Beiträge von Re:Later

    Es gilt einfach die goldene Regel, dass man Core-Erweiterungen nicht deinstalliert, sondern lediglich deaktiviert, um diese Meldungen nicht zu haben.


    Aber diese Meldungen sind dann auch wurst. Und ja auch richtig, wenn Beez3 deinstalliert wurde.

    Ich habe mir per Datenbank ein MD5-Passwort angelegt, also "beginnend unspektakulär mit irgendwelchen Ziffern oder Zeichen", und wider Erwarten wurde es bei Erstnutzung nicht abgehärtet, sondern blieb unverändert, und auch nach neu speichern des Profils. Nur, wenn ich im Profil das Passwort erneut eingebe und speichere wird "gedollart".


    Also Entschuldigung für diese Fehlinformation! Ich war fest davon ausgegangen, auch nachdem ich diesen Dialog auf GitHub gelesen hatte.

    Ich habe das heute noch mal probiert und es klappt doch. War ich gestern wohl zu müde. Also nach 1. Login wird das MD5-Passwort automatisch im Hintergrund "abgehärtet". PHP7.

    Die meisten beginnen unspektakulär mit irgendwelchen Ziffern oder Zeichen, nicht mit $.

    Das sollten sie aber. Ich würde für diese User, vielleicht sogar für alle, eine Paswwort-Rücksetzung einstellen. Das kann man mit dem Knopf Benutzer > "Stapelverarbeitung" sehr leicht machen. Sie melden sich mit Ihrem alten Kennwort an und werden sofort aufgefordert ein neues zu vergebn, was dann mit Sicherheit "gedollart" wird, selbst, wenn sie das alte erneut eingeben (wobei ich nicht ausprobiert habe, ob das bei der Rücksetzung erlaubt ist).


    Du kannst unter Benutzer > Optionen > zuvor die Passwortoptionen etwas oder mehr hochschrauben. Mindestens 12 Zeichen sollten es schon sein. Leider hat Joomla nichts drinnen, wie z.B. MediaWiki, um "Blödeimer"-Kennworte zu verhindern. 1234 oder Passwort = Username etc. pp.


    Ich habe das nämlich mal getestet

    und "veraltete" Passworte längst automatisch abgehärtet werden (bcrypt) sobald sie genutzt werden.

    Ich habe mir per Datenbank ein MD5-Passwort angelegt, also "beginnend unspektakulär mit irgendwelchen Ziffern oder Zeichen", und wider Erwarten wurde es bei Erstnutzung nicht abgehärtet, sondern blieb unverändert, und auch nach neu speichern des Profils. Nur, wenn ich im Profil das Passwort erneut eingebe und speichere wird "gedollart".


    Also Entschuldigung für diese Fehlinformation! Ich war fest davon ausgegangen, auch nachdem ich diesen Dialog auf GitHub gelesen hatte.

    Du kannst per phpMyAdmin in die Datenbank gehen. Dort öffnest du die Tabelle, die auf _users endet.

    Solltest du einen finden, dessen "password" mit

    Code
    1. $1$

    beginnt, ist das ein altes MD5-Passwort. Notier die ID des Users. Sehe im Backend unter den Benutzern nach, was zu diesem Benutzer als "Letzter Besuch" drinnen steht. Dann überlege was ein solcher User mit den ihm zugeordneten Rechten eigentlich anrichten kann, wenn sich wer ein solches Kennwort erschleicht. Ob es sich lohnt da einzuschreiten. Ein Super User, der seit mehreren Jahren nicht mehr angemeldet war, sollte eh gesperrt werden. Der meldet sich dann schon...


