sr_feuser_registration verschlüsselt PW nicht mit md5 
| Autor | Nachricht | ||
|
Verfasst am: 15.05.2008 [12:20]
|
|||
| DiePicknickerin [Themenersteller] dabei seit: 16.10.2005 Beiträge: 94 |
Hallo, ich habe gerade das Problem, dass die sr_feuser irgendwie nur noch Klartext-Passwörter in der DB ablegt. Obwohl im EM und in den Constants jeweils das Verschlüsseln aktiviert ist, wird eben nicht verschlüsselt. Ein FE-User registriert sich also, kriegt seine Bestätigungsmails und kann auch aktiviert werden. Aber ein Login funktioniert dann eben nicht. Wenn ich den eben angelegten FE-User im Backend bearbeite, kriegt er ein verschlüsseltes Passwort. Jede Verwendung irgendeiner Login-Box (fest oben mit NewLoginbox oder die von sr_feuser selbst) durch einen automatisch angelegten FE-User endet natürlich mit einem Anmelde-Fehler, da wirklich das PW im Klartext in der DB liegt. Was nun? Bin ratlos. Vers: 4.1.5 sr_feuser ist gerade noch mal aktualisiert: 2.5.10 kb_md5fepw ist auch da: 0.4.0 kb_md5fepw hat übrigens gemeckert, weil so alt. Ich hab schon neueres PHP, aber das sollte ja nicht der Grund sein. Jedenfalls habe ich bei der Installation Ignore angegeben. NewLoginBox: 3.1.0 Gruß |
||
  |
|||
|
Verfasst am: 15.05.2008 [19:04]
|
|||
| DiePicknickerin [Themenersteller] dabei seit: 16.10.2005 Beiträge: 94 |
Sooo... Jetzt habe ich es: Bei der aktuellen Version 2.5.10 braucht man kein kb_md5fepw mehr. Keine Ahnung, wie lange schon nicht mehr. Nachdem ich das ganze JavaScript-Geraffel durchsucht habe, ist mir aufgefallen, dass es 2 x geladen wird -> anscheinend wird dann nix mehr ausgeführt. Jedenfalls waren die PW schön im Quelltext der Formulare ausgeschrieben. Dann habe ich einfach die kb_md5fepw deinstalliert - schon hatte ich 1 x md5.js weniger im Header... Edit: tatsächlich habe ich jetzt doch ein Downgrade gemacht. Trotz der MD5.js im Webroot wurde das Passwort nicht verschlüsselt bei einer Neuregistrierung. Ich habe versucht, den Aufruf des Markers ###FORM_ONSUBMIT### von enc_form auf superchallenge_pass(this) zu ändern, das hat aber nicht geholfen. Dazu kommen noch Probleme im Backend: die Auswahl der Darstellungsoptionen istnicht mehr verfügbar. Nur noch das CODE-Feld ist da, nimmt aber z.B. bei Eingabe von CREATE trotzdem den Wert nicht an, bzw. gibt keine korrekte Ausgabe des Formulars. Im Moment weiss ich nicht weiter. Hat sonst noch jemand Probleme mit der Verschlüsselung der Passwörter? Edit: Das Problem mit den Passwörtern ließ sich mit einem weiteren Upgrade auf 2.5.11 lösen! [Dieser Beitrag wurde 2 mal bearbeitet. Zuletzt am 21.05.2008 um 16:29] |
||
|
|||
|
Verfasst am: 22.05.2008 [18:18]
|
|||
| Nicklas dabei seit: 26.03.2004 Beiträge: 379 |
mit der kb_md5-.. oder nur mit sr_feuser? gruß |
||
|
|||
|
Verfasst am: 22.05.2008 [19:17]
|
|||
| DiePicknickerin [Themenersteller] dabei seit: 16.10.2005 Beiträge: 94 |
Hab ich ehrlich nicht rausgekriegt. In der Anleitung steht nachwievor, dass es mit kb_md5fepw läuft. In der class.tx_srfeuserregister_marker.php wird aber ungefähr in Zeile 502 mit
ganz klar beim Setzen von der Konstante die md5.js eingebunden. Ob man dann das andere weglassen kann, habe ich nicht ausprobiert. Du brauchst auf jeden Fall die neue Version und das dazugehörige Template. Ich habe ziemlich erfolglos versucht, heraus zu kriegen, wo die Änderungen alle sitzen und was sie machen. Diese XSS-Sache ist ja nicht ungefährlich bei den ganzen Formularen, die benötigt werden. Gruß |
||
|
|||
|
Verfasst am: 22.05.2008 [19:39]
|
|||
| Nicklas dabei seit: 26.03.2004 Beiträge: 379 |
ah ok, der hinweis mit dem dazgehörigen template klingt interessant, ich hab meins beibehalten, da ich da recht viel geändert hab. guck ich mal nach, vielen Dank!!! Gruß Nicklas |
||
|
|||
|
Verfasst am: 23.05.2008 [16:00]
|
|||
| Nicklas dabei seit: 26.03.2004 Beiträge: 379 |
Hallo Picknickerin! Tatsächlich, da lag mein Fehler... bei mir läuft es jetzt auch wieder. md5-extension läuft auch noch nebenher.. Im Moment fehlt mir allerdings die Zeit zu testen, ob es auch ohne und wenn ja wie, geht. Problem ist ja auch, dass die newloginbox auch hashen muss und ohne der md5-ext macht die das glaub nicht. Naja, vielleicht bissel schöhnheitsop ist da möglich, wenn ich ich zeit hab! Gruß Nicklas |
||
|
|||
