nur ein Eintrag drin, ich habe aber zwei FE-User.
Außerdem habe ich, nach fehlgeschlagenem Login versucht, mal den Weg der
Logindaten zu gehen und bin dann in der Datei t3lib_userAuth gelandet.
Dort kommen die Logineingaben 1:1 an.
(abhängig von aktiviertem JavaScript RSA-Verschlüsselt oder nicht)
Mit JavaScript:
$loginData = array(
'status' => 'login',
'uname' => 'loginname',
'uident' =>
'rsa:RwAS+duvVaT/F+MHMUIlFVn9UpE+Q4AOLG7lcp/GD5Fbxncpl4CJPtMMIMCSkCzQL/xaTsmzhzppw5IUKB9ZRMXbGciYmUI6/3QFq5gasD6N/p9Jp1/ghK4y37OrteYnzJleZvASXvTDBhYpHrOIVe+j2RnJO66yzSz+wvLhoR0=',
'chalvalue' => '',
'permanent' => 0
)
Ohne JavaScript:
$loginData = array(
'status' => 'login',
'uname' => 'loginname',
'uident' => 'hallo',
'chalvalue' => '',
'permanent' => 0
)
nach einem Umweg über die class.tx_sv_authbase.php lande ich wieder in
der class.t3lib_userauth.php in der methode compareUident().
function compareUident($user, $loginData, $passwordCompareStrategy = '') {
$OK = FALSE;
$passwordCompareStrategy = $passwordCompareStrategy ?
$passwordCompareStrategy : $this->security_level;
t3lib_utility_debug::Debug($passwordCompareStrategy,
'passwordcomparestrategy in class.t3lib_userauth');
t3lib_utility_debug::Debug($loginData, 'logindata in compareUident in
class.t3lib_userauth');
t3lib_utility_debug::Debug($user, 'user in compareUident in
class.t3lib_userauth');
switch ($passwordCompareStrategy) {
case 'superchallenged': // If superchallenged the password
in the database ($user[$this->userident_column]) must be a md5-hash of
the original password.
case 'challenged':
// Check challenge stored in cookie:
if ($this->challengeStoredInCookie) {
session_start();
if ($_SESSION['login_challenge'] !==
$loginData['chalvalue']) {
if ($this->writeDevLog) {
t3lib_div::devLog('PHP Session stored
challenge "' . $_SESSION['login_challenge'] . '" and submitted challenge
"' . $loginData['chalvalue'] . '" did not match, so authentication
failed!', 't3lib_userAuth', 2);
}
$this->logoff();
return FALSE;
}
}
if ((string) $loginData['uident_' .
$passwordCompareStrategy] === (string) md5($user[$this->username_column]
. ':' . $user[$this->userident_column] . ':' . $loginData['chalvalue'])) {
$OK = TRUE;
}
break;
default: // normal
if ((string) $loginData['uident_text'] === (string)
$user[$this->userident_column]) {
$OK = TRUE;
}
break;
}
return $OK;
}
Dort ist:
$passwordCompareStrate
Re: [TYPO3-german] felogin mit passwordCompareStrategy=rsa funktioniert nicht und speichert Passwort gesalted in der Datenbank
Also bei den Installed Services sind folgende aufgelistet:
Frontend Login Security(felogin_security: tx_feloginsecurity_authuser)
Brute force blocker
100 100 authUserFE Any - Yes
FE/BE Authentification salted(saltedpasswords: tx_saltedpasswords_sv1)
Salting of passwords for Frontend and Backend
70 70 authUserFE, authUserBE Any - Yes
RSA authentication(rsaauth: tx_rsaauth_sv1)
Authenticates users by using encrypted passwords
60 60 processLoginDataBE, processLoginDataFE Any -
Yes
User authentication(sv: tx_sv_auth)
Authentication with username/password.
50 50 getUserBE, authUserBE, getUserFE, authUserFE, getGroupsFE,
processLoginDataBE, processLoginDataFE Any - Yes
Und beim Statusreport habe ich nur eine Auffälligkeit im deprecation Log:
t3lib_div::int_from_ver()
Vielen vielen Dank schonmal
On 19.06.2012 23:19, Steffen Gebert wrote:
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Schau mal ins Reports-Modul, was die rsaauth-checks da anzeigen.
Kind regards
Steffen
- --
Steffen Gebert
TYPO3 v4 Core Team Member
TYPO3 Server Administration Team Member
TYPO3 inspiring people to share!
