phpBB.de

Hallo Forum,

die aktuelle Version phpBB3 verschlüsselt Passwörter mittels md5 und salt.
Trifft dies zu?

Apache2 und der Mod auth_mysql unterstützen eine salt-Verschlüsselung aber nur mit crypt und aes. Trifft das auch zu?

Wie kann ich dann mit den von phpBB3 verschlüsselten Passwörtern in der MySQL-Datenbank arbeiten um meinen reg. usern weitere Laufwerke zu öffnen (mit auth_mysql)?
Könnte mir da jemand auf die Sprünge helfen?
Ich brauche keine komplette Lösung - aber ich sehe momentan den Wald vor lauter Bäumen nicht.
Danke im voraus und einen guten Rutsch allen zusammen.

Mattgalgi

Die Verschlüsselung wird mit PHP realisiert, indem bekanntlich das ganze Board geschrieben ist.

Suche benutzt?
http://www.phpbb.de/viewtopic.php?t=156 ... h+password
http://www.phpbb.de/viewtopic.php?t=156 ... h+password

Hallo bantu,

ja doch. Das hatte ich gelesen. Nur leider hat es mich nicht weitergebracht.

Kann ich das versalzen des PW irgendwo ausschalten oder auskommentieren?

Grüße

Mattgalgi

Nein, nicht direkt.

Authentifizierung
phpBB unterstützt Authentifizierungs-Plugins oder -Module. Mit diesen kannst du festlegen, wie Benutzer authentifiziert werden, wenn sie sich im Forum anmelden.
Standardmäßig gibt es drei Plugins:
DB, LDAP und Apache.

Wenn Du also die Authentifizierung über Deinen Apache oder Deinen LDAP Server vernehmen möchtest:

APC -->
Allgemein -->
Authentifizierung --> DropDownBox Auswahl.

Danke für den Hinweis. Dort war ich auch schon.
Mein Problem ist folgendes:

Unter phpbb2 hatte ich eine Abfrage, wenn ein user freigeschaltet ist, dann kann er sich mit username und password aus der mysql-database in weitere Verzeichnisse einloggen.

Jetzt habe ich upgedatet auf Debian (bzw. umgestellt von Mandrake), Apache2 und phpBB3. Leider läuft das System nun nicht mehr, weil phpBB3 Salz ins password streut.

Dein Vorschlag, die Authentifizierung komplett umzustellen ist für mich mehr Aufwand, als im Quellcode nach der Stelle zu suchen, in der das salt hinzugefügt wird.

Ich ärgere mich über mich selbst, dass ich das vor dem update auf das finale release von phpBB3 nicht gelesen habe
Seltsam finde ich, dass man die Verschlüsselung so verschärft hat - ich vermute das Passwort wird u.U. immer noch im Klartext per Mail versandt?
Das wäre für mich ein Widerspruch - Postkarte gegen Verschlüsselung

Schöne Grüße

MattGalgi

Danke euch beiden für die Tipps und die Bereitschaft am Sonntag zu antworten
Ich habe in der functions.php den Salzstreuer zugedreht. Sprich einen leeren String eingesetzt.

Schönen Tag noch,

Mattgalgi

Das Salz im Passwort sichert ja sowieso nur die Passwörter in der Datenbank. Sprich wenn ein Hacker irgendwie ins Forum kommt kann er nicht so ohne weiteres die Passwörter der User klauen um dann im Forum mit dem gekaperten Account sein Unwesen zu treiben (schlimm genug dass er dann schon sämtliche Email Adressen kennt). Dass die Verschlüsselung sowieso immer nur so sicher ist wie das schwächste Glied ist klar (wenn keine SSL Verschlüsselung bei der Passwortübertragung benutzt wird ist auch die beste Verschlüsselung nicht gut genug, denn man kann das Passwort ja einfach abfangen und braucht dann auch die Email nicht bzw. kennt das Passwort schon vor der Mail, denn man hat ja die Übertragung bei der Registrierung bereits abgefangen ). Deswegen muss man aber ja trotzdem nicht die Schwächen die es in Teilen des Systems gibt beibehalten.

Die Passwortfunktionen finden sich in der functions.php im includes Ordner. Da bei der Konvertierung alle Passwörter noch md5 verschlüsselt sind und das sich ja auch nicht direkt entschlüsseln lässt ohne Lookup Tabellen fährt das phpbb3 zweigleisig: Wenn noch md5 Verschlüsselung vorliegt wird beim Login des Users das Passwort abgefragt und dieses dann nach der neuen Methode verschlüsselt. Wenn du den Umstiegsmechanismus lahm legst und die Funktionen zur Prüfung des Passworts zu simplen md5 Aufrufen umbaust sollte es eigentlich auch weiterhin mit md5 klappen.

Der Teil, der für die Umschreibung zuständig ist dürfte sich in der includes/auth/auth_db.php finden, einfach nach dem folgenden suchen: Ich würde allerdings - sofern das möglich ist - lieber an anderer Stelle versuchen die vorhandenen stärkeren Verschlüsselungsmethoden zu verwenden und z.b. in anderen Skripten ein PHP Skript verwenden, das ein Passwort prüft (schließlich lässt sich php ja auch über die Konsole verwenden). Wenn das aber in einer kompilierten Anwendung eingebaut werden müsste hätte das vermutlich Geschwindigkeitsnachteile.

Sorry, wenn ich nochmal nachfrage, aber das Hacken des phpBB.de Forums hat mich noch vorsichtiger gemacht.

Verstehe ich das richtig?:

phpBB3 verschlüsselt die Passwörter der User über md5 mit salt. Richtig?

Wenn mein Forum von phpBB2 konvertiert wurde, werden alle Passwörter erst mal ohne salt übernommen und erst beim nächsten Login mit Salt versehen. Richtig?

Das würde bedeuten, ich sollte allen Usern empfehlen, sich nach der Konvertierung zumindest einmal anzumelden. Korrekt?

Noch besser wäre eine Umstellung auf SSL-Server. Das scheint mir logisch.

hoheidt hat geschrieben:phpBB3 verschlüsselt die Passwörter der User über md5 mit salt. Richtig?

Richtig.

hoheidt hat geschrieben:Wenn mein Forum von phpBB2 konvertiert wurde, werden alle Passwörter erst mal ohne salt übernommen und erst beim nächsten Login mit Salt versehen. Richtig?

Richtig.

hoheidt hat geschrieben:Das würde bedeuten, ich sollte allen Usern empfehlen, sich nach der Konvertierung zumindest einmal anzumelden. Korrekt?

Korrekt

hoheidt hat geschrieben:Noch besser wäre eine Umstellung auf SSL-Server. Das scheint mir logisch.

Mit SSL wird die Übermittlung der Daten, also auch des Passworts, verschlüsselt. SSL bietet keinen Schutz vor Sicherheitslücken etc.

Danke!!!!!