PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Password Patch 1.0



maeggi07
15.01.2015, 19:41
Moinsen,

viele Systeme bedienen sich noch dem Hash-Algorhytmus MD5, sowie auch VMSone.
Deshalb stelle ich euch hier meinen Password Patch kostenlos bereit.
Die Passwörter werden mit Crypt, einem zufälligem Salt und der UserID verschlüsselt.

Da ich bei meinem VMSone Script schon auf PDO umgestiegen bin, konnte ich den Patch nicht ausgiebig testen.
Mit Xampp hat alles reibungslos funktioniert.

Für den Patch braucht ihr mindestens PHP 5.3+
Vor dem Patchen bitte alle Dateien und Datenbank sichern. (Backup)

Ich übernehme keinerlei Haftung für irgendwelche Schäden.

In der Anleitung.txt bitte alle Hinweise lesen!!!
Download (https://www.dropbox.com/s/2i59a4ute4omjtt/Password%20Patch%201.2.rar?dl=0)

INFO:
Für den Patch werden einige Dateien überschrieben.
Habt ihr vorher irgendwelche veränderungen vorgenommen (zb. zusätzliche Addons), müssen diese nachträglich nochmal eingebaut werden !!!

Über Rückmeldungen, anregungen etc. würde ich mich freuen ;)

EDIT:
--Neue Version 1.2
--Fix userprofil.php
------------------
--Neue Version 1.1
--Es gibt jetzt die UserID und den zufälligem Salt.

MfG
Marco

auron2008
15.01.2015, 20:50
ohne jetzt kleinlich zu wirken aber md5 ist keine Verschlüsselung !

maeggi07
15.01.2015, 21:03
da hast du vollkommen recht... md5 bildet einen hash und ist keine verschlüsselung!
naja... somit wissen auch die anfänger unter uns was gemeint ist :D :P

auron2008
16.01.2015, 00:36
Und ohne jetzt die Veränderung angesehen zu haben. Ein Salt soll einen Schutz vor Rainbowtabellen liefern. Das bekommst du auch ohne einen zufällig generierten Salt hin der zusätzlich in der Datenbank gespeichert wird. Alternativ könntest du z.B. UserId etc. des Users nehmen oder du nimmst einfach einen Salt der im Script fest drinne steht. Hat den gleichen Effekt mit dem Unterschied das ein Angreifer zum ftp Account UND zur Datenbank Zugriff bekommen müsste um dann die Passwörter zu erraten :p .

maeggi07
16.01.2015, 01:58
Klar funktioniert das auch ohne einen zufällig generierten Salt. Einem Angreifer würde es aber pro Benutzer mehr zeit kosten :p
Du darfst auch gerne veränderungen vornehmen, jeder darf sich gerne daran beteiligen... Da haben wir doch alle etwas von ;)
Wobei wir dann eher das komplette Script neu schreiben müssten :D

Alpha10
16.01.2015, 10:23
Hallo Lob für Deinen Einsatz! Würde aber auch eine Variante ohne Salz bevorzugen, das mit der UserID hört sich gut an, vieleicht hast Du ja noch mal kurz Zeit für Variante 2? ;)

maeggi07
16.01.2015, 12:23
@Alpha10

Würde aber auch eine Variante ohne Salz bevorzugen,
Vielleicht solltest du dich bei Google mal über "Salt" Informieren ;)
Ohne Salt werde ich es auf keinem fall machen!

@auron2008

Ein Salt soll einen Schutz vor Rainbowtabellen liefern.
Der Sinn von Salt besteht darin; das es dem Angreifer nicht mehr möglich ist, mit nur einer Reinbow-Table die ganze Seite abzudecken.
Stattdessen muss für jeden Benutzer von vorne begonnen werden! Den Aufwand wird kaum ein Angreifer treiben können.
Selbst wenn der Angreifer es könnte...
Es geht halt darum, es dem Angreifer so schwer wie nur möglich zu machen!

