Eintragsdetails ansehen

IDProjektKategorieSichtbarkeitZuletzt aktualisiert
0000154WEB-ShopBackendöffentlich22.12.2010 16:01
ReporterDoc Olson Bearbeitung durchyogi  
PrioritätnormalSchweregradFeature-WunschReproduzierbarN/A
Status erledigtLösungerledigt 
Produktversion1.0.4 
Zielversion1.0.10Behoben in Version1.0.10 
Zusammenfassung0000154: Passworter "Salzen"
BeschreibungFür 1.2 sollte die Sicherheit DEUTLICH erhöht werden.

Folgende Maßnahmen:

- Passwörter "salzen" (http://de.wikipedia.org/wiki/Salt_%28Kryptologie%29)
- Passwortstärke erzwingen, zu einfache Passwörter sind garnicht möglich
- Trennung von customer und admin in der Datenbank
- "Admin"-Kundengruppe wird keinen Zugriff auf das Backend mehr haben und wird z.B. nur noch zum testen neuer Features o.ä. dienen bevor man sie für die Kunden freischaltet
TagsKeine Tags zugeordnet.

Eintrags-Beziehungen

verwandt mit 0000136 anerkannt Trennung zwischen Kunden und Shop User 
hat Duplikat 0000320 erledigtyogi "Salzen" der Passwörter 
verwandt mit 0000156 erledigtxantiva htaccess Passwortschutz für Backend 
verwandt mit 0000157 erledigtxantiva weitere Uploadverzeichnisse sichern + Upload Möglichkeit im Content und Attachment Manager entfernen 
blockiert 0000369 neu Passwortstärke erzwingen 

Notizen / Dateien

xantiva

30.09.2009 22:42

Administrator   ~0000094

http://de3.php.net/manual/de/function.md5.php
Dort wird z. B. vorgeschlagen, den md5 Hash eines gesalzenen Passwortes statt nur einmal gleich ?1.000 mal zu berechnen und das Ergebnis abzuspeichern.
Man könnte zusätzlich das Passwort halbieren und zwischen die Hälften den Salt bringen.

yogi

01.10.2009 14:20

Administrator   ~0000095

Zuletzt bearbeitet: 01.10.2009 15:50

oder man benutzt standard-Funktionen wie http://de.php.net/crypt

das kann man dann sogar mit einem "sanften" Übergang realsieren.

Diese Variante würde ich für sogar für die V1.1 vorschlagen!

(edit Mike: URL korrigiert)

yogi

22.12.2010 15:01

Administrator   ~0000350

Revision 1733:

Das Salzen der PWs wurde über die php crypt funktion implementiert.

Bei jeder User der sich nach der DB Umstellung auf Release >= 13 im Shop anmeldet wird das PW neu codiert in der DB gespeichert. Hierbei wird eins der folgenden Verfahren (je nach verfügbarkeit) benutzt, die Salt-Länge hängt vom Verfahren ab (2 - 22 Zeichen):

- CRYPT_SHA512
- CRYPT_SHA256
- CRYPT_BLOWFISH
- CRYPT_MD5
- CRYPT_EXT_DES
- CRYPT_STD_DES

Eintrags-Historie

Änderungsdatum Benutzername Feld Änderung
29.09.2009 20:59 Doc Olson Neuer Eintrag
29.09.2009 20:59 Doc Olson Beziehung hinzugefügt verwandt mit 0000136
29.09.2009 21:03 xantiva Produktversion 1.2 => 1.0.4
29.09.2009 21:03 xantiva Zielversion => 1.2
29.09.2009 21:30 xantiva Status neu => anerkannt
30.09.2009 19:13 xantiva Beziehung hinzugefügt verwandt mit 0000156
30.09.2009 20:08 xantiva Beziehung hinzugefügt blockiert 0000157
30.09.2009 20:09 xantiva Beziehung gelöscht blockiert 0000157
30.09.2009 20:09 xantiva Beziehung hinzugefügt verwandt mit 0000157
30.09.2009 22:42 xantiva Notiz hinzugefügt: 0000094
01.10.2009 14:20 yogi Notiz hinzugefügt: 0000095
01.10.2009 14:28 yogi Notiz bearbeitet: 0000095
01.10.2009 15:50 xantiva Notiz bearbeitet: 0000095
21.08.2010 11:35 yogi Status anerkannt => zugewiesen
21.08.2010 11:35 yogi Bearbeitung durch => yogi
21.08.2010 11:36 yogi Zielversion 1.2 => 1.0.10
22.12.2010 15:01 yogi Notiz hinzugefügt: 0000350
22.12.2010 15:02 yogi Zusammenfassung Passwortstärke erzwingen => Passworter "Salzen"
22.12.2010 15:05 yogi Beziehung hinzugefügt blockiert 0000369
22.12.2010 16:01 yogi Status zugewiesen => erledigt
22.12.2010 16:01 yogi Behoben in Version => 1.0.10
22.12.2010 16:01 yogi Lösung offen => erledigt
22.12.2010 16:02 yogi Beziehung hinzugefügt hat Duplikat 0000320