Hash Methode für Passwörter in DB
-
Hallo zusammen,
ich versuche gerade Doku Wiki an Churchtools anzubinden, finde aber leider nirgendwo mehr die Beschreibung, wie die Passwörter in der DB gehasht werden (Algorithmus).
Und bevor die Frage kommt, der LDAP Wrapper ist keine Option, weil ich den bei 1&1 nicht aktiviert bekomme und den intern zu hosten und dann von Doku Wiki bei 1&1 darauf zuzugreifen keinen Sinn macht und unsicher ist.
Gruß
Florian
-
@Strunki In Version 3.x kann man für jeden User einen Login-Token generieren. Würde das helfen?
Für die Version 2.5x wird es hier kaum noch Antworten geben. -
Hallo Andy,
nein, der Login Token hilft nicht weiter, da Doku wiki gerne den Passwort hash hätte.
Für die Konfiguration muss ich nur wissen welche Methode genutzt wird und ich weiß, das irgendwas mit 2.X von MD5 auf was anderes gewechselt wurde, nur durch die Kommerzialisierung und die neue Homepage findet man ja leider keine Release Notes mehr, in denen das mal stand.
Auch im Quelltext habe ich an allen stellen, die mir logisch erschienen versucht etwas zu finden, leider ohne Erfolg - daher die Frage hier. -
@Strunki Die Passwörter werden mit
bcryptgehasht.Ich habe aber noch nicht so ganz verstanden, wozu du das benötigst.
bezüglich LDAP hilft dir vielleicht auch das weiter: https://intern.church.tools/?q=churchwiki#WikiView/filterWikicategory_id:0/doc:LDAP/ -
@davidschilling LDAP ist keine Option, da der Zugriff unverschlüsselt laufen würde / müsste.
Wie wird denn der bcrypt Hash gebaut, also aus welchen Elementen?
Ich hatte vorhin mit einem Generator / Encoder getestet und kam bei meinem PW auf ein anderes als in der DB -
@Strunki Die Kommunikation bei LDAP läuft nicht unverschlüsselt.
-
@davidschilling sagte in Hash Methode für Passwörter in DB:
@Strunki Die Kommunikation bei LDAP läuft nicht unverschlüsselt.
Das Problem ist ich bekomme den Wrapper bei 1&1 nicht ans laufen, aufgrund deren Beschränkungen und da Doku Wiki auf die gleiche Datenbank zugreifen kann, muss ich nur die Anbindung machen.
Und wie gesagt, bei bcrypt Generatoren bekomme ich aktuell einen anderen Hash als ich in der DB finde angezeigt. -
@Strunki Wenn es um den Login geht solltest du die Api benutzen und nicht den direkten Datenbankzugriff. Die Datenbank kann sich bei jeder Version ändern. Für die können wir keine Garantie geben. Die Api ist da viel stabiler.
Und wie in der Wiki Seite beschrieben kann der LDAP Server auch von ChurchTools betrieben werden.
-
Alles was ich geschrieben habe gilt nur für Version 3x
Zu Version 2 weiß ich auf deine Fragen keine Antwort.
-
Übrigens raten wir dringend auf Version 3.x zu wechseln. 2.x ist schon so lange nicht mehr gewartet, da gibt es allein von den verwendeten PHP Bibliotheken einige Sicherheitslücken.