Get involved: http://typo3.org
I work for TYPO3 solely in my spare time. If you think that
my work helps you running your business, you are invited to
send me a donation via PayPal to this email address. Thanks
On 19.06.12 22:40, Webmeck - TYPO3 wrote:
Hallo Steffen,
danke für deine Antwort. Tut mir Leid, der erste richtige Weg durch die
t3lib etc hat mich ein wenig mitgenommen. Ja, ich kann mich nicht
einloggen.
Danke schonmal für die beiden Links, die schaue ich mir jetzt erstmal an
MfG
Frederik
On 19.06.2012 17:45, Steffen Gebert wrote:
Hi Frederik,
ich verstehe noch nicht genau, was der letztendliche Fehler ist. Kannst
du dich mit dem festgelegten Passwort erfolgreich einloggen?
Das salt ist im Passwort-Hash mit eincodiert, siehe auch
http://php.net/crypt oder
http://www.slideshare.net/StephenKing/passwrter-in-typo3-sicher-speichern-mit
Kind regards
Steffen
-- Steffen Gebert
TYPO3 v4 Core Team Member
TYPO3 Server Administration Team Member
TYPO3 inspiring people to share!
Get involved: http://typo3.org
I work for TYPO3 solely in my spare time. If you think that
my work helps you running your business, you are invited to
send me a donation via PayPal to this email address. Thanks
On 19.06.12 17:05, Webmeck - TYPO3 wrote:
Hallo an alle,
ich hoffe ich mache nichts falsch, das hier ist mein erste Mail an eine
Mailingliste.
Bei mir läuft:
TYPO3 4.7.1
mit felogin 4.7.1
und felogin_security 0.0.1
Ich möchte FE-Nutzer ausschließlich über das Backend anlegen können, das
"funktioniert" auch. Wenn ich einen Testnutzer mit dem Passwort "hallo"
im Backend anlege, steht in der Datenbank in der Passwortspalte
"$1$OsjLcQFF$Zr3XF.HIGPZ8bG3sYLgy/."das scheint gesalted zu sein, denn
es ändert sich auch bei jedem abspeichern. Aber ich finde das salt
nicht. Wo könnte es sein? Hab nur eine tx_rsaauth_keys gefunden, dort
ist aber nur ein Eintrag drin, ich habe aber zwei FE-User.
Außerdem habe ich, nach fehlgeschlagenem Login versucht, mal den Weg der
Logindaten zu gehen und bin dann in der Datei t3lib_userAuth gelandet.
Dort kommen die Logineingaben 1:1 an.
(abhängig von aktiviertem JavaScript RSA-Verschlüsselt oder nicht)
Mit JavaScript:
$loginData = array(
'status' => 'login',
'uname' => 'loginname',
'uident' =>
'rsa:RwAS+duvVaT/F+MHMUIlFVn9UpE+Q4AOLG7lcp/GD5Fbxncpl4CJPtMMIMCSkCzQL/xaTsmzhzppw5IUKB9ZRMXbGciYmUI6/3QFq5gasD6N/p9Jp1/ghK4y37OrteYnzJleZvASXvTDBhYpHrOIVe+j2RnJO66yzSz+wvLhoR0=',
'chalvalue' => '',
'permanent' => 0
)
Ohne JavaScript:
$loginData = array(
'status' => 'login',
'uname' => 'loginname',
'uident' => 'hallo',
'chalvalue' => '',
'permanent' => 0
)
nach einem Umweg über die class.tx_sv_authbase.php lande ich wieder in
der class.t3lib_userauth.php in der methode compareUident().
function compareUident($user, $loginData, $passwordCompareStrategy =
'') {
$OK = FALSE;
$passwordCompareStrategy = $passwordCompareStrategy ?
$passwordCompareStrategy : $this->security_level;
t3lib_utility_debug::Debug($passwordCompareStrategy,
'passwordcomparestrategy in class.t3lib_userauth');
t3lib_utility_debug::Debug($loginData, 'logindata in compareUident in
class.t3lib_userauth');
t3lib_utility_debug::Debug($user, 'user in compareUident in
class.t3lib_userauth');
switch ($passwordCompareStrategy) {
case 'superchallenged': // If superchallenged the password
in the database ($user[$this->userident_column]) must be a md5-hash of
the original password.