    Und mit All-Inkl fährst du gut, soweit du auch dort gute Passwörter verwendest, für was man eben Passwörter verwendet..

    dann wird das Thema MD5 / Hash zur Zeit noch heiß diskutiert

    Nicht wirklich. Es wird nur das Für und Wieder besprochen, WANN man am besten entfernt. Es wird weiterhin klargestellt, dass MD5 und SHA256 und PHPass auf einem aktuellen Server (Zusatz von mir: mit aktuellem PHP) und aktuellem Joomla längst kein Thema mehr sind und "veraltete" Passworte längst automatisch abgehärtet werden (bcrypt) sobald sie genutzt werden.

    Das heißt, ich muss beim Provider nachfragen, was genau der Server in Sachen Passwortspeicherung so treibt und Joomla selbst hat nur einen kleinen Anteil (Salt) daran.

    Jein. Joomla ist gerüstet, mit diversen Hash-Verfahren umzugehen und wählt das stärkste verfügbare, aber wer doof genug ist, seine Seite auf einem Mülleimer-Server zu betreiben oder mit Mülleimer-PHP oder mit Mülleimer-Joomlaversionen, dem hilft dann die Aussage des Mülleimer-Hosters auch nicht mehr, der so etwas zulässt ;-)


    EDIT: Und wegen dieser denkbaren Mülleimer-Gegebenheiten "traut" man sich nicht, zu radikal zu arbeiten bzgl. des Entfernens. Weiters muss mindestens 1 Verfahren bestehen bleiben, mit dem man zur Not sich ein vorübergehendes Passwort via Datenbank anlegen kann.

    MD5 ist lediglich als Fallback zu sehen und nicht das Standard-Verfahren in Joomla. Joomla greift, je nachdem, was der Server an Möglichkeiten bietet, auf verschiedene Verfahren zurück.


    Die Sicherheit liefert also primär dein Server und deine eingestellten Passwort-Optionen. Joomla salzt dann die Geschichte noch etwas.


    MD5-Passwörter werden bei erstem Login auch in ein sichereres, nicht-md5, gewandelt.


    Hier ergänzend ein paar Überlegungen bzgl. kommendes Joomla 4: https://github.com/joomla/joomla-cms/pull/23872

    Die falsche Version war in meinem Template eingebunden. der Support hat das festgestllt nachdem ich verzweifelt versucht habe die Overwirtes zu machen. Daraufhin haben die mir die neue Version geschickt.

    Wenn du noch Support bei Templatemonster hast, warum fragst nicht den?


    Sowohl die 1.0 als auch die 2.1.7 sind nicht ausgelegt für Updates oder Neuinstallationen, was sonderlich ist und was man an diesem Eintrag in der XML sieht.

    method="install"

    Kann man nur so verbleiben:

    - Wenn du sicher bist in #__extensions ALLE in Frage kommenden Einträge gelöscht zu haben (vielleicht ja auch mehrere durch Fehlinstallationen) und die Tabelle den richtigen Tabellen-Prefix der Joomla-Installation hat,

    - und ebenso in Tabelle #__modules (wobei das eigentlich wurst sein sollte)

    - und dann radikal den Ordner modules/mod_tm_ajax_contact_form GELÖSCHT hast.

    seh ich nix mehr per Ferndiagnose und du wendest dich wohl besser an jemanden unter dem Link "Dienstleister" oben im Forumsmenü.

    Falls denn die Datenbank von extern überhaupt bespeist werden kann. Die Logik hinter dem Vorhaben bleibt mir aber gänzlich verborgen. Hast ja dann immer eine Datenbank, die nicht synchron ist. Joomla kann ja nicht in beide gleichzeitig speichern oder nachträglich alle Änderungen rüberschieben.


    Für Deteien gibt es Editoren, mit denen man diese auch gleich per FTP hochschieben kann. Sind dann nur die, die man bearbeitet hat und dementsprechend schneller.


    Weiters, wenns um Beiträge geht, gibt's Tools wie J2XML mit denen man die Änderungen oder neue Beiträge rüberschieben kann. Ist aber etwas tricky zu konfigurieren, wenn man nichts kaputt machen will.