Am 07.10.2010 15:49, schrieb Marcus Krause:
Hi!
David Bruchmann schrieb am 10/07/2010 02:59 PM Uhr:
rsa funktioniert nur mit https.
Du kannst für 'loginSecurityLevel' 'normal' eintragen, dann wird das
Passwort verschlüsselt gespeichert aber unverschlüsselt übertragen.
rsaauth wird für saltedpasswords auf jeden Fall benötigt, auch wenn Du
es nicht verwenden solltest.
Ansonstem noch mal das Manual zu saltedpasswords lesen.
Sorry, das ist totaler Quatsch!
rsaauth kannst du sowohl mit unverschlüsselten als auch verschlüsselten
Transfer (https via SSL/TLS) nutzen. Gedacht ist es sogar explizit für
Fälle, in denen kein SSL/TLS zur Verfügung steht!
Saltedpasswords ist so implementiert, dass es nur zur Verfügung steht, wenn
* der Transfer über SSL/TLS läuft ODER
* rsaauth aktiviert ist
So wird sichergestellt, dass die Passwörter nicht unverschlüsselt durchs
Netz wandern!
Das Manual von saltedpasswords beschreibt die Anforderungen auch ganz gut.
Wer saltedpasswords nutzen will, installiert rsaauth (sofern benötigt)
und saltedpasswords; bei saltedpasswords steht dann ein
Konfigurationscheck zur Verfügung, der eigentlich keine Fragen offen
lassen sollte.
Wenn man sich danach nicht einloggen kann, liegt es entweder daran, dass
es irgendwelche Probleme mit openssl gibt (sofern man rsaauth noch
benötigt) oder man abweichend von den Defaults
FE.forceSalted/BE.forceSalted aktiviert hat. Genau dann werden nämlich
nur User erfolgreich authentifiziert, wenn die Passwörter bereits als
saltedhash vorliegen.
Per default werden jedoch auch bestehende MD5 (BE) und plain-text (FE)
Passwörter benutzt und während der Authentifizierung erst in
saltedhashed Passwörter konvertiert.
Hallo Marcus,
danke für die Info.
Das Manual für rsa halt ich unter diesem Aspekt für Subotimal.
Momentan gehe ich davon aus, daß meine Konfiguration dann für die Fälle
gelten würde, in denen weder JS zur Verschlüsselung auf Client-Seite
gewünscht ist noch https zur Verfügung steht. Dort wird das Passwort
natürlich unverschlüsselt übertragen.
Gruß,
David
_______________________________________________
TYPO3-german mailing list
TYPO3-german@lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
