felogin sr_feuser_register rsaauth saltedpasswords zusammenbringen

  • 0 x
    15 Beiträge
    0 Hilfreiche Beiträge
    25. 02. 2011, 17:39

    Um die aktuell mit Typo3 möglichen Sicherheitsfeatures für FE und BE User zu erfüllen, habe ich folgende Extensions installiert und konfiguriert (Typo3 4.4.6):
    rsaauth 1.0.0
    saltedpasswords 1.0.0
    felogin 1.3.0
    sr_feuser_register 2.6.1 (inkl. patch: http://bugs.typo3.org/view.php?id=10202)
    srfeuserregister_t3secsaltedpw 0.2.0

    [BE][loginSecurityLevel]= rsa
    [FE][loginSecurityLevel]= rsa

    [b]Vielleicht hat ja jemand ähnliche von den folgenden Problemen gehabt und weiß, woran es liegen könnte:[/b]

    Das erste Login über die sr_feuser_register Maske funktioniert soweit, außer die Weiterleitung auf die linkToPID (?). Passwörter werden in Datenbank wie gewünscht als Salted Hash gespeichert. [u]Einloggen über die Standard Login Maske von felogin auf der Login Page funktioniert erstmal gar nicht mehr[/u], immer "falsches Passwort oder falscher Benutzername". Wenn man jetzt allerdings die "Passwort vergessen"-Funktion nutzt, heißt es nach Click auf den in der E-Mail enthaltenen Link immer "Link ungültig". Wiederholt man das "Passwort vergessen"-Prozedere wird der Link in der nächsten "Passwort zurücksetzen"-Mail akzeptiert und man kann sein Passwort ändern und sich nach dieser Änderung normal über die felogin Maske einloggen.

    Ohne den sr_feuser_register patch war es übrigens umgekehrt, da kam man nicht über die sr_feuser_register Login Maske rein (die nach dem Click auf den Confirmation Link), sondern nur über das felogin auf der Login Page.

    Habe mich schon halb tot gegoogelt und hoffe deswegen hier auf Hinweise/Tipps, um diese seltsamen Probleme in den Griff zu bekommen. Würde mich also sehr freuen, wenn mich hier jemand anschubsen könnte.

    CONSTANTS von sr_feuser_register:

    1. plugin.tx_srfeuserregister_pi1.useRSA = 1
    2. plugin.tx_srfeuserregister_pi1.useSaltedPassword = 1

    Hier noch die Einstellungen im ExtManager von saltedpasswords (nur FE betreffend, da Backend Login super funktioniert):
    Enable SaltedPasswords in the frontend = 1
    Hashing method for the frontend = Portable PHP password hashing
    ADVANCED FRONTEND:
    Update FE user passwords = 1
    Frontend configuration check:
    "No errors were found
    SaltedPasswords has been configured correctly and works as expected."

    Und hier meine sr_feuser_register CONSTANTS:

    1. plugin.tx_srfeuserregister_pi1.userGroupUponRegistration = 1
    2. #,5
    3. plugin.tx_srfeuserregister_pi1.userGroupAfterConfirmation = 2
    4. #,6
    5. plugin.tx_srfeuserregister_pi1.loginPID = 508
    6. plugin.tx_srfeuserregister_pi1.registerPID = 735
    7. plugin.tx_srfeuserregister_pi1.editPID = 736
    8. plugin.tx_srfeuserregister_pi1.confirmPID = 737
    9. plugin.tx_srfeuserregister_pi1.siteName = XYZ
    10. ### linkToPID geht seit Patch oder "useRSA = 1", sowie "useSaltedPassword = 1" nicht mehr
    11. plugin.tx_srfeuserregister_pi1.linkToPID = 842
    12. plugin.tx_srfeuserregister_pi1.pid = 841
    13. plugin.tx_srfeuserregister_pi1.formFields = username,password,gender,first_name,last_name,email,address,city,static_info_country,zip, telephone,title,company,www,tx_duerholdt_medium_title,tx_duerholdt_medium_cat,captcha_response
    14. plugin.tx_srfeuserregister_pi1.requiredFields = username,password,first_name,last_name,email,company,tx_duerholdt_medium_title,captcha_response
    15. plugin.tx_srfeuserregister_pi1.file.templateFile = fileadmin/templates/tx_srfeuserregister_pi1_css_tmpl_media.html
    16. plugin.tx_srfeuserregister_pi1.email = xyz@xyz.de
    17. plugin.tx_srfeuserregister_pi1.salutation = formal
    18. plugin.tx_srfeuserregister_pi1.dateSplit = \.

    P.S.: Die zweiten zu vergebenden Usergruppen musste ich auskommentieren, weil der Captcha Code sonst nach dem Bestätigen des Previews ungültig wurde und man zurück auf das Formular geschickt wurde.


  • 1
  • 0 x
    15 Beiträge
    0 Hilfreiche Beiträge
    01. 03. 2011, 17:01

    [b]Nach Studium des Bugtrackers weitestgehend gelöst!:[/b]

    Typo3 auf 4.4.7 upgedated, alle Cache und Temp Dateien gelöscht, Update Wizard, Datenbank Compare, Patch eingespielt, Workaround...

    patch für sr_feuser_register 2.6.1 muss gemacht werden:
    http://bugs.typo3.org/view.php?id=10202

    Zu beachten ist hierbei, dass hier auch das css Standard-Template von sr_feuser_register gepatcht wird. Wenn ihr also ein individualisiertes, Template benutzt, z.B. mit erweiterten Feldern für die Benutzerregistrierung und keinen Bock habt die Marker usw. wieder alle neu zu setzen, dann unbedingt bei den Passwort Feldern die maxlength auf ="60" setzen (Standard: 40, siehe Patch) damit die langen gesalzenen Hashes nicht abgeschnitten werden.

