Antwort #12 am: 03. Januar 2021, 22:21:55
[...]
Ich habe festgestellt, dass die PHP-Funktion "openssl_random_pseudo_bytes()" nur existiert wenn die PHP-Erweiterung "OpenSSL" installiert ist, und davon kann man nicht selbstredend ausgehen, deshalb habe ich jetzt die gleiche Funktion in die Datei "admin/includes/modules/system/adminer_dba_tool.php" eingebaut welche auch das Shopsystem verwendet um den Ordner admin umzubenennen.
[...]
...was mich dazu bringt dem Team vorzuschlagen die Funktion
crypto_rand_secure(), auf die am Ende
xtc_random_charcode() ja aufbaut, so anzupassen, daß in der erstgenannten
random_bytes() benutzt wird wenn vorhanden, wenn nicht
openssl_random_pseudo_bytes() und letztendlich der Rückfall auf
mt_rand(), wie auch jetzt bereits, wenn OpenSSL nicht zur Verfügung steht, ähnlich wie es im PHPMailer bereits umgesetzt ist.
Übrigens wird
openssl_random_pseudo_bytes() ohne Fallback in der aktuellen Shop-Version zum generieren der Session-ID benutzt. Da sollte man dann wohl um der Konsistenz und auch der Sicherheit willen nach dem o.g. Anpassen auch
xtc_rand() benutzen.
Gruß,
noRiddle