[TYPO3-german] Browserspezifischer Fehler bei FELogin und RSA + Salted Password

Discussion:

Tobias Gläser

2012-12-06 12:14:53 UTC

Hallo,
seit dem ich mit meiner Webseite auf einen anderen Server umgezogen bin habe ich das Problem, dass das Frontend Login mittels FELogin in Verbindung mit der RSA Verschl?sselung und Salted Password nicht mehr geht.

Das merkw?rdige ist, dass dieser Fehler Browser- und Einbindungsspezifisch ist.
Neben den Loginbereich im Template habe ich auch noch eine extra Loginseite f?r einen Redirect bei gesch?tzten Seiten.
Bei einigen Browsern gehen beide Loginbereiche ohne Probleme, teilweise geht jedoch nur der Login welcher ?ber das Plugin auf einer extra Seite eingebunden ist oder der Login im Template. Je nachdem geht auch kein Login.

Ein weiterer Merkw?rdiger Punkt ist, wenn ich das FEUser Passwort im Backend ge?ndert habe ? dass auf einmal andere Browser fehlerfrei laufen und andere Fehler erzeugen.

Sobald ich die Sicherheit ?ber das Installationstool in Typo3 herunter stelle und RSA deaktiviere besteht dieses Problem nicht mehr und es l?sst sich ?ber alle Browser problemlos einloggen.

Habt ihr evtl. einen L?sungsansatz f?r dieses Problem?
Ansonsten ? Ist es ein gro?es Sicherheitsrisiko auf die RSA Verschl?sselung zu verzichten?

Anmerkung: Die Webseite wird komplett ?ber HTTPS betrieben.

Viele Gr??e

Tobias

bernd wilke

2012-12-06 12:58:11 UTC

Permalink

Post by Tobias GlÃ¤ser
Hallo,
seit dem ich mit meiner Webseite auf einen anderen Server umgezogen bin habe ich das Problem, dass das Frontend Login mittels FELogin in Verbindung mit der RSA Verschl?sselung und Salted Password nicht mehr geht.
Das merkw?rdige ist, dass dieser Fehler Browser- und Einbindungsspezifisch ist.
Neben den Loginbereich im Template habe ich auch noch eine extra Loginseite f?r einen Redirect bei gesch?tzten Seiten.
Bei einigen Browsern gehen beide Loginbereiche ohne Probleme, teilweise geht jedoch nur der Login welcher ?ber das Plugin auf einer extra Seite eingebunden ist oder der Login im Template. Je nachdem geht auch kein Login.
Ein weiterer Merkw?rdiger Punkt ist, wenn ich das FEUser Passwort im Backend ge?ndert habe ? dass auf einmal andere Browser fehlerfrei laufen und andere Fehler erzeugen.
Sobald ich die Sicherheit ?ber das Installationstool in Typo3 herunter stelle und RSA deaktiviere besteht dieses Problem nicht mehr und es l?sst sich ?ber alle Browser problemlos einloggen.
Habt ihr evtl. einen L?sungsansatz f?r dieses Problem?

ich w?rde mal nach javascript-fehlern suchen.

Post by Tobias GlÃ¤ser
Ansonsten ? Ist es ein gro?es Sicherheitsrisiko auf die RSA Verschl?sselung zu verzichten?

RSA sch?tzt davor dass irgendwer das Passwort auslesen, bzw. ausrechnen
kann sofern auch nur ein md5 hash bekannt ist (stichwort: rainbow-tables)
vollkommen ungesch?tzte Passw?rter kann man locker mit einem SQL-Dump/
phpmyadmin auslesen.

Post by Tobias GlÃ¤ser
Anmerkung: Die Webseite wird komplett ?ber HTTPS betrieben.

das sorgt nur daf?r, dass ein ?bertragenes Passwort (/Daten allgemein)
nicht zwischendurch mitgelesen werden k?nnen.

ansonsten gilt es einfach abzuw?gen wie vertraulich, pers?nlich, geheim
die Daten sind, die mit einem login zug?nglich werden.

bernd

--
http://www.pi-phi.de/cheatsheet.html

Peter Linzenkirchner

2012-12-06 17:15:06 UTC

Permalink

Hallo Bernd, Tobias,

Post by Tobias GlÃ¤ser
Ansonsten ? Ist es ein gro?es Sicherheitsrisiko auf die RSA Verschl?sselung zu verzichten?

RSA sch?tzt davor dass irgendwer das Passwort auslesen, bzw. ausrechnen kann sofern auch nur ein md5 hash bekannt ist (stichwort: rainbow-tables)
vollkommen ungesch?tzte Passw?rter kann man locker mit einem SQL-Dump/ phpmyadmin auslesen.

Das ist so nicht richtig. F?r die Verschl?sselung der Passw?rter in der Datenbank ist saltedpassword zust?ndig, nicht rsa. Das Poblem von saltedpassword (und allen vergleichbaren L?sungen) ist, dass das Passwort unverschl?sselt ?bertragen werden muss, sonst kann das salt nicht errechnet werden.

Post by Tobias GlÃ¤ser
Anmerkung: Die Webseite wird komplett ?ber HTTPS betrieben.

das sorgt nur daf?r, dass ein ?bertragenes Passwort (/Daten allgemein) nicht zwischendurch mitgelesen werden k?nnen.

Genau - ssl oder alternativ RSA, wenn man n?mlich keine ssl-Verbindung hat. Sowohl ssl wie rsa verschl?sseln die Verbindung.

http://typo3blogger.de/passwort-sicherheit-erhohen-mit-saltedpasswords/
(ab Absatz TYPO3 bringt eine einfache L?sung mit)
http://blog.pitsolutions.com/?p=502
(ab Absatz Salted passwords)

Und so stehts im Manual von saltedpassword:

Suggested server environment

Due to the nature of salted user password hashes, the server needs to have a plain-text password to check against stored salted user password hashes of a database user record during authentication. This requires a transfer of the plain-text password from a user's browser to the TYPO3 server.
You obviously want to send the password over an encrypted channel. According possibilities are the usage of either SSL with your web server _or_ TYPO3 system extension rsaauth.

Also schalte das RSA einfach ab, es wird nicht ben?tigt, wenn du ssl einsetzt.

Gru?
Peter

ansonsten gilt es einfach abzuw?gen wie vertraulich, pers?nlich, geheim die Daten sind, die mit einem login zug?nglich werden.
bernd
--
http://www.pi-phi.de/cheatsheet.html
_______________________________________________
TYPO3-german mailing list
TYPO3-german at lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

--
-----------------------------------------------
Peter Linzenkirchner
Lisardo EDV-Beratung
Katharinengasse 20, R?ckgeb?ude, Eingang Bleig??chen 5
86150 Augsburg
Tel. +49-821-150565, Fax +49-821-150595
http://typo3-lisardo.de
info at lisardo.de
-----------------------------------------------

--
Xing: http://www.xing.com/profile/Peter_Linzenkirchner
Web: http://www.typo3-lisardo.de
Facebook: http://tinyurl.com/lisardo-multimedia