07.08.
2011
Workaround: Backend-Login bei Typo3 (vers. 4.5.x) nicht möglich
(posted by admin, 3 Kommentare »)Das Problem
Nach reibungsloser Installation von Typo3 (4.5.4) auf einem Windows Server (2003) mit PHP 5.2.6 wollte ich mich ins Backend von Typo3 als Standard-User (admin / password) einloggen. Doch zu meiner Verwunderung bekam ich im Login Fenster stets folgende Meldung angezeigt:
Ihr Anmeldeversuch war nicht erfolgreich
Bitte stellen Sie sicher, dass Ihr Benutzername und Passwort korrekt sind. GroĂ-/Kleinschreibung wird unterschieden.
Erfolglose Versuche
- Mehrmaliges Anlegen eines neuen Administrators ĂŒber das Backend
- Bereinigen der Installationsverzeichnisse / Datenbanktabellen und Neuinstallation (vers. 4.5.0, 4.5.2, 4.5.4)
- Löschen aller Dateien im Temp-Verzeichnis und Temp-Dateien in typo3conf
- Testen in verschiedenen Standard-Browsern (Cache/Cookie- Problematik)
- Anlegen einer neuen Domain in Plesk
- Löschen des Administratorpasswortes (Hashwert) in der be_user Tabelle der MySQL Datenbank
- Verzicht auf den UTF-8 Zeichensatz
Die (vorrĂŒbergehende)  Lösung
Nach unzÀhligen erfolglosen Versuchen stieà ich im Typo3 Install-Tool  unter All Configuration auf folgende Einstellungsmöglichkeit:
loginSecurityLevel ($TYPO3_CONF_VARS['BE']['loginSecurityLevel'])
Mit dieser Option kann festgelegt werden, welche Authentifizierungsmethode Typo3 beim Login im Backend verwenden soll. StandardmĂ€Ăig ist hier nichts eingetragen, wodurch das Passwort als MD5- Hashsumme in die Tabelle be_user eingetragen wird. Mit zwei einfachen Schritten lĂ€sst sich  Backend-Bereich von Typo3 wie gewohnt erreichen:
1. TrĂ€gt man bei ['BE']['loginSecurityLevel'] den Wert ânormalâ ein, so wird auf die Bildung des Hashwertes  bei der Authentifizierung verzichtet.
2. Als logische Folge daraus muss nun in der Datenbanktabelle âbe_userâ  fĂŒr das Passwort statt der Hashsumme der eigentliche Wert eingetragen werden (fĂŒr den Standarduser âadminâ  somit  âpasswordâ). Das funktioniert am einfachsten ĂŒber das PhpMyAdmin Tool.
Nun Sollte der der Login wie gewohnt funktionieren.
Folgerungen und Sicherheitsproblematik
Das beschriebene Workaround ist im Hinblick auf entstehende Sicherheitsrisiken nicht die Premiumlösung, da das Passwort nun âunverschlĂŒsseltâ in der Datenbank zu finden ist.
Allerdings muss man solche Risiken auch immer ein wenig realtivieren:
Typo3 selbst schreibt im Manual:
PasswortĂŒbertragung und Speicherung (Backend) sind MD5 verschlĂŒsselt.
Zum einen handelt es sich bei der standardmĂ€Ăig verwendeten Authentifizierung (MD5) nicht um eine VerschlĂŒsselung im eigenen Sinne. Wer zur Pseudo-VerschlĂŒsselung MD5 mehr wissen möchte, dem empfehle ich diesen Link. Somit wird weder das im Browser eingegebene Passwort auf dem Weg zum Server standardmĂ€Ăig verschlĂŒsselt noch wird es verschlĂŒsselt in der Datenbank abgelegt.
Hat ein Hacker es zum anderen wirklich auf die das Typo3 System und somit die Datenbank  abgesehen, so benötigt er zunĂ€chst in irgendeiner Form Zugang zu dieser, unabhĂ€ngig, in welcher Form das Passwort des Backend- Administrators hinterlegt ist.  Hat sich der Unbefugte diesen Zugang erst einmal erschlichen, wird er sich wohl kaum die MĂŒhe machen, das der Hashsumme zu Grunde liegende Passwort des Administrators zu ermitteln, wenn er auch die Möglichkeit besitze, innerhalb von einer halben Minute einen eigenstĂ€ndigen Admin-User anzulegen.
FĂŒr alle, die ebenfalls auf das Problem mit dem fehlerhaften Login gestoĂen sind und nicht gewillt sind, das Passwort im Klartext einzutragen, könnte, ohne es probiert und getestet zu haben, auch die von Typo3 mitgelieferte Erweiterung rsaauth/ saltedpasswords  eine Alternative sein.  Hierzu muss im Install-Tool fĂŒr ['BE']['loginSecurityLevel'] der Wert ârsaâ eingetragen werden.
Ursache
Da auf dem selben Server ein weiteres Typo3 (4.5.0) im Einsatz ist, bei dem die Standardauthentifizierung problemlos funktioniert, erschlieĂt sich mir die eigentliche Ursache fĂŒr das Problem derzeit noch gar nicht. Eine meiner ersten Vermutungen, eine veraltete PHP Version / Bibliothek, kann somit eigentlich nahezu  ausgeschlossen werden.
FĂŒr Feedback, Anregungen und Neuigkeiten hierzu bin ich Euch sehr dankbar.
Update: Möglicher Lösungsansatz
Ich hatte es eigentlich fast schon aufgegeben, nach einer Lösung fĂŒr das Problem zu suchen. Bei einem neuen Projekt (Windows Server 2008) trat der selbe Fehler allerdings erneut auf. Doch diesmal wurde ich dank dem folgenden Boardeintrag fĂŒndig: Schuld waren fehlende Schreibberechtigungen fĂŒr den Ordner, den PHP zum Anlegen von Sessions und error logs verwendet. Nachdem der entsprechende IUSR die Rechte erhalten hatte, funktionierte nun auch der BE Login.
3 Kommentare
Kommentar verfassen
Domainsuche
Artikelsuche
Blog-Archiv
Kategorien
- Allgemein (10)
- Fehler (1)
- Fotografie (1)
- Inhalte (1)
- Inspiration (5)
- Javascript (1)
- Konzeption (1)
- Online Marketing (1)
- Programmierung (4)
- Projekte (2)
- Quicktipp (1)
- Social Media (1)
- Sprachsteuerung (1)
- Suchmaschinenoptimierung (1)
- Typo3 (2)
- Webdesign (2)
Kann Spuren von Kreativität enthalten
Auch ich habe das selbe Problem. Bei mir trat das Problem dann auf, als ich Typo3 von Windows auf Linux portiert habe. Version 4.5.3.
Konntest du die Ursache schon ausfindig machen?
Hallo Robert. Viele Dank fĂŒr den Hinweis. Das schlieĂt zumindest aus, dass der Fehler einzig und allein auf Windows Plattformen auftritt, was ich eigentlich vermutet hatte.
Da es zu dem Thema zwar unzĂ€hlige AnsĂ€tze gibt, aber keine “Generallösung” könnte es natĂŒrlich auch gut sein, dass unsere beiden Probleme unterschiedlichen Ursprungs sind. Hast du mal den MD5 Hash rausgenommen und getestet, ob es bei dir dann funktioniert?
Ich hab leider auch noch keine anderen Tipps bekommen.
GrĂŒĂe
Flo
Update: Fehlende Schreibberechtigungen fĂŒr den Sessionsordner waren bei mir Ursache des Problems.