Salting in phpBB3 für CMS-Kompatiblität abschalten

[Stoffex]

Hallo,

sry das ich das Thema wieder ausgrabe.

Ich würde gern das Salting in phpbb3 komplett abzuschlaten und nur normal md5 Verschlüsselung für Passwörter benutzen.
Mir sind die Risiken durch die Sicherheit bewusst aber leider kann ich mein Vorhaben nicht realisieren solange die Passwörter gesalzen werden.

Das Salting in meine Applikation zu implementieren wäre durchaus möglich aber einfach zu umständlich da ich hierfür so einiges umschreiben müsste. (Quasi von vorne anfangen)

Ich würde mich riesig freuen wenn ich hierzu einen Tip bekommen könnte wie ich das Salting abschalten und nur normale md5 Verschlüsselung benutzen kann.

Mfg und danke im Vorraus ... so long

[Boecki91]

Ich weiß ja nicht in was für einer Programmiersprache du arbeitest, ich bin mir aber sicher das man die PHP Funktion dahin portieren kann. Andererseits kann man auch die php Funktion umschreiben das man dort nur noch einen md5 raus bekommt.

Vielleicht erzählst du etwas über deine Applikation, eine Datenbank Anbindung scheint sie ja schon zu haben, auch das man wegen so einer Passwortfunktion neu anfangen muss kann ich mir nur schwer vorstellen.

[Stoffex]

Ich arbeite gerade an einer Art CMS ... dieses CMS besteht aus 3 unterschiedlichen Scripten und hat insgesamt 3 Datenbanken aus welcher Userdaten gelesen werden.

Damit die User sich halt nicht 3 mal einloggen müssen habe ich hier eine Verbindung zwischen den Scripten hergestellt.
Aber weil das Forum ja leider die Passwörter nicht im standard md5 verschlüsselt.
Muss ich derzeit die UserPasswörter in einer extra Tabelle kurzzeitig im Klartext speichern.
Was nicht wirklich die absolute Bestlösung ist.

Ich würde gern weiterhin das Phpbb3 nutzen aber wenn ich die Funktion nicht ausschalten kann dann bleibt mir nichts anderes übrig.
Da ja sonst die Sicherheit meiner Benutzer sehr stark gefährdet ist.
Die beiden anderen Scripte so umzuschreiben das sie die Verschlüsselung vom Phpbb3 nutzt wäre einfach zu Zeitaufwändig.

Ich müsste mehr Zeit investieren um die Funktion zu implementieren als sie einfach auszuschalten.

Wie gesagt ich würde mich riesig freuen wenn ich einen Tip bekommen könnte wie ich die Funktion komplett eleminieren kann.

[bantu]

Ich arbeite gerade an einer Art CMS ... dieses CMS besteht aus 3 unterschiedlichen Scripten und hat insgesamt 3 Datenbanken aus welcher Userdaten gelesen werden.

Deine anderen Anwendungen sollten ebenfalls in der Lage sein, das Passwort in einer sicheren Art in der Datenbank zu speichern. MD5 ist nicht ganz so schlimm wie Plaintext, aber immernoch schlimm.

Wie gesagt ich würde mich riesig freuen wenn ich einen Tip bekommen könnte wie ich die Funktion komplett eleminieren kann.

Wenn du selbst an Software arbeitest, die sicher sein soll, solltest du sowohl in der Lage sein die Funktionen die phpBB verwendet zu verwenden, als auch dazu in der Lage sein die Funktion in phpBB zu deaktivieren.

Ich müsste mehr Zeit investieren um die Funktion zu implementieren als sie einfach auszuschalten.

Im Prinzip sind es nur 2 Funktionsaufrufe. Einen zum Hashen, einen zum Überprüfen. Das ist also, wie wenn du md5() verwendest - PHP vorausgesetzt.

[Stoffex]

Deine anderen Anwendungen sollten ebenfalls in der Lage sein, das Passwort in einer sicheren Art in der Datenbank zu speichern. MD5 ist nicht ganz so schlimm wie Plaintext, aber immernoch schlimm.

Das machen sie ja auch ... die beiden anderen Scripte benutzen ja md5.
Beim Login des Users überprüfe ich ja den md5 Hash ... aber dadurch das das PHPBB ja eine andere Verschlüssellung benutzt muss ich beim Login des Users das PW kurzzeitig in der DB im Klartext speichern damit der Login ins Forum funktioniert.

Wenn du selbst an Software arbeitest, die sicher sein soll, solltest du sowohl in der Lage sein die Funktionen die phpBB verwendet zu verwenden, als auch dazu in der Lage sein die Funktion in phpBB zu deaktivieren.

Das ist richtig.
Nur sind die beiden Scripte komplett fertig gescriptet und ich will hier auf keinen Fall etwas am Code ändern.
(never touch a running system)
Ein weiteres Problem ist das ich mich nicht wirklich gut mit Funktionen auskenne.
Wenn ich mich ne Weile da dran hänge wird es auch irgendwann funktionieren.
Das ist aber nicht mein Ziel das ganze mit hin und her Versuchen zu erreichen.
Deswegen stelle ich ja auch diese Frage hier ins Forum.
Damit ich es richtig mache und nicht vielleicht durch eine Falschprogrammierung eine Sicherheitslücke öffne.

MFG

[igorw]

Damit ich es richtig mache und nicht vielleicht durch eine Falschprogrammierung eine Sicherheitslücke öffne.

Wie gesagt, md5 ist eine sehr schlechte Wahl wenn es darum geht eine sichere Applikation zu entwickeln.

Der Aufwand das phpBB3 hashing für deine scripts zu verwenden ist minimal. Du kopierst die paar Funktionen von phpBB's functions.php in dein script, ersetzt alle md5 aufrufe mit phpbb_hash und alle md5 Abgleiche mit phpbb_check_hash.

Wenn du darauf bestehst unsichere Praktiken anzuwenden, bitte. Den gesamten inhalt der Funktion ersetzt du mit "return md5($password);". Geht auf eigene Gefahr, ich rate sehr stark davon ab. Mir ist es lieber du verwendest md5 als plaintext, doch md5 ist veraltet.