Hallo,
ich befürchte dieses Thema ist hier schon öfters aufgetaucht aber ich konnt in der Suchfunktion nichts finden, dass ich auch verstehen würde.
Ich bin Neuling im Bereich PHP deswegen hoffe ich auf ein wenig Verständnis.
Ich habe eine Seite entwickelt, bei der man über eine Login (nach Registrierung) auf ein Programm zugreifen kann
Jetzt habe ich auch noch zusätzlich ein phpBB3 Forum eingebaut.
Wie ihr jetzt bestimmt richtig vermutet, will ich jetzt natürlich nicht, dass sich die User zweimal registrieren müssen (Mein Programm + Forum) sondern will einen Account für beides nutzen.
Die Regist. beim Programm besteht nur aus einem Username und einem Passwort, dass md5 verschlüsselt wird.
Wie ich jetzt hier lesen konnte ist die Passwort-Verschlüsselung im phpBB3 doch noch ein wenig anders (=>mit "SALT" (wie auch immer das gehen soll)) und ich möchte dass es einfach nur stinknormal md5 verschlüsselt ist.
Ich möchte somit über meine PHP-Registration-Files den Usernamen und das Passwort einmal in meine Account-Tabelle (des Programmes) und einmal in die phpbb_users-Tabelle (vom Forum) eintragen lassen und die Passwörter sollen in beiden Tabellen identisch verschlüsselt sein, so dass beim Login zum Programm und beim Login zum Forum die selben Daten benutzt werden können
Geht das und falls ja, wie schaffe ich das?
Gruss
"PHP ist mein Kreuz"
Verschlüsselung umkehren
Forumsregeln
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
PHP ist mein Kreuz
- Mitglied
- Beiträge: 6
- Registriert: 10.04.2008 23:38
-
davil
- Ehemaliges Teammitglied
- Beiträge: 13
- Registriert: 06.04.2001 02:00
- Wohnort: Wien
- Kontaktdaten:
Wenn du diese Login-Funktionalität deines Programms selbst gemacht hast, wäre meiner Meinung nach der einzig sinnvolle Weg, dir anzuschauen wie das Passwort-Hashing mit dem Salt bei phpBB 3 genau gemacht wird und dann sowohl Salt als auch md5-Hash zu übernehmen.
Im Falle einer versehentlichen Veröffentlichung der Daten sind ungesalzene md5-Hashes deutlich leichter zu knacken (mit sogenannten Rainbow-Tables wo für viele bekannte Wörter schon die Hashes drinstehen) als gesalzene.
Der Aufwand, das Salting bei dir einzubauen, ist wahrscheinlich der selbe, wie es bei phpBB auszubauen. Von dem Gesichtspunkt her wäre die sicherere Variante auf jeden Fall zu bevorzugen.
davil
Im Falle einer versehentlichen Veröffentlichung der Daten sind ungesalzene md5-Hashes deutlich leichter zu knacken (mit sogenannten Rainbow-Tables wo für viele bekannte Wörter schon die Hashes drinstehen) als gesalzene.
Der Aufwand, das Salting bei dir einzubauen, ist wahrscheinlich der selbe, wie es bei phpBB auszubauen. Von dem Gesichtspunkt her wäre die sicherere Variante auf jeden Fall zu bevorzugen.
davil
there's a phpBB modder in all of us
-
PHP ist mein Kreuz
- Mitglied
- Beiträge: 6
- Registriert: 10.04.2008 23:38
-
davil
- Ehemaliges Teammitglied
- Beiträge: 13
- Registriert: 06.04.2001 02:00
- Wohnort: Wien
- Kontaktdaten:
Schauen wie es bei phpBB gelöst ist, kannst du auf jeden Fall in der functions.php, Zeile 285 (function phpbb_hash($password)).
Das ganze ist anfangs sicher nicht so einfach, im Endeffekt wird aber eine leicht modifizierte Version von phpass benutzt.
Das ganze ist anfangs sicher nicht so einfach, im Endeffekt wird aber eine leicht modifizierte Version von phpass benutzt.
there's a phpBB modder in all of us
-
PHP ist mein Kreuz
- Mitglied
- Beiträge: 6
- Registriert: 10.04.2008 23:38
-
S2B
- Ehemaliges Teammitglied
- Beiträge: 3258
- Registriert: 10.08.2004 22:48
- Wohnort: Aachen
- Kontaktdaten:
Mir ist da nichts bekannt, so kompliziert ist das ganze aber auch nicht. Im Prinzip brauchst du solange einen doppelten Datenbestand, bis jeder User sich einmal eingeloggt hat, denn nur dann liegt das Klartext-Passwort vor, aus dem du das gesaltete generieren kannst.
Das gleiche Problem tritt auch beim Update von phpBB2 auf phpBB3 auf, du könntest dir also mal anschauen, wie das da gelöst wurde.
Das gleiche Problem tritt auch beim Update von phpBB2 auf phpBB3 auf, du könntest dir also mal anschauen, wie das da gelöst wurde.
Gruß, S2B
Keinen Support per ICQ/PM!
Hier kann man meine PHP-Skripte und meine MODs für phpBB runterladen.
Keinen Support per ICQ/PM!
Hier kann man meine PHP-Skripte und meine MODs für phpBB runterladen.
Problemlösung
hi,
hab das gleiche problem, kann bitte jemand erläutern wie er das problem gelöst hat. Ich hab versucht die functions.php zu importieren, doch leider brauch die funktion phpbb_hash die funktion unique_id() die ich nicht auffinden kann irgendwie. Wäre super wenn mir da einer weiterhelfen könnte.
gruß moses
hab das gleiche problem, kann bitte jemand erläutern wie er das problem gelöst hat. Ich hab versucht die functions.php zu importieren, doch leider brauch die funktion phpbb_hash die funktion unique_id() die ich nicht auffinden kann irgendwie. Wäre super wenn mir da einer weiterhelfen könnte.
gruß moses
-
djchrisnet
- Mitglied
- Beiträge: 1275
- Registriert: 29.06.2007 15:52
- Wohnort: Elmshorn
- Kontaktdaten:
-
gn#36
- Ehrenadmin
- Beiträge: 9313
- Registriert: 01.10.2006 16:20
- Wohnort: Ganz in der Nähe...
- Kontaktdaten:
Der Ordner includes/auth/ ist auch nicht ganz uninteressant, da findet sich u.a. die Info drin wie das beim Update funktioniert wenn ich mich nicht sehr irre. Kurz beschrieben läuft das allerdings ziemlich simpel: Es gibt ein Datenbankfeld, in dem gespeichert wurde, ob das Passwort bereits gesalzen ist oder nicht, wenn nicht wird das Passwort nach einem erfolgreichen Login gesalzen und das Feld umgesetzt, wenn nicht dann erfolgt ein ganz normaler Login.
Begegnungen mit dem Chaos sind fast unvermeidlich, Aber nicht katastrophal, solange man den Durchblick behält.
Übertreiben sollte man's im Forum aber nicht mit dem Chaos, denn da sollen ja andere durchblicken und nicht nur man selbst.
Übertreiben sollte man's im Forum aber nicht mit dem Chaos, denn da sollen ja andere durchblicken und nicht nur man selbst.
hmm, dann versteh ich nicht wie das funktionieren soll, ich hab mir das so vorgestellt, dass die Funktion das passwort als string bekommt und mir dann den hash liefert, diesen hash vergleich ich mit der datenbank, wenn der benuter und das passwort übereinstimmen möchte ich den User ins system lassen.
kann das so funktionieren?
kann das so funktionieren?
