Apache Friends Support Forum

[wooorst]

moin moin,
ich bin schon seit längerem auf der Suche nach einer Lösung für folgendens Problem, vielleicht könnt ihr mir ja helfen ?! :

Ich benutze xampp (vers 1.6.6) um auf meinem Windows XP Rechner ein Mediawiki laufen zu lassen...
klappt auch alles wunderbar, doch jetzt habe ich es mit einer .htacces geschützt und das mod_auth_mysql benutzt um den user_name und user_password aus der Datenbank zu holen.
Mediawiki hasht in den neueren Versionen das Passwort nicht einfach über MD5, sondern die ID etc spielen auch noch mit.
Und hier tritt auch das Problem auf: Die mod_auth_mysql kann nur den einfachen MD5 hash. Ich könnte zwar in der Mediawiki den $wgPasswortSalt = false; setzen um die Passwörter einfach nur mit MD5 zu hashen, doch das ist mir zu unsicher, da der code als "geknackt" gilt.

---------------------------------------------------------------------------------------------------------
If $wgPasswordSalt is true (default) it it a concatention of:

The string ":B:",
A pseudo-random hexadecimal salt between 0x0 and 0x7fffffff (inclusive),
The colon character (":"), and
The MD5 hash of a concatenation of the salt, a dash ("-"), and the MD5 hash of the password.


If $wgPasswordSalt is false, it it a concatention of:

The string ":A:" and
The MD5 hash of the password.
----------------------------------------------------------------------------------------------------------

Meine Frage: Bietet Xampp (Apache) eine andere Lösung an? gibt es die mod_auth_mysql auch dynamisch (also kann ich meine verschlüsselung eintragen?) ?

[Nobbie]

>doch das ist mir zu unsicher, da der code als "geknackt" gilt.

So ein Blödsinn. Wie soll das denn vor sich gehen bei einem Login im Mediawiki? Mach mal ein realistisches Szenario.

[wooorst]

Ich habe mich doch nur in ein paar anderen Foren informiert und mir dort ein Bild gemacht...
Bin denn auch auf folgende Seite gestoßen:
http://www.md5cracker.org/
Sucht aber anscheinend nur Datenbanken durch...
Ist MD5 doch nicht so unsicher wie ich dachte?
Ich wollte mich hier ja auch nur informieren da ich mich auf diesem Gebiet nicht gut auskenne ...

[Nobbie]

Vergiss alles, was Du darüber gelesen hast, das ist (wenn überhaupt) nur für die Fälschung von sog. digitalen Zertifikaten relevant. Da kann es gelingen, eine Fälschung zu produzieren.

Mit einem Login hat das rein gar nichts gemeinsam und der ist immer noch so sicher wie das Amen in der Kirche.

[Wiedmann]

Ist MD5 doch nicht so unsicher wie ich dachte?

Ist immer eine frage was /du/ genau dachtest.

Um mit Rainbowtabellen überhaupt auf MD5-Hashe losgehen zu können, braucht man ja eben diese Hashe. In deinem Fall, hätte sich also schon jemand irgendwie Zugang zu deinem MySQL verschaffen müssen. Aber dann ist eh schon alles "zu spät" *g*

[wooorst]

Vielen Dank für eure schnellen Antworten und Hinweise, habe es nun mit dem einfachen MD5-Hash eingerichtet

Aber jetzt mal rein aus Interesse, würde das denn überhaupt irgendwie klappen, wenn $wgPasswordSalt = true; ist ???
oder ist mod_auth_mysql dafür absolut nicht ausgelegt?

[Wiedmann]

oder ist mod_auth_mysql dafür absolut nicht ausgelegt?

Code: Select all

AuthMySQLSaltField <> | <string> | mysql_column_name

  Contains information on the salt field to be used for crypt and aes
  encryption methods.  It can contain one of the following:
    <>: password itself is the salt field (use with crypt() only)
    <string>: "string" as the salt field
    mysql_column_name: the salt is take from the mysql_column_name field in the
      same row as the password

  This field is required for aes encryption, optional for crypt encryption.
  It is ignored for all other encryption types.

würde das denn überhaupt irgendwie klappen, wenn $wgPasswordSalt = true; ist ???

Allerdings müsste man trotzdem noch den Code, bzw. die DB, von MediaWiki anpassen. (gibt ja dort kein extra SaltField)

Meine Frage: Bietet Xampp (Apache) eine andere Lösung an? gibt es die mod_auth_mysql auch dynamisch (also kann ich meine verschlüsselung eintragen?) ?

Es gäbe da noch theoretisch "mod_authn_dbd"