Hallo,
habe gerade von Contao erfahren und es gleich auf meinem Webserver installiert.
Bei der Installation kam schon das erste Problem auf. Überall wird empfohlen, Passwörter mit Sonderzeichen zu nutzen. Das mache ich schon seit Jahren so, ganz selbstverständlich. Contao warf mir beim Anlegen meines Nutzers aber vor den Kopf, dass mein Passwort kein Raute-Zeichen, keine Klammern etc. enthalten dürfte.
Meine erste Frage in dem Moment: Warum? Passwörter nicht gehasht in der DB??
Blick in die DB - doch, zum glück.
Meine zweite Frage: Kein Salt im Hash?
Blick in die DB - tatsächlich kein Salt gefunden. Irgs. Unschön!!
Was mich aber total umgehauen hat: Angeblich diene der Ausschluss dieser Sonderzeichen der Sicherheit, so das CMS in der Installation.
Entschuldigung, aber ich finde diese Behauptung - vorsichtig gesagt - lächerlich. Eigentlich sogar brandgefährlich. Es gibt durch den Hash keinen vernünftigen Grund, auf diese Sonderzeichen zu verzichten! (Fast) alle anderen CMSe kriegen das auch hin, warum also nicht Contao?
Wenn diese beiden Punkte:
* Salt
* Sonderzeichen
nicht halbwegs schnell auf der Roadmap landen, muss ich leider nach einem anderen CMS ausschau halten. Davon gehe ich aber derzeit nicht aus. Da ich selbst Entwickler bin und mich fleißig mit Sicherheitsfragen auseinandergesetzt habe, schätze ich, dass auch die Contao-Entwickler recht schnell an diesem Punkt arbeiten werden. Gerne stelle ich dazu auch einen Report im Bugtracker ein.
Ich würde gerne nur etwas Feedback aus dem Forum hören - vielleicht kennt ja jemand die Hintergründe dazu (à la: "... da hat sich sicher jemand etwas dabei gedacht!").
Danke schon einmal! Und danke für dieses ansonsten so großartige CMS!
Gruß,
Ben
Lesezeichen