Hi! David Bruchmann schrieb am 10/07/2010 02:59 PM Uhr: > rsa funktioniert nur mit https. > Du kannst für 'loginSecurityLevel' 'normal' eintragen, dann wird das > Passwort verschlüsselt gespeichert aber unverschlüsselt übertragen. > rsaauth wird für saltedpasswords auf jeden Fall benötigt, auch wenn Du > es nicht verwenden solltest. > Ansonstem noch mal das Manual zu saltedpasswords lesen.
Sorry, das ist totaler Quatsch! rsaauth kannst du sowohl mit unverschlüsselten als auch verschlüsselten Transfer (https via SSL/TLS) nutzen. Gedacht ist es sogar explizit für Fälle, in denen kein SSL/TLS zur Verfügung steht! Saltedpasswords ist so implementiert, dass es nur zur Verfügung steht, wenn * der Transfer über SSL/TLS läuft ODER * rsaauth aktiviert ist So wird sichergestellt, dass die Passwörter nicht unverschlüsselt durchs Netz wandern! Das Manual von saltedpasswords beschreibt die Anforderungen auch ganz gut. Wer saltedpasswords nutzen will, installiert rsaauth (sofern benötigt) und saltedpasswords; bei saltedpasswords steht dann ein Konfigurationscheck zur Verfügung, der eigentlich keine Fragen offen lassen sollte. Wenn man sich danach nicht einloggen kann, liegt es entweder daran, dass es irgendwelche Probleme mit openssl gibt (sofern man rsaauth noch benötigt) oder man abweichend von den Defaults FE.forceSalted/BE.forceSalted aktiviert hat. Genau dann werden nämlich nur User erfolgreich authentifiziert, wenn die Passwörter bereits als saltedhash vorliegen. Per default werden jedoch auch bestehende MD5 (BE) und plain-text (FE) Passwörter benutzt und während der Authentifizierung erst in saltedhashed Passwörter konvertiert. Marcus. -- Member TYPO3 Security Team Blog on TYPO3 Security: http://secure.t3sec.info/blog/ _______________________________________________ TYPO3-german mailing list TYPO3-german@lists.typo3.org http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
