Ergebnis 1 bis 4 von 4

Thema: Kein Backend-Login nach Update auf Contao 3.5.36: Passwort Hash-Methode geändert?

  1. 21.11.2018, 16:25 #1
    Stepinsky
    Stepinsky ist offline
    Contao-Nutzer
    Registriert seit
    28.03.2010.
    Ort
    Tübingen
    Beiträge
    115

    Standard Kein Backend-Login nach Update auf Contao 3.5.36: Passwort Hash-Methode geändert?

    Hallo,
    heute habe ich eine alte Contao Installation auf 3.5.36 gehoben. Danach konnte ich mich im Backend nicht mehr einloggen.

    Gemäß den kursierenden Anleitungen (z.B. bei der Contao Academy oder im Contao Wiki) liegt das Passwort als SHA1 Hash in der Datenbank. Ich habe das das Passwort - wie in den Anleitungen beschrieben - als SHA1 im Klartext per phpMyAdmin eingegeben. Nutze ich ein beliebiges SHA1 Tool zur Kontrolle und vergleiche den Output, ist der Hash identisch. Trotzdem klappt das Login nicht.
    Ich habe daher bei meinem Admin-User in der Tabelle tl_user im Feld "admin" = 0 gesetzt, das Install Tool aufgerufen und einen neuen Admin-User mit dem gleichen Passwort erstellt. Vergleiche ich den Hash mit dem alten, unterscheidet er sich.

    Hat sich die Hash-Methode geändert? Laut Academy sollte SHA1 sogar bei den aktuellen 4er Versionen funktionieren. Oder woran könnte es sonst liegen?


    [Nebenbei: SHA1 gilt inzwischen als unsichere Verschlüsselungsmethode.]
    Geändert von Stepinsky (21.11.2018 um 16:35 Uhr)
    ZitierenZitieren
  2. 21.11.2018, 16:34 #2
    tab
    tab ist offline
    Wandelndes Contao-Lexikon Avatar von tab
    Registriert seit
    22.10.2013.
    Beiträge
    10.078
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Die Unterstützung des alten, unsicheren SHA1-Hashs wurde rausgenommen, siehe auch das Change-Log für 3.5.36
    ZitierenZitieren
  3. 21.11.2018, 16:48 #3
    Stepinsky
    Stepinsky ist offline
    Contao-Nutzer
    Registriert seit
    28.03.2010.
    Ort
    Tübingen
    Beiträge
    115

    Standard Workaround für Updates

    Danke für die schnelle Antwort. Und prima, dass SHA1 jetzt raus geflogen ist

    Dann gilt also in Zukunft bei Updates von (sehr) alten Versionen bzw. wenn sich der Nutzer schon länger nicht mehr eingeloggt hat der Workaround:

    [Ergänzung]: Wer Zugriff auf die Console hat, kann sich nach der Anleitung von xchs selbst einen neuen Passwort Hash generieren.

    Wer keinen Zugriff auf die Console hat (oder wem das aus irgendeinem Grund zu kompliziert erscheint):

    • Mit dem Datenbank-Toll deiner Wahl (phpmyadmin / Adminer/ ...) in die Datenbank gehen, zur Tabelle tl_user, den oder die Admins temporär runter stufen (bei den Usereinträgen "admin" = 0)
    • Install Tool aufrufen. Das Tool erkennt, dass kein Admin-Account existiert und bietet an, einen neuen anzulegen
    • Mit dem neuen Account einloggen und die Passwörter zurücksetzen und die Admin-Rechte wieder herstellen.


    Dann muss ich gleich mal meine 2.11 auf 3.5 Update-Anleitung anpassen.
    Geändert von Stepinsky (08.12.2018 um 10:55 Uhr) Grund: Ergänzung
    ZitierenZitieren
  4. 21.11.2018, 16:59 #4
    planepix
    planepix ist offline
    AG Pressearbeit
    Community-Moderator
    Buchautor 'Contao für Webdesigner'     Avatar von planepix
    Registriert seit
    05.06.2009.
    Ort
    Stuttgart
    Beiträge
    6.470
    Partner-ID
    107
    Contao-Projekt unterstützen

    Support Contao

    Daumen hoch

    Exakt das heute auch gemacht in einer 2.7 auf 3.5.36 Installation.
    ---------------------------------
    Beste Grüße planepix
    Contao für Webdesigner (Website), Twitter: @contaowebdesign
    weitzeldesign
    Contao-Sprechstunde
    Contao Schulungen: https://www.weitzeldesign.com/cms-co...chulungen.html
    Contao Jahrbuch: www.contao-jahrbuch.de
    Contao Agenturtag: www.contao-agenturtag.de
    Contao Stammtisch Stuttgart: www.contao-stammtisch-stuttgart.de
    Contao 4 Erfahrungen als Gitbook: https://app.gitbook.com/@planepix/s/...-mit-contao-4/
    Contao 4 & Manager Hosterhinweise: https://github.com/contao/contao-manager/wiki

    Schon wieder ein Update?
    Glücklich sind die, die den Wert erkennen – und wertschätzen.
    „Muss man machen wie beim Zahnarzt. Der bestraft einen auch mit hohen Rechnungen wenn man die Pflege vernachlässigt.”
    ZitierenZitieren
« Vorheriges Thema | Nächstes Thema »

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •  

Foren-Regeln