Ich werde den Patch nochmal mit der UserID erweitern.
Somit haben wir dann zwei in einem ;)

Edit:
Habe den Patch jetzt mit der UserID erweitert.
Es gibt jetzt also die UserID und den zufälligem Salt.
Download Link oben ist aktualisiert.

Alpha10
18.01.2015, 08:51
Ist ok seh ich ein!

ABER Es funktioniert jetzt schon nicht, installieren alles ok, wenn man ein neues Passwort anfordern will funktioniert es auch, aber man kann sein Passwort nicht mehr ändern! Also ändern anscheinend schon aber der Login mit dem eigenem PW funktioniert nicht!


Kannst Du da noch mal schauen, ich glaube die /konto/userprofil.php > Da wo man sein Passwort ändert ;) muss noch bearbeitet werden??? Oder ist das so gewollt!?

maeggi07
18.01.2015, 14:35
Danke, für deine Rückmeldung.
Da habe ich doch tatsächlich die userprofil.php Datei vergessen :D
DU brauchst dann jetzt nur nochmal die "userprofil.php" datei hochladen!

Neue Version 1.2
Download Link oben ist aktualisiert.

Alpha10
18.01.2015, 18:11
Da muss noch ein Fehler drinn sein, es ist immer noch nicht möglich sein Passwort zu aendern! Danach ist kein Login mit neuem Passwort möglich, man muss erst wieder ein neues Anfordern!!

Ausserdem kann ich mich nur mit Nutzername einloggen nicht mehr mit Klamm-ID mit ID erscheint links oben in der Ecke die Ausgabe: "
test
$2a$11$$"

Was ist das? ^^

Bitte schau noch mal nach!!!!

maeggi07
18.01.2015, 18:44
test
$2a$11$$"


War noch ein Test :D
Habe ich entfernt...
Bei mir funktioniert ALLES. Neue User können sich anmelden, Passwort ändern und Passwort vergessen.
Habe die Version 1.2 nochmal aktualisiert.
Lade dir die Version 1.2 nochmal runter und tausche alle Dateien nochmal aus.
Lösche danach mal deinen Browsercache.

War der Login mit User-ID beim Standard VMS überhaupt möglich?
Beim Login, wird nämlich nur der Nickname geprüft, nicht die User-ID.
Vielleicht hast du dir mal ein Addon installiert?

Alpha10
18.01.2015, 18:52
Ja es funktioniert jetzt, bis auf den Login mit Klamm-ID zusätzlich das muss ich mir wieder reinbasteln!

Ansonsten gute Arbeit! :) :)

Alpha10
19.01.2015, 11:13
In der userprofil.php ist immer noch ein Fehler. nach Deiner Datei sind permanent alle banner im Reload da die funktion fehlt um die Anzahl der Banner auszuwählen, die war vorher da!

Habs mir mittlerweile angepasst auch der Userlogin mit Nickname und KlammiD geht wieder!

Alpha10
22.01.2015, 18:23
Interne Überweisungen müssen auch noch angepasst werden, da hier auch das passwort abgefragt wird, ich sende Dir eine PN!

maeggi07
23.01.2015, 16:08
Die zusätzlichen Addons kann ich euch so natürlich nicht anpassen.
Deshalb müsst ihr mir die Datei oder den Code per PN schicken.
Ich passe die Datei dann für euch an :)

mine321
23.01.2015, 16:36
wird es auch eine ohne klamm version geben?

maeggi07
25.01.2015, 01:00
welche vmsone version benutzt du denn?

Sam2004
25.01.2015, 18:16
Gibt auch noch die ohne Klammanbindung, wobei das eh unerheblich sein sollte. Bis auf den Unterschied, dass die API von Klamm nicht angeschlossen
ist und kleine Änderungen an ein paar Tabellen gemacht werden müssen.

Wünschenswert wäre, wenn gewisse Änderungen für die neue PW Variante, extra bei der Installation mit reingeschrieben werden.

Es gibt auch Nutzer, die wohl die ein oder andere Datei, überarbeitet haben. Nur mal so als kleiner Wink nebenbei^^