Kommentare zu: Fe-User mit gesalzenen Passwörtern und sr_feuser_register http://blog.marit.ag/2010/02/12/fe-user-gesalzenen/ TYPO3 Entwicklung, TYPO3 Extensions, TypoScript, TYPO3 Installation und vieles mehr Sun, 22 Jan 2012 22:43:38 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Von: Manfred Ursprung http://blog.marit.ag/2010/02/12/fe-user-gesalzenen/comment-page-1/#comment-1171 Manfred Ursprung Thu, 08 Sep 2011 19:29:32 +0000 http://blog.marit.ag/?p=565#comment-1171 Hallo, ich verwende sr_feuser_register version 2.6.1 und Typo3 4.5.5 und mit der Extension srfeuserregister_t3secsaltedpw 0.2.0 funktioniert die automatische Anmeldung nach der Bestätigen der Bestätigungsmail nicht. Gibt es eine neuere Version von srfeuserregister_t3secsaltedpw ? oder eine andere Lösung des Problems? Gruß Ursprung Hallo,

ich verwende sr_feuser_register version 2.6.1 und Typo3 4.5.5 und mit der Extension srfeuserregister_t3secsaltedpw 0.2.0 funktioniert die automatische Anmeldung nach der Bestätigen der Bestätigungsmail nicht.
Gibt es eine neuere Version von srfeuserregister_t3secsaltedpw ? oder eine andere Lösung des Problems?

Gruß
Ursprung

]]> Von: Schreiber http://blog.marit.ag/2010/02/12/fe-user-gesalzenen/comment-page-1/#comment-1143 Schreiber Wed, 13 Jul 2011 11:35:33 +0000 http://blog.marit.ag/?p=565#comment-1143 Hallo, kann zufällig jemand bestätigen, dass nach Realisierung der Registrierung wie oben beschrieben, immer noch ein Problem mit der Anmeldung über IE7 besteht? Bei mir scheint das der Fall zu sein. Die Passwörter sehen zwar normal verschlüsselt in der DB aus, aber beim Login funktionieren sie auch nach mehrmaligem Versuchen nicht. Mit allen anderen Browsern habe ich keine Probleme. Hat dafür jemand eine Erklärung oder kann es zumindest bestätigen? Gruß, Schreiber Hallo,

kann zufällig jemand bestätigen, dass nach Realisierung der Registrierung wie oben beschrieben, immer noch ein Problem mit der Anmeldung über IE7 besteht?

Bei mir scheint das der Fall zu sein. Die Passwörter sehen zwar normal verschlüsselt in der DB aus, aber beim Login funktionieren sie auch nach mehrmaligem Versuchen nicht.

Mit allen anderen Browsern habe ich keine Probleme.

Hat dafür jemand eine Erklärung oder kann es zumindest bestätigen?

Gruß,
Schreiber

]]> Von: Mischa http://blog.marit.ag/2010/02/12/fe-user-gesalzenen/comment-page-1/#comment-1123 Mischa Fri, 06 May 2011 07:13:32 +0000 http://blog.marit.ag/?p=565#comment-1123 Weiß jemand, wie die Passwörter schon vor dem Submit per JS versalted werden? Sonst wird ja das Passwort plaintext übermittelt, was durch einen dezenten "Lauschangriff" auf Port 80 sofort ermittelt werden kann. Weiß jemand, wie die Passwörter schon vor dem Submit per JS versalted werden? Sonst wird ja das Passwort plaintext übermittelt, was durch einen dezenten “Lauschangriff” auf Port 80 sofort ermittelt werden kann.

]]> Von: Flint Stelter http://blog.marit.ag/2010/02/12/fe-user-gesalzenen/comment-page-1/#comment-1039 Flint Stelter Thu, 02 Dec 2010 10:52:58 +0000 http://blog.marit.ag/?p=565#comment-1039 Vielen Dank für den Tipp mit srfeuserregister_t3secsaltedpw. Die Dokumentation zu saltedpasswords erwähnt zwar die Inkompatibilität der sr_feuser_register zu gesalzenen Passwörtern, bietet aber natürlich keine Lösung. Die Doku zu sr_feuser_register erwähnt das Problem erst leider gar nicht, geschweige denn die Lösung. Beste Grüße Flint Vielen Dank für den Tipp mit srfeuserregister_t3secsaltedpw.
Die Dokumentation zu saltedpasswords erwähnt zwar die Inkompatibilität der sr_feuser_register zu gesalzenen Passwörtern, bietet aber natürlich keine Lösung.
Die Doku zu sr_feuser_register erwähnt das Problem erst leider gar nicht, geschweige denn die Lösung.

Beste Grüße
Flint

]]> Von: Lina http://blog.marit.ag/2010/02/12/fe-user-gesalzenen/comment-page-1/#comment-530 Lina Wed, 17 Feb 2010 15:34:08 +0000 http://blog.marit.ag/?p=565#comment-530 Vielen Dank Marcus, da hast Du recht. Ich werde den Warnhinweis am Anfang des Artikels daher entfernen. Vielen Dank Marcus, da hast Du recht. Ich werde den Warnhinweis am Anfang des Artikels daher entfernen.

]]> Von: Marcus http://blog.marit.ag/2010/02/12/fe-user-gesalzenen/comment-page-1/#comment-520 Marcus Fri, 12 Feb 2010 15:51:07 +0000 http://blog.marit.ag/?p=565#comment-520 Vielen Dank für das Lenken der Aufmerksamkeit auf saltedpasswords. Aber: Man kann trotz bestehenden User-Accounts (beispielsweise nach einem TYPO3 Update auf Version 4.3.X) durchaus saltedpasswords nutzen. Die Extension erkennt, um welchen Passworttyp es sich handelt und kann mit Klartextpasswörtern, einfachen MD5 hashes und Passwörtern generiert durch t3sec_saltedpw umgehen. Ist eine entsprechende Konfigurationsvariable gesetzt, werden bestehende Passwort-Records zu saltedpasswords während der (erfolgreichen) Authentifizierung "umgewandelt". Um existierende md5 hashes (erzeugt z.B. durch kb_md5fepw) zu benutzen, muss man nicht “MD5 salted hashing” als Algorithmustyp wählen. Wie oben erwähnt, erkennt saltedpasswords solche Passwörter. Einfache md5 hashes haben nichts gemein mit “MD5 salted hashing”. Mehr Details im Manual oder unter http://secure.t3sec.info/blog/permalink/34/ Vielen Dank für das Lenken der Aufmerksamkeit auf saltedpasswords.
Aber:
Man kann trotz bestehenden User-Accounts (beispielsweise nach einem TYPO3 Update auf Version 4.3.X) durchaus saltedpasswords nutzen. Die Extension erkennt, um welchen Passworttyp es sich handelt und kann mit Klartextpasswörtern, einfachen MD5 hashes und Passwörtern generiert durch t3sec_saltedpw umgehen. Ist eine entsprechende Konfigurationsvariable gesetzt, werden bestehende Passwort-Records zu saltedpasswords während der (erfolgreichen) Authentifizierung “umgewandelt”.
Um existierende md5 hashes (erzeugt z.B. durch kb_md5fepw) zu benutzen, muss man nicht “MD5 salted hashing” als Algorithmustyp wählen. Wie oben erwähnt, erkennt saltedpasswords solche Passwörter. Einfache md5 hashes haben nichts gemein mit “MD5 salted hashing”.
Mehr Details im Manual oder unter http://secure.t3sec.info/blog/permalink/34/

]]>