Passwörter in der Datenbank verschlüsseln
Re: Passwörter in der Datenbank verschlüsseln
Gibts Neuigkeitren dazu? Würde mich interessieren ob es mittlerweile eine Lösung gibt?
-
- Senior Member
- Beiträge: 1319
- Registriert: Do 22. Mai 2003, 23:25
Re: Passwörter in der Datenbank verschlüsseln
Hi,
es ist geplant, aber noch nicht umgesetzt.
Den aktuellen Stand kannst du hier einsehen: http://qa.webedition.org/tracker/view.php?id=4572
viele Grüße Elko
es ist geplant, aber noch nicht umgesetzt.
Den aktuellen Stand kannst du hier einsehen: http://qa.webedition.org/tracker/view.php?id=4572
viele Grüße Elko
Re: Passwörter in der Datenbank verschlüsseln
Hi,
das ist ein brennendes Thema bei uns. Wir haben letztens noch mal intern darüber diskutiert und sind auch glaube ich auf einem guten Weg. Wir wollen bei unseren Plänen eben auch dafür sorgen das es so wenig wie möglich Probleme beim Update gibt.
Die Verschlüsselung als MD5 ist nicht sonderlich empfehlenswert, da sich die Hashes sehr leicht rückrechnen bzw. über Wörterbücher finden lassen. Auch mit Salting wird das nur marginal besser. Wir setzen hier schon auf stärkere Verschlüsselungen.
Geplant sind 2 Dinge:
1. Passwörter verschlüsseln
2. ggfs. andere KV-Daten
Wir wollen dabei unterscheiden was durch wen wann einsehbar ist.
Für 1. sind allerdings schon einige Arbeiten nötig: Damit man Passwörter zurücksetzen kann, müssen wir ja ein Tag anbieten mit dem dies möglich ist. Da es dies derzeit nicht gibt, müssen wir noch überlegen wie wir mit den Präsenzen umgehen, die zwar Updates machen, aber ihr eigenes Rücksetz-System haben.....
Ihr seht, das ist nichts was mal eben schnell gemacht ist. Das Thema wird bald kommen - die nächste Version soll v.a. mal den Java-Zwang abschaffen und damit alle Menüs ohne Java lauffähig sein. Ich denke nach diesem Schritt können wir an einigen Themen wieder deutlich entspannter und konzentrierter arbeiten.
Wenn jemand zu obigem Thema konstruktive Vorschläge hat, oder sich an der Diskussion beteiligen will, dann ist er herzlich dazu eingeladen
das ist ein brennendes Thema bei uns. Wir haben letztens noch mal intern darüber diskutiert und sind auch glaube ich auf einem guten Weg. Wir wollen bei unseren Plänen eben auch dafür sorgen das es so wenig wie möglich Probleme beim Update gibt.
Die Verschlüsselung als MD5 ist nicht sonderlich empfehlenswert, da sich die Hashes sehr leicht rückrechnen bzw. über Wörterbücher finden lassen. Auch mit Salting wird das nur marginal besser. Wir setzen hier schon auf stärkere Verschlüsselungen.
Geplant sind 2 Dinge:
1. Passwörter verschlüsseln
2. ggfs. andere KV-Daten
Wir wollen dabei unterscheiden was durch wen wann einsehbar ist.
Für 1. sind allerdings schon einige Arbeiten nötig: Damit man Passwörter zurücksetzen kann, müssen wir ja ein Tag anbieten mit dem dies möglich ist. Da es dies derzeit nicht gibt, müssen wir noch überlegen wie wir mit den Präsenzen umgehen, die zwar Updates machen, aber ihr eigenes Rücksetz-System haben.....
Ihr seht, das ist nichts was mal eben schnell gemacht ist. Das Thema wird bald kommen - die nächste Version soll v.a. mal den Java-Zwang abschaffen und damit alle Menüs ohne Java lauffähig sein. Ich denke nach diesem Schritt können wir an einigen Themen wieder deutlich entspannter und konzentrierter arbeiten.
Wenn jemand zu obigem Thema konstruktive Vorschläge hat, oder sich an der Diskussion beteiligen will, dann ist er herzlich dazu eingeladen
webEdition-Kern-Entwickler
Re: Passwörter in der Datenbank verschlüsseln
... bis das Feature umgesetzt ist, kann man sich wie folgt helfen:
Bei der Verschlüsselung der Passwörter gibt es zwei ebenen: 1. Das Passwort verschlüsseln wenn der Kunde das erste mal in die KV aufgenommen wird und 2. das Passwort verschlüsseln, wenn sich der Kunde anmeldet.
1. lässt sich noch relativ leicht lösen:
Dadurch wird das Passwort vor dem Eintragen in die KV verschlüsselt. Jetzt muss man jedoch dafür sorgen, dass mit dem gleichen Verschlüsselungsverfahren (z.B. md5()) Passwörter beim Login-Prozess verschlüsselt werden.
Ich nutzte dazu z.B. ein webEdition Custom Tag, das noch vor dem <we:sessionStart/> ins Template eingefügt wird. Dieses CustomTag (z.B. <we:cryptCustomerPassword/>) übernimmt dann die Verschlüsselung beim Login oder wenn ein Kunde sein Passwort ändert.
Bei der Verschlüsselung der Passwörter gibt es zwei ebenen: 1. Das Passwort verschlüsseln wenn der Kunde das erste mal in die KV aufgenommen wird und 2. das Passwort verschlüsseln, wenn sich der Kunde anmeldet.
1. lässt sich noch relativ leicht lösen:
Code: Alles auswählen
<we:ifVarNotEmpty match="Password" type="sessionfield">
<?php $_REQUEST['s']['Password'] = md5($_REQUEST['s']['Password']); ?>
</we:ifVarNotEmpty>
<we:saveRegisteredUser register="true" />
Ich nutzte dazu z.B. ein webEdition Custom Tag, das noch vor dem <we:sessionStart/> ins Template eingefügt wird. Dieses CustomTag (z.B. <we:cryptCustomerPassword/>) übernimmt dann die Verschlüsselung beim Login oder wenn ein Kunde sein Passwort ändert.
Re: Passwörter in der Datenbank verschlüsseln
Das könnte noch sehr interessant werden, wenn wir da die Umstellung machen wollen....
webEdition-Kern-Entwickler
Re: Passwörter in der Datenbank verschlüsseln
@Marc: ich habe ein Verschlüsselungsverfahren gewählt, das auch in webEdition integriert werden soll, daher sollte die Umstellung kein Problem werden.
Re: Passwörter in der Datenbank verschlüsseln
md5? plain? dann können wir auch bei Klartext bleiben.
webEdition-Kern-Entwickler
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste