[3.3] Upd von 2.0.20 -> 3.3.2 User-Login "falsches Passwort angegeben"

[Crizzo]

Wird sie mit Sicherheit

Danke fürs Ausprobieren und berichten!

[chris1278]

Hallo Crizzo,

OK, danke für Deine Info.

Dann sollte diese Funktion ggf. ebenfalls angepasst werden.

Herzliche Grüße
Harald

Hi mein bester. Frage. Ich gehe mal davon aus das Du von 2.0.20 direkt zu 3.3.2 upgedatet/konvertiert hast.

Hast oder sagen wir bzw. kannst Du mal testen ob der Fehler mit den Passwörtern auch auftritt, wenn Du wie folgt konvertierst:

phpbb 2.0.20 -> phpbb 3.0.0 (dann testen)
phpbb 3.0.0 -> phpbb 3.0.14 (dann wieder testen)
phpbb 3.0.14 -> phpbb 3.1.0 (dann wieder testen)
phpbb 3.1.0 -> phpbb 3.1.12 (dann wieder testen)
phpbb 3.1.12 -> phpbb 3.2.0 (dann wieder testen)
phpbb 3.2.0 -> phpbb 3.2.11 (dann wieder testen)
phpbb 3.2.11 -> phpbb 3.3.x (dann wieder testen)

Ob das Problem dann auch auftritt oder umgangen wird lässt sich nur schwer sagen. Ich persönlich habe die Erfahrung gemacht das der weg einer Konvertierung einer älteren phpbb Version (sei es 2.0.20 oder 3.0. irgendwas) zu der aktuellen Version Probleme bereiten kann, wenn man die Konvertierung direkt mit der aktuellen Version macht. Daher habe ich mir den weg so angewöhnt, dass ich immer erst die letzte Version der laufenden Versionsreihe konvertiere dann eben die Erste Version der neuen Reihe und dann die letzte Version usw. Und immer mal wieder Stichproben artig zwischendurch teste, ob alles so weit funktioniert. Ich weiß, man kann sich das sparen, weil man ja direkt mit der finalen Version konvertieren kann. Aber ich habe die Erfahrung gemacht, das dies halt, für mich der sichere weg ist. Auch wenn er vielleicht etwas mehr Arbeit erfordert.

[Sir.Nixx]

Hallo Chris,

in der Regel mache ich ebenfalls Deine Zwischenschritte.

Aber da phpBB3 das direkte Konvertieren von phpBB2 "verspricht", habe ich gespannt auf das Ergebnis geschaut. Und ganz ehrlich - ich bin sehr überrascht - wie sauber die Konvertierung programmiert worden ist und gepflegt wird (man sollte die Jahre zwischen 2.0.20 bis heute berücksichtigen).

Da haben die Entwickler ganz tolle Arbeit geleistet. Danke und Kompliment an das Entwickler-Team für diese Umsetzung und das man mir die Installations-Orgie über alle Versionen erspart hat.

Ich werde zeitnah nicht die Zeit finden, diese ganzen Zwischenschritte noch einmal nachzuspielen, auch fehlt mir der Mehrwert über dieses Wissen im Anschluss.

Wenn heute noch jemand von phpBB2 auf phpBB3 updaten möchte (bin ich ggf. der letzte gewesen?), wird dieser sicherlich gerne einen Bogen um phpBB3.0 machen wollen und gleich auf phpBB3.3 gehen.

Das Problem ist gefunden und konnte gefixt werden. Alles gut (für mich).

Aber ggf. kannst Du (ohne erneute Installationen und Konvertierungen) in Deinen eigenen DB-Backups einmal schauen, wie sich die Passwörter "vor sowie nach" den Updates verändert haben, ab welcher phpBB-Version diese $CP$-Passwörter erscheinen und wie sie sich mit den Updates mit den Hashes verändert haben. Ggf. kann man auch in GIT nachschauen, ab wann diese Funktion geschrieben worden ist etc.pp - sollte sicherlich schneller gehen - als alle Installationen noch einmal durchzuspielen.

Herzliche Grüße
Harald

[marc1706]

Hallo Chris,

in der Regel mache ich ebenfalls Deine Zwischenschritte.

Aber da phpBB3 das direkte Konvertieren von phpBB2 "verspricht", habe ich gespannt auf das Ergebnis geschaut. Und ganz ehrlich - ich bin sehr überrascht - wie sauber die Konvertierung programmiert worden ist und gepflegt wird (man sollte die Jahre zwischen 2.0.20 bis heute berücksichtigen).

Da haben die Entwickler ganz tolle Arbeit geleistet. Danke und Kompliment an das Entwickler-Team für diese Umsetzung und das man mir die Installations-Orgie über alle Versionen erspart hat.

Ich werde zeitnah nicht die Zeit finden, diese ganzen Zwischenschritte noch einmal nachzuspielen, auch fehlt mir der Mehrwert über dieses Wissen im Anschluss.

Wenn heute noch jemand von phpBB2 auf phpBB3 updaten möchte (bin ich ggf. der letzte gewesen?), wird dieser sicherlich gerne einen Bogen um phpBB3.0 machen wollen und gleich auf phpBB3.3 gehen.

Das Problem ist gefunden und konnte gefixt werden. Alles gut (für mich).

Aber ggf. kannst Du (ohne erneute Installationen und Konvertierungen) in Deinen eigenen DB-Backups einmal schauen, wie sich die Passwörter "vor sowie nach" den Updates verändert haben, ab welcher phpBB-Version diese $CP$-Passwörter erscheinen und wie sie sich mit den Updates mit den Hashes verändert haben. Ggf. kann man auch in GIT nachschauen, ab wann diese Funktion geschrieben worden ist etc.pp - sollte sicherlich schneller gehen - als alle Installationen noch einmal durchzuspielen.

Herzliche Grüße
Harald

Schön zu hören dass es jetzt geklappt hat und danke für die warmen Worte. Ich werde die Änderung dann mal entsprechend finalisieren und wenn alles gut läuft dürfte die Änderung schon in der nächsten Version dann auch dem Rest der Welt zur Verfügung stehen.

Hi mein bester. Frage. Ich gehe mal davon aus das Du von 2.0.20 direkt zu 3.3.2 upgedatet/konvertiert hast.

Hast oder sagen wir bzw. kannst Du mal testen ob der Fehler mit den Passwörtern auch auftritt, wenn Du wie folgt konvertierst:

phpbb 2.0.20 -> phpbb 3.0.0 (dann testen)
phpbb 3.0.0 -> phpbb 3.0.14 (dann wieder testen)
phpbb 3.0.14 -> phpbb 3.1.0 (dann wieder testen)
phpbb 3.1.0 -> phpbb 3.1.12 (dann wieder testen)
phpbb 3.1.12 -> phpbb 3.2.0 (dann wieder testen)
phpbb 3.2.0 -> phpbb 3.2.11 (dann wieder testen)
phpbb 3.2.11 -> phpbb 3.3.x (dann wieder testen)

Ob das Problem dann auch auftritt oder umgangen wird lässt sich nur schwer sagen. Ich persönlich habe die Erfahrung gemacht das der weg einer Konvertierung einer älteren phpbb Version (sei es 2.0.20 oder 3.0. irgendwas) zu der aktuellen Version Probleme bereiten kann, wenn man die Konvertierung direkt mit der aktuellen Version macht. Daher habe ich mir den weg so angewöhnt, dass ich immer erst die letzte Version der laufenden Versionsreihe konvertiere dann eben die Erste Version der neuen Reihe und dann die letzte Version usw. Und immer mal wieder Stichproben artig zwischendurch teste, ob alles so weit funktioniert. Ich weiß, man kann sich das sparen, weil man ja direkt mit der finalen Version konvertieren kann. Aber ich habe die Erfahrung gemacht, das dies halt, für mich der sichere weg ist. Auch wenn er vielleicht etwas mehr Arbeit erfordert.

Kann ich dir wie folgt beantworten:

• phpbb 2.0.20 -> phpbb 3.0.0 (dann testen): Passwort wird von md5 in $H$ Format konvertiert: phpass(md5(password))
• phpbb 3.0.0 -> phpbb 3.0.14 (dann wieder testen): Passwort bleibt im phpass format
• phpbb 3.0.14 -> phpbb 3.1.0 (dann wieder testen): Passwort bleibt im phpass format und bekommt $CP$ Präfix (für convert password)
• phpbb 3.1.0 -> phpbb 3.1.12 (dann wieder testen): Passwort wird zusätzlich mit bcrypt gehashed und wird zu einem "combined hash" aus bcrypt(phpass(md5(password))
• phpbb 3.1.12 -> phpbb 3.2.0 (dann wieder testen): Kein Veränderung
• phpbb 3.2.0 -> phpbb 3.2.11 (dann wieder testen): Keine Veränderung
• phpbb 3.2.11 -> phpbb 3.3.x (dann wieder testen): Keine Veränderung

Sobald auf irgendeiner dieser Ebenen ein Login erfolgt, wird dass Passwort wieder im derzeit gültigen Format gehasht, d.h. in 3.3 dann mit Argon2.

[chris1278]

Kann ich dir wie folgt beantworten:

• phpbb 2.0.20 -> phpbb 3.0.0 (dann testen): Passwort wird von md5 in $H$ Format konvertiert: phpass(md5(password))
• phpbb 3.0.0 -> phpbb 3.0.14 (dann wieder testen): Passwort bleibt im phpass format
• phpbb 3.0.14 -> phpbb 3.1.0 (dann wieder testen): Passwort bleibt im phpass format und bekommt $CP$ Präfix (für convert password)
• phpbb 3.1.0 -> phpbb 3.1.12 (dann wieder testen): Passwort wird zusätzlich mit bcrypt gehashed und wird zu einem "combined hash" aus bcrypt(phpass(md5(password))
• phpbb 3.1.12 -> phpbb 3.2.0 (dann wieder testen): Kein Veränderung
• phpbb 3.2.0 -> phpbb 3.2.11 (dann wieder testen): Keine Veränderung
• phpbb 3.2.11 -> phpbb 3.3.x (dann wieder testen): Keine Veränderung

Sobald auf irgendeiner dieser Ebenen ein Login erfolgt, wird dass Passwort wieder im derzeit gültigen Format gehasht, d.h. in 3.3 dann mit Argon2.

Das ist schön aber ich teste nicht wegen den passwort sondern mach das allgemein. Was das für hashs sind kann ich eh nicht sagen weil mein wissen da fehlt. Ich teste bzw. konvertiere nach der methode um andere fehler auszuschliesen.

Beispiel:

Ein forum konvertiert von 3.0.14 direkt zu 3.3.1 funktionierten die dateianhänge nicht mehr. Erst als ich die schrittweise konvertierung gemacht habe hats funktioniert. Fragt mich bitte nicht was dabei anders ist. Darum mache ich das seit dem so. Auch wenns länger dauert.

[Sir.Nixx]

Hallo Chris,

Du könntest in Deiner aktuellen DB einmal nach "falsche" Hashes schauen ...

mySQL:

Code: Alles auswählen

SELECT * FROM `phpbb_users` WHERE `user_password` LIKE '$CP_2y$10%' ORDER BY `user_id`  ASC

Werden keine Datensätze angezeigt, dann sollten alle Deine Hashes OK sein. "Mein" Problem besteht dann wirklich nur im großen Versionssprung (warum auch immer);

Sollten bei Dir Datensätze angezeigt werden (dann sollte es ggf. ein allgemeines kleines Problemchen sein und nicht nur bei mir). Du könntest dann ggf. entsprechend aus einem älteren Backup mit noch einem korrekten Hash-Syntax $CP$ eine Korrektur durchführen; Ob dieser Aufwand sinnig ist - das sei dahin gestellt. Diese User haben sich ehh seit dem Update auf <=3.1.12 nicht mehr im Forum angemeldet gehabt, also sind seit Jahren mehr oder weniger DB-Leichen.

Herzliche Grüße
Harald

[chris1278]

Das kann ich bei der nächsten konvertierung gern mal machen. aber dafür ist jetzt zu spät. die foren die ich bisher konvertiert habe laufen ja schon einige monate. lol