Re: [TYPO3-german] felogin mit passwordCompareStrategy=rsa funktioniert nicht und speichert Passwort gesalted in der Datenbank
Hi, da ich nicht weiß, wie ich die services "ordentlich" deaktiviere ohne die extensions zu deaktivieren habe ich folgende Extensions deaktiviert: felogin_security saltedpasswords Dann ist authUserFE auch aus der Liste verschwunden. Dann habe ich das Passwort, nachdem ich alle Caches gelöscht habe, im BE neu angelegt. Und erneut versucht mich einzuloggen. Leider mit dem gleichen Ergebnis :( Trotzdem herzlichen Dank für alle Mühen bis jetzt Frederik On 20.06.2012 11:00, Helmut Hummel wrote: Hi, On 20.06.12 08:20, Webmeck - TYPO3 wrote: Also bei den Installed Services sind folgende aufgelistet: Frontend Login Security(felogin_security: tx_feloginsecurity_authuser) Brute force blocker 100 100 authUserFE Any - Yes Kannst Du die mal deinstallieren und dann schauen, ob Du Dich einloggen kannst? Viele Grüße, Helmut ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Re: [TYPO3-german] felogin mit passwordCompareStrategy=rsa funktioniert nicht und speichert Passwort gesalted in der Datenbank
Hi Steffen, leider nichts Neues. Um einen Fehler meinerseits aber weiter ausschließen zu können die derzeit installierten Extensions und services im Report: Extensions: felogin rsaauth saltedpasswords services: FE/BE Authentification salted (saltedpasswords: tx_saltedpasswords_sv1) RSA authentication (rsaauth: tx_rsaauth_sv1) User authentication: (sv: tx_sv_auth) Danke nochmal, aber scheint irgendwie strubbelig zu sien, ich bin ja auch der Einzige mit dem Problem. Notfalls installiere ich am Wochenende TYPO3 neu. Wenn man einen TYPO3-Bug ausschließen kann betrifft es ja auch nur mich. Danke Frederik On 20.06.2012 16:33, Steffen Gebert wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Ne, saltedpasswords musst du da lassen. felogin_security ist eine 3rd-party extension, die vielleicht das Problem verursacht. Kind regards Steffen - -- Steffen Gebert TYPO3 v4 Core Team Member TYPO3 Server Administration Team Member TYPO3 inspiring people to share! Get involved: http://typo3.org I work for TYPO3 solely in my spare time. If you think that my work helps you running your business, you are invited to send me a donation via PayPal to this email address. Thanks On 20.06.12 11:26, Webmeck - TYPO3 wrote: Hi, da ich nicht weiß, wie ich die services "ordentlich" deaktiviere ohne die extensions zu deaktivieren habe ich folgende Extensions deaktiviert: felogin_security saltedpasswords Dann ist authUserFE auch aus der Liste verschwunden. Dann habe ich das Passwort, nachdem ich alle Caches gelöscht habe, im BE neu angelegt. Und erneut versucht mich einzuloggen. Leider mit dem gleichen Ergebnis :( Trotzdem herzlichen Dank für alle Mühen bis jetzt Frederik On 20.06.2012 11:00, Helmut Hummel wrote: Hi, On 20.06.12 08:20, Webmeck - TYPO3 wrote: Also bei den Installed Services sind folgende aufgelistet: Frontend Login Security(felogin_security: tx_feloginsecurity_authuser) Brute force blocker 100 100 authUserFE Any - Yes Kannst Du die mal deinstallieren und dann schauen, ob Du Dich einloggen kannst? Viele Grüße, Helmut -BEGIN PGP SIGNATURE- Version: GnuPG/MacGPG2 v2.0.17 (Darwin) Comment: GPGTools - http://gpgtools.org Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iQEcBAEBAgAGBQJP4d9XAAoJEIskG/rSlyw4498H/2m06kkzndpdO19STYghBPMu jU3p6VFHxN9HxO8pew+I5iyLOO3h2CUQ6WkCgE8FXMibO6HTAgJYHldxzplC0YL3 L9zHYKmYt6hPQPXLFRiEoEwYInQqqnn8+OWnFexfHQv+ZfkTPO4XhdPY5uWXl5sl 2+bTLYWkytH1AqRZodHxNNraha5YnYV3FG1/97TpYzocC/IAS1KP47kZikIJaNio JYDbne6MXYv+4eL4IvWl03lXWh7kHbGr5LBurl4gC0qer3Ta4P68Oo19vMaoDyZ7 st0aptXK1JW1KhgaZJQsAjUwtOvsOvljw8Dr/ehVuBZRag1K1TZAZbRbzOlfquU= =5+g4 -END PGP SIGNATURE- ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german ___ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