    Desweiteren:
    "Please also note that it currently seems impossible to place two extensions using rsaauth on the same page at the same time (e.g. felogin and sr_feuser_register)."

    Also:
    sr_feuser_register Login form im template für die Confirmation Page auskommentiert und dafür das Plugin felogin auf ConfirmationPage eingebunden.

    1. plugin.tx_srfeuserregister_pi1.useRSA = 0
    2. plugin.tx_srfeuserregister_pi1.useSaltedPassword = 1

    (diese Konstanten stehen nach dem Patch zusätzlich für sr_feuser_register zur
    Verfügung)

    Dazu:

    1. plugin.tx_felogin_pi1 = USER_INT
    2. plugin.tx_felogin_pi1.feloginBaseURL = _http://www.xyz.de/

    Die URL OHNE Unterstrich am Anfang, habe das nur gemacht, damit kein a tag von dem Editor hier drumgewrappt wird.

    Im InstallTool:
    [FE][loginSecurityLevel]= rsa

    Redirect wird nun auch beim ersten Login von felogin gehandelt und funktioniert bei mir so:
    after Login (TS or Flexform)
    after Logout (TS or Flexform)
    after Login Error (TS or Flexform)
    Use the first mode found: Nicht ausgewählt!
    Und in den folgenden Feldern der Flexform die Ziele angegeben.

    So funzt es jetzt bei mir, inkl. Passwort vergessen Funktion, Redirect, Salted Hashes und RSA (zumindest ab dem ersten Login, nehm ich an, weil die Registrierung voher ja von sr_feuser_register gehandelt wird, wo ich rsa = 0 gesetzt hatte - habe ich aber noch nicht überprüft).

    Vielleicht hilft es ja jemandem!

  • schreiber schreiber
    Jar Jar Binks
    0 x
    1 Beiträge
    0 Hilfreiche Beiträge
    13. 07. 2011, 13:29

    Hallo Silvio

    ich habe die Registrierung und Anmeldung einer Präsenz nach deinem Vorbild realisiert und war zuerst extrem froh und dankbar, dass ich dieses Problem endlich gelöst hatte.

    Nun ist mir aber folgendes aufgefallen. Wenn sich jemand über IE7 anmeldet funktioniert sein Passwort nicht. Kannst du das bestätigen? Ich bin inzwischen wieder darauf zurückgegangen, die Passwörter zuerst Plain Text ins System und beim ersten Aufruf salzen zu lassen.

    Ich wäre dir sehr dankbar, wenn du die Anmeldung in deiner Umgebung mal im IE7 prüfen könntest, damit ich die Bestätigung habe, dass hier immer noch ein Problem besteht.

    Gruß,
    Philipp

  • 0 x
    15 Beiträge
    0 Hilfreiche Beiträge
    09. 09. 2011, 14:10

    Sorry, dass ich jetzt erst antworte, bin nur durch Zufall noch mal auf den Beitrag gestoßen.

    Wenn ich mich richtig erinnere war es für den IE wichtig, dass die cookieDomain gesetzt ist, hier dynamisch:
    $TYPO3_CONF_VARS['SYS']['cookieDomain'] = $_SERVER['SERVER_NAME'];

    Kann aber auch sein, dass er auch folgendes wollte:
    $TYPO3_CONF_VARS['SYS']['doNotCheckReferer'] = '1';

    Musste einfach mal ausprobieren, falls es nicht eh schon zu spät ist...

  • sushie sushie
    T3PO
    0 x
    18 Beiträge
    0 Hilfreiche Beiträge
    02. 10. 2011, 21:39

    liebe leute

    erst mal: vielen dank für den thread!

    habe nach stunden suchen und ausprobieren alles gemacht wie hier beschrieben, und (fast) alles funzt gut.

    was bei mir nicht geht:
    die "passwort-vergessen"-funktion macht gar nix (sendet keine mails raus und erstellt auch kein neues pw, beim absenden des formular geschieht gar nix, nur reload)

    meine umgebung:
    - typo3 4.5.6
    - rsaauth 1.1.0
    - saltedpasswords 1.0.0
    - felogin 1.3.1
    - sr_feuser_register 2.6.1 (inkl. patch: http://bugs.typo3.org/view.php?id=10202)
    - srfeuserregister_t3secsaltedpw 0.2.0

    1. [FE][loginSecurityLevel] = rsa

    1. plugin.tx_srfeuserregister_pi1.useRSA = 0
    2. plugin.tx_srfeuserregister_pi1.useSaltedPassword = 1

    hat wer eine idee woran das liegen könnte?

  • sushie sushie
    T3PO
    0 x
    18 Beiträge
    0 Hilfreiche Beiträge
    02. 10. 2011, 22:43

    :)

    habe eben hier die lösung gefunden
    http://www.typo3.net/forum/beitraege/diverse_sonstige_module/103069/beitrag/seite/#pid382509

    was mir geholfen hatte war der hinweis im erwähnten bugtracker die neuen templates von felogin zu benutzen (und nicht die von srfeuserregister) weil da mit der neuen version von felogin einige felder gändert haben:
    http://forge.typo3.org/issues/22181#note-12

    *cheers

    ps.
    für leute welche ähnliche probleme haben hier noch ein weiterer thread dazu:
    http://www.typo3forum.net/forum/typo3-4-x-fe-user/51911-felogin-sendet-keine-emails.html

  • 1