Passwörter in der Datenbank verschlüsseln

Hier können Sie Fragen bezüglich der Kundenverwaltung stellen.
SvenKlotz
Junior Member
Beiträge: 6
Registriert: Mo 18. Feb 2008, 13:01

Re: Passwörter in der Datenbank verschlüsseln

Beitragvon SvenKlotz » Do 4. Jul 2013, 09:03

Gibts Neuigkeitren dazu? Würde mich interessieren ob es mittlerweile eine Lösung gibt?

e_herrmann
Senior Member
Beiträge: 1273
Registriert: Do 22. Mai 2003, 23:25

Re: Passwörter in der Datenbank verschlüsseln

Beitragvon e_herrmann » Do 4. Jul 2013, 09:12

Hi,
es ist geplant, aber noch nicht umgesetzt.
Den aktuellen Stand kannst du hier einsehen: http://qa.webedition.org/tracker/view.php?id=4572

viele Grüße Elko
Elko Herrmann
komplexx | internet.fotografie
web: http://www.komplexx.de

mokraemer
Senior Member
Beiträge: 2604
Registriert: So 8. Aug 2010, 01:23
Wohnort: Mainz

Re: Passwörter in der Datenbank verschlüsseln

Beitragvon mokraemer » Do 4. Jul 2013, 23:23

Hi,
das ist ein brennendes Thema bei uns. Wir haben letztens noch mal intern darüber diskutiert und sind auch glaube ich auf einem guten Weg. Wir wollen bei unseren Plänen eben auch dafür sorgen das es so wenig wie möglich Probleme beim Update gibt.
Die Verschlüsselung als MD5 ist nicht sonderlich empfehlenswert, da sich die Hashes sehr leicht rückrechnen bzw. über Wörterbücher finden lassen. Auch mit Salting wird das nur marginal besser. Wir setzen hier schon auf stärkere Verschlüsselungen.

Geplant sind 2 Dinge:
1. Passwörter verschlüsseln
2. ggfs. andere KV-Daten

Wir wollen dabei unterscheiden was durch wen wann einsehbar ist.
Für 1. sind allerdings schon einige Arbeiten nötig: Damit man Passwörter zurücksetzen kann, müssen wir ja ein Tag anbieten mit dem dies möglich ist. Da es dies derzeit nicht gibt, müssen wir noch überlegen wie wir mit den Präsenzen umgehen, die zwar Updates machen, aber ihr eigenes Rücksetz-System haben.....

Ihr seht, das ist nichts was mal eben schnell gemacht ist. Das Thema wird bald kommen - die nächste Version soll v.a. mal den Java-Zwang abschaffen und damit alle Menüs ohne Java lauffähig sein. Ich denke nach diesem Schritt können wir an einigen Themen wieder deutlich entspannter und konzentrierter arbeiten.

Wenn jemand zu obigem Thema konstruktive Vorschläge hat, oder sich an der Diskussion beteiligen will, dann ist er herzlich dazu eingeladen :-)
webEdition-Kern-Entwickler

AndreasWitt
webEdition Member
webEdition Member
Beiträge: 541
Registriert: Do 26. Okt 2006, 12:51
Wohnort: Brandenburg a. d. Havel
Kontaktdaten:

Re: Passwörter in der Datenbank verschlüsseln

Beitragvon AndreasWitt » Sa 6. Jul 2013, 07:37

... bis das Feature umgesetzt ist, kann man sich wie folgt helfen:

Bei der Verschlüsselung der Passwörter gibt es zwei ebenen: 1. Das Passwort verschlüsseln wenn der Kunde das erste mal in die KV aufgenommen wird und 2. das Passwort verschlüsseln, wenn sich der Kunde anmeldet.

1. lässt sich noch relativ leicht lösen:

Code: Alles auswählen

<we:ifVarNotEmpty match="Password" type="sessionfield">
	<?php $_REQUEST['s']['Password'] = md5($_REQUEST['s']['Password']); ?>
</we:ifVarNotEmpty>

<we:saveRegisteredUser register="true" />
Dadurch wird das Passwort vor dem Eintragen in die KV verschlüsselt. Jetzt muss man jedoch dafür sorgen, dass mit dem gleichen Verschlüsselungsverfahren (z.B. md5()) Passwörter beim Login-Prozess verschlüsselt werden.

Ich nutzte dazu z.B. ein webEdition Custom Tag, das noch vor dem <we:sessionStart/> ins Template eingefügt wird. Dieses CustomTag (z.B. <we:cryptCustomerPassword/>) übernimmt dann die Verschlüsselung beim Login oder wenn ein Kunde sein Passwort ändert.
Andreas Witt - WebManagement
Leiter Entwicklung im webEdition e.V.
Andreas Witt & Thomas Göbe - Das 1. webEdition Buch
mail: witt@andreas-witt.net
web: http://www.andreas-witt.net

mokraemer
Senior Member
Beiträge: 2604
Registriert: So 8. Aug 2010, 01:23
Wohnort: Mainz

Re: Passwörter in der Datenbank verschlüsseln

Beitragvon mokraemer » Sa 6. Jul 2013, 17:23

Das könnte noch sehr interessant werden, wenn wir da die Umstellung machen wollen....
webEdition-Kern-Entwickler

AndreasWitt
webEdition Member
webEdition Member
Beiträge: 541
Registriert: Do 26. Okt 2006, 12:51
Wohnort: Brandenburg a. d. Havel
Kontaktdaten:

Re: Passwörter in der Datenbank verschlüsseln

Beitragvon AndreasWitt » Sa 6. Jul 2013, 19:20

@Marc: ich habe ein Verschlüsselungsverfahren gewählt, das auch in webEdition integriert werden soll, daher sollte die Umstellung kein Problem werden.
Andreas Witt - WebManagement
Leiter Entwicklung im webEdition e.V.
Andreas Witt & Thomas Göbe - Das 1. webEdition Buch
mail: witt@andreas-witt.net
web: http://www.andreas-witt.net

mokraemer
Senior Member
Beiträge: 2604
Registriert: So 8. Aug 2010, 01:23
Wohnort: Mainz

Re: Passwörter in der Datenbank verschlüsseln

Beitragvon mokraemer » So 7. Jul 2013, 00:22

md5? plain? dann können wir auch bei Klartext bleiben.
webEdition-Kern-Entwickler


Zurück zu „Kundenverwaltung“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste