Modified 1.05 und 1.06 BCrypt Passwörter [UNSUPPORTED]

[blade]

Hi,

mit diesem Update werden die vorhandenen Kundenpasswörter beim nächsten login als Bcrypt Hash angelegt.

Vor dem Update muss in der Tabelle customers das Feld customers_password auf 80 Zeichen erweitert werden. Danach einfach die Dateien in das Shop verzeichnis hochladen. Getestet nur mit PHP7.

[EDIT GTB: diese Erweiterung bricht die Kompatibilität mit allen zukünftigen Versionen und wird von uns nicht empfohlen!]

Linkback: https://www.modified-shop.org/forum/index.php?topic=35243.0

[webald]

Und das Update auf 2.0 funktioniert dann nicht mehr, da dort MD5 als Paswort-Hash für alte Shops erwartet wird.

[blade]

Hi,

das Update ist speziell für Modified < 2.0.

Vorteile:

• Sichere Passwort Hashes durch BLOWFISH-Algorithmus und Salt
• Sicher gegen password timing attacks

[webald]

Noch einmal: Das verhindert, dass ein Update der Datenbank von 1.0x => 2.x möglich ist.

In 2.x werden alle Passwörter bei der Eingabe geprüft ob diese noch im alten MD5 gespeichert sind und falls ja in gesalzenes SHA konvertiert.

Mit Deiner Version ist das nicht mehr möglich.

[blade]

Hi,

was verstehst du an kleiner als Version 2.0 nicht? Von einer Kompatibilität zu 2.0 habe ich nie geschrieben.
Nutze deine richtige Schlußfolgerung und update eben nicht. Was erwarst du jetzt von mir und warum? Nutze deinen freien Willen und update dein Shop eben nicht. Ist das hier nicht die Bastelecke? Nicht jeder hat 2.0 oder möchte update.

[webald]

Ist Dir zu warm?

Du stellst hier was rein ohne Hinweis auf Dir offensichtlich bekannte Probleme. Dann kommt as nächstes ein unbedarfter Shopbetreiber, der die Sicherheit in seinem Shop erhöhen will und nutzt Deinen Code. Wenn er das macht, muss klar sein, dass der einfache Updateweg auf 2.x damit verbaut ist.

Nix anderes habe ich gesagt.

[blade]

Hi,

Du machst Dir unnötig Gedanken. Wenn jemand ein nicht offizielles Update in sein Livesystem einspielt und hinterher erwartet, dass die offiziellen Updates einwandfrei funktionieren, wird er sich selbst eines besseren belehren. Alle anderen werden hier schon ihre Fragen stellen. Ich gehe davon aus, dass jene die das Update nutzen wollen, ausreichende Programmierkenntnisse haben, um sowie Du sich über die Konsequenzen im klaren zu sein.

[webald]

Das ist eine falscha Annahme. Um die Folgen abschätzen zu können, müßte man den Code in 2.x kennen, aber kann man dsa vorraussetzen, bei jemandem, der einen 1.0x-Shop betreibt? Wo soll die Kenntnis herkommen?

Evtl. war Dir das ja auch nicht klar, sonst hättest Du auch die Codeschnippsel aus 2.0 nehmen können und in 1.0x dann integrieren. Da bliebe dann das Update möglich.

[blade]

Hi, ich z.B. manage einen 1.05 Shop und weiß, dass der Code nicht mit 2.0 kompatibel ist, darum steht im Titel nichts von 2.0. Meine Annahmen sind korrekt, für jeden wird das Ergebnis am Ende entsprechend seinen Handlungen sein.

Gruß

[GTB]

Wenn jemand ein nicht offizielles Update in sein Livesystem einspielt und hinterher erwartet, dass die offiziellen Updates einwandfrei funktionieren, wird er sich selbst eines besseren belehren. Alle anderen werden hier schon ihre Fragen stellen. Ich gehe davon aus, dass jene die das Update nutzen wollen, ausreichende Programmierkenntnisse haben, um sowie Du sich über die Konsequenzen im klaren zu sein.

