Kommentare zu: typo3.org wurde gehackt!?

Von: Tim

Tim — Fri, 28 Nov 2008 18:55:32 +0000

Das ist richtig!
Allerdings handelt es sich bei typo3.net um eine rechte große TYPO3 Community, die ebenfalls auf der FE-Benutzerverwaltung basiert! Hinter der Plattform steht immerhin Mittwaldmedien… mich hatte es interessiert, wie bei anderen TYPO3-basierten Communities mit der Passwortverschlüsselung umgegangen wird…

Von: Frank Nägler

Frank Nägler — Wed, 26 Nov 2008 17:43:12 +0000

Sorry, aber was hat bitte typo3.net mit typo3.org zu tun?
Die beiden Plattformen haben außer dem Thema TYPO3 nichts mit einander zu tun.

Von: Tim-Oliver Schulz

Tim-Oliver Schulz — Wed, 26 Nov 2008 15:40:11 +0000

so, es gab eine antwort von typo3.net!

passwörter liegen nicht verschlüsselt in der db:
http://www.punsk.de/web-entwicklung/nachtrag-typo3org-gehackt/

Von: Auyana

Auyana — Mon, 17 Nov 2008 15:18:46 +0000

Also ich würde es meiden jetzt mich auf der typo3-Seite einzuloggen. Eine hochinteressante Seite in Sicherheitsbelangen ist zone-h.org . Dort werden u. a. auch defacement Angriffe vorgestellt. Beispielsweise wurde mehrmals die Microsoft-Homepage verunstaltet.

Von: Frank Nägler

Frank Nägler — Sat, 15 Nov 2008 11:17:25 +0000

Nein noch nichts neues, das letzte ist die offizielle News auf typo3.org, wie bereits oben im Artikel-Update genannt:
http://news.typo3.org/news/article/typo3org-important-security-warning/

Von: Tim-Oliver Schulz

Tim-Oliver Schulz — Sat, 15 Nov 2008 10:10:59 +0000

@Thomas: das hätte ich nicht besser ausdrücken können!

Ist schon irgendwas Neues raus?

Von: Knapp und kurz – 2008-11-14 | sprain's

Knapp und kurz – 2008-11-14 | sprain's — Sat, 15 Nov 2008 03:03:51 +0000

[...] oder hier: http://typo3weblog.de/?p=350 [...]

Von: Frank Nägler

Frank Nägler — Fri, 14 Nov 2008 19:13:57 +0000

Sorry Georg, aber da muss ich widersprechen.
Natürlich ist md5 nicht das Mittel der Wahl, aber eins ist klar, mein PW steht in keinem Wörterbuch und ist lang genug, dass ein Script zum decodieren von md5 sehr lange brauchen würde.

Jetzt nützt mir mein tolles Passwort aber rein gar nichts mehr, wenn dieses im Klartext in der DB von typo3.org stand. Es macht also schon einen großen Unterschied ob die PW im Klartext oder mindestens mit md5 verschlüsselt drin stehen.

Von: Georg Ringer

Georg Ringer — Fri, 14 Nov 2008 19:01:31 +0000

yeah spread the word ;)

und was nützt md5? genau rein gar nichts! also bitte bisschen weniger rumschrein wenn man sich weniger auskennt!

natürlich wäre md5 etwas besser, aber beschützen tuts rein gar nicht. und sind wir nicht alle in der branche tätig, die immer predigen: überall andere passwörter, nie die gleichen wo verwenden, nicht unter der tastatur kleben, nicht den namen der freundin oder des hundes zu nehmen usw? klingelts?

tragisch ists natürlich allemal

Von: Tim-Oliver Schulz

Tim-Oliver Schulz — Fri, 14 Nov 2008 17:53:10 +0000

@Frank: Das stimmt! Aber meine 3 min Vorsprung konntest Du besser durch Deine große Anzahl hypes wett machen :-D

Naja, die Frage ist, auf welches Passwort bezieht sich Robert?! Dass das Admin-Passwort verschlüsselt war, davon gehe ich mal aus… Aber was ist mit den FE-Passwörtern? Laut der Nachricht im t3n-Blog klingt das eher nicht so… daraufhin hatte ich auch nochmal ein Update gepostet:
http://www.punsk.de/web-entwicklung/nachtrag-typo3org-gehackt/

@Thomas: wenn’s eine Brute-Force-Attacke auf den md5 war könnte man schon von Hack reden, oder? ;-) ansonsten gebe ich Dir Recht! Wenn schon die Admins von typo3.org keine sicheren Passwörter benutzen, sollte man über so eine Prüfung ernsthaft nachdenken!