Eintragsdetails ansehen
| ID | Projekt | Kategorie | Sichtbarkeit | Meldungsdatum | Zuletzt aktualisiert |
|---|---|---|---|---|---|
| 0000154 | WEB-Shop | Backend | öffentlich | 29.09.2009 20:59 | 22.12.2010 16:01 |
| Reporter | Doc Olson | Bearbeitung durch | yogi | ||
| Priorität | normal | Schweregrad | Feature-Wunsch | Reproduzierbar | N/A |
| Status | erledigt | Lösung | erledigt | ||
| Produktversion | 1.0.4 | ||||
| Zielversion | 1.0.10 | Behoben in Version | 1.0.10 | ||
| Zusammenfassung | 0000154: Passworter "Salzen" | ||||
| Beschreibung | Für 1.2 sollte die Sicherheit DEUTLICH erhöht werden. Folgende Maßnahmen: - Passwörter "salzen" (http://de.wikipedia.org/wiki/Salt_%28Kryptologie%29) - Passwortstärke erzwingen, zu einfache Passwörter sind garnicht möglich - Trennung von customer und admin in der Datenbank - "Admin"-Kundengruppe wird keinen Zugriff auf das Backend mehr haben und wird z.B. nur noch zum testen neuer Features o.ä. dienen bevor man sie für die Kunden freischaltet | ||||
| Tags | Keine Tags zugeordnet. | ||||
| verwandt mit | 0000136 | anerkannt | Trennung zwischen Kunden und Shop User | |
| hat Duplikat | 0000320 | erledigt | yogi | "Salzen" der Passwörter |
| verwandt mit | 0000156 | erledigt | xantiva | htaccess Passwortschutz für Backend |
| verwandt mit | 0000157 | erledigt | xantiva | weitere Uploadverzeichnisse sichern + Upload Möglichkeit im Content und Attachment Manager entfernen |
| blockiert | 0000369 | neu | Passwortstärke erzwingen |
|
|
http://de3.php.net/manual/de/function.md5.php Dort wird z. B. vorgeschlagen, den md5 Hash eines gesalzenen Passwortes statt nur einmal gleich ?1.000 mal zu berechnen und das Ergebnis abzuspeichern. Man könnte zusätzlich das Passwort halbieren und zwischen die Hälften den Salt bringen. |
|
|
oder man benutzt standard-Funktionen wie http://de.php.net/crypt das kann man dann sogar mit einem "sanften" Übergang realsieren. Diese Variante würde ich für sogar für die V1.1 vorschlagen! (edit Mike: URL korrigiert) |
|
|
Revision 1733: Das Salzen der PWs wurde über die php crypt funktion implementiert. Bei jeder User der sich nach der DB Umstellung auf Release >= 13 im Shop anmeldet wird das PW neu codiert in der DB gespeichert. Hierbei wird eins der folgenden Verfahren (je nach verfügbarkeit) benutzt, die Salt-Länge hängt vom Verfahren ab (2 - 22 Zeichen): - CRYPT_SHA512 - CRYPT_SHA256 - CRYPT_BLOWFISH - CRYPT_MD5 - CRYPT_EXT_DES - CRYPT_STD_DES |
| Änderungsdatum | Benutzername | Feld | Änderung |
|---|---|---|---|
| 29.09.2009 20:59 | Doc Olson | Neuer Eintrag | |
| 29.09.2009 20:59 | Doc Olson | Beziehung hinzugefügt | verwandt mit 0000136 |
| 29.09.2009 21:03 | xantiva | Produktversion | 1.2 => 1.0.4 |
| 29.09.2009 21:03 | xantiva | Zielversion | => 1.2 |
| 29.09.2009 21:30 | xantiva | Status | neu => anerkannt |
| 30.09.2009 19:13 | xantiva | Beziehung hinzugefügt | verwandt mit 0000156 |
| 30.09.2009 20:08 | xantiva | Beziehung hinzugefügt | blockiert 0000157 |
| 30.09.2009 20:09 | xantiva | Beziehung gelöscht | blockiert 0000157 |
| 30.09.2009 20:09 | xantiva | Beziehung hinzugefügt | verwandt mit 0000157 |
| 30.09.2009 22:42 | xantiva | Notiz hinzugefügt: 0000094 | |
| 01.10.2009 14:20 | yogi | Notiz hinzugefügt: 0000095 | |
| 01.10.2009 14:28 | yogi | Notiz bearbeitet: 0000095 | |
| 01.10.2009 15:50 | xantiva | Notiz bearbeitet: 0000095 | |
| 21.08.2010 11:35 | yogi | Status | anerkannt => zugewiesen |
| 21.08.2010 11:35 | yogi | Bearbeitung durch | => yogi |
| 21.08.2010 11:36 | yogi | Zielversion | 1.2 => 1.0.10 |
| 22.12.2010 15:01 | yogi | Notiz hinzugefügt: 0000350 | |
| 22.12.2010 15:02 | yogi | Zusammenfassung | Passwortstärke erzwingen => Passworter "Salzen" |
| 22.12.2010 15:05 | yogi | Beziehung hinzugefügt | blockiert 0000369 |
| 22.12.2010 16:01 | yogi | Status | zugewiesen => erledigt |
| 22.12.2010 16:01 | yogi | Behoben in Version | => 1.0.10 |
| 22.12.2010 16:01 | yogi | Lösung | offen => erledigt |
| 22.12.2010 16:02 | yogi | Beziehung hinzugefügt | hat Duplikat 0000320 |