Das sehen wir hier anders. Wir sind sehr bemüht bei allen Entwicklungen noch eine gewisse Kompatibilität zu erhalten, gerade wenn es um so Grundlegende Dinge wie Passwortverschlüsselung. Wenn du dir dazu zB die Codestellen in der 2.00 ansiehst, ist dies komplett kompatibel zu der 1.0x gemacht.

Wenn du schon salted Passwörter mit CRYPT Verschlüsselungen haben willst, brauchst du nur 2 Dateien aus der 2.00 und schon hast du alles was du brauchst. Dazu 1 Änderung in der login.php und schon bist du fertig.

Alles andere ist einfach mist, denn das würde den Usern hier nicht mehr die Möglichkeit geben auf eine aktuelle Version updzudaten.

Gruss Gerhard

[Fakrae]

Grundsätzlich: Natürlich muss es nicht zu 2.0 kompatibel sein. Der Punkt ist eher der, dass die Änderung bei einem Update auf >=2.0 (IRGENDWANN) dazu führt, dass das einfach nicht funktioniert - ohne dass eine entsprechende Rückmeldung gegeben werden kann. Irgendwann gibt es dann einen Post "Bei mir funktioniert das Update nicht" und nach 200 Posts fällt vielleicht irgendwann mal jemandem auf zu fragen, ob eigentlich was an den Passwörtern geändert wurde. Bis dahin haben sich aber dann ein dutzend Leute mit dem Problem befasst, dass man hätte umgehen können, wenn an dieser Stelle etwas Weitsicht vorhanden gewesen wäre.
Nochmal deutlich: Es geht nicht darum, dass du ein "Modul" entwickelt und geteilt hast - das ist super! Sondern nur, dass auf eine solche Problematik nicht hingewiesen wird.

[web28]

Grundsätzlich kann man es so machen wie von Blade beschrieben.

Es gibt allerdings einiges zu beachten:

1. Einbau hätte man etwas ansers machen können, ähnlich wie es bei 2.00 gemacht wurde.
2. Die Funktion password_hash gibt es erst mit PHP5.5, und das fehlt als wichtige Information beim Modul
3. Durch die andere Verschlüsselung funktionieren z.B. Wawi Anbindungen nicht mehr, jedenfalls dann wenn diese den MD5 Hash für den Login übermitteln

Man kann aber später durchaus auf 2.00 updaten, dann muss man allerdings die nötigen Codeänderungen in 2.00 einbauen.

Sinnvoller ist es aber die neue 2.00 Passwortverschlüsselung in alte Shops einzubauen, diese funktioniert ab PHP 5.3 und damit gerade auch bei den angesprochenen 1..05/1.06 Shops.

Das Problem mit den Wawis und ähnlichen Schnittstellen mit MD5 Hash Anbindung ist aber auch hier gegeben. Es müssen dann zusätzlich die Schnittstellen angepasst werden.

Gruss Web28

[h-h-h]

Ich sag hier mal einfach, ein Update auf die 2.0 ist mit ein paar Anpassungen auch mit der Erweiterung noch möglich.

Benötigt wird eine weitere Passwortprüfung beim Login:
- letzter Login vor dem "Datum der Umstellung auf 2.0"
- Passwort nicht md5
Dann einfach das Passwort mit BCrypt prüfen und neu speichern.

Also theoretisch halb so wild.

LG und schönes Wochenende,

h-h-h

EDIT meint ich hätte etwas übersehen:

Man kann aber später durchaus auf 2.00 updaten, dann muss man allerdings die nötigen Codeänderungen in 2.00 einbauen.

[web28]

Man muss in der xtc_validate_password nur verschiedene die Testroutinen hierrachisch abarbeiten.

Wenn dann das Passwort validiert kann ist man fertig. Als Option kann man das Passwort dann neu verschlüsseln.

Beispiel für Testroutinen

1. md5 (bis mod 1.06
2. osc (wenn von osc migiert wurde)
3. bcrypt (hier aus dem Thread)
4. mod2.00

Die ganze Funktion könnte man modulartig umprogrammieren.

Gruss Web28

[webald]

Wenn man das modulartig aufbaut, dann sollte man auch die Möglichkeit schaffen die Verschlüsselung im BE festzulegen.

Dann könnte man ggf. trotz modified2.0 immer noch mit MD5 arbeiten. => https://trac.modified-shop.org/ticket/853