Joomla 5.2.2 Security & Bugfix Release
Joomla 5.2.2 je nyní k dispozici. Jedná se o bezpečnostní vydání pro Joomla 5.x.
Hash hesla MD5
11. led 2015 21:12 #119594
Dobrý den,
prosím o pomoc, potřeboval bych přenést users z joomly na vlastní web. Nejlépe jim prostě zachovat přihlašovací údaje.
Problém mám s heslem. Dočetl jsem se, že joomla hashuje hesla pomocí md5 a přidává k němu nějaký náhodný klíč za :
Nevím ale jak ta náhodná část funguje.
Zahashované heslo vypadá např. takto : 49a65352105fd42c879dfa10a06f6f4d:68P9MJqxSMvwCNQWJe7eND4RtumOQNry
Znamená to, že uživatelské heslo je pouze první část po : ? A druhou část si tam přidá joomla? A podle jakého klíče?
Možná bych tedy nějak hromadně mohl druhou část hesla vymazat, nebo nevím co s tím.
Najde se někdo ochotný,kdo by mi vysvětlil jak tohle funguje? A jak nejlépe zachovat uživatelské hesla pro jiný web?
Děkuji moc.
prosím o pomoc, potřeboval bych přenést users z joomly na vlastní web. Nejlépe jim prostě zachovat přihlašovací údaje.
Problém mám s heslem. Dočetl jsem se, že joomla hashuje hesla pomocí md5 a přidává k němu nějaký náhodný klíč za :
Nevím ale jak ta náhodná část funguje.
Zahashované heslo vypadá např. takto : 49a65352105fd42c879dfa10a06f6f4d:68P9MJqxSMvwCNQWJe7eND4RtumOQNry
Znamená to, že uživatelské heslo je pouze první část po : ? A druhou část si tam přidá joomla? A podle jakého klíče?
Možná bych tedy nějak hromadně mohl druhou část hesla vymazat, nebo nevím co s tím.
Najde se někdo ochotný,kdo by mi vysvětlil jak tohle funguje? A jak nejlépe zachovat uživatelské hesla pro jiný web?
Děkuji moc.
11. led 2015 22:03 - 11. led 2015 22:04 #119595
Znáte-li řešení, sdělte ho - pomůžete ostatním při řešení stejného problému, i případný "rádce" bude vědět, poradil-li správně nebo špatně.
Odpověď od karel
Zkušený uživatel
Pokud ten "jiný web", na který chcete "přenést" uživatele je jiný, než Joomla, tak stačí první část hesla - 49a65352105fd42c879dfa10a06f6f4d (hash hesla).
Pokud "cílový web" je Joomla, tak obecně první část hesla stačí taky, jen je těch tabulek(údajů z databáze) je potřeba víc. Víte o možnosti exportu/importu uživatelů pomocí rozšíření ?
Pokud "cílový web" je Joomla, tak obecně první část hesla stačí taky, jen je těch tabulek(údajů z databáze) je potřeba víc. Víte o možnosti exportu/importu uživatelů pomocí rozšíření ?
Znáte-li řešení, sdělte ho - pomůžete ostatním při řešení stejného problému, i případný "rádce" bude vědět, poradil-li správně nebo špatně.
Poděkovali: Vladimír Kantor
11. led 2015 22:39 #119596
Odpověď od Cony
Moderátor
Část před dvojtečkou nestačí. Heslo se hashuje následujícím algoritmem:
Tedy, k tomu co se zadá se vygeneruje náhodný "salt" a z toho celého se teprve počítá MD5 hash.
Více naleznete přímo ve zdrojákách (složka /libraries/joomla/crypt).
Code:
return md5($password . $salt) . ':' . $salt;
Více naleznete přímo ve zdrojákách (složka /libraries/joomla/crypt).
Poděkovali: Vladimír Kantor
11. led 2015 23:29 #119599
Odpověď od Vladimír Kantor
Začátečník
Aha, tak v tom bude právě ten problém.
Já si zkusil vzít tu první část u mého hesla,jehož tvar v md5 znám.Ale neshodovalo se mi to s hashem na joomle.
Tak teď tedy vím, že i první část hashe je složena z hashe + $salt ... Děkuji.
Jde o transfer mimo joomlu. O rozšíření pro joomlu vím, ale to mi asi nyní nepomůže.
Mám stránky na joomle, ale píšu si vlastní stránky a až budou hotové, chci tento portál, který nyní běží na joomle vyměnit za vlastní projekt a chci ušetřit uživatelům novou registraci, proto to řeším.
Nyní tedy stojím před problémem, co vlastně onen $salt obsahuje a jak to napodobit na novém webu.
Tedy jedno z řešení je, že po transferu požádám uživatele, aby při prvním přihlášení zadali nové heslo, ale chtěl jsem se tomu vyhnout, pokud by šly hesla použít z joomly.
Mimochodem, proč joomla stále požívá md5 a ne sha1? Ne,že by na tom záleželo,ale měl jsem za to, že md5 je již zastaralá.
Nejspíše to ale bude právě kvůli transferům a upgradům.
Ještě mrknu do té složky crypt. Děkuji.
Já si zkusil vzít tu první část u mého hesla,jehož tvar v md5 znám.Ale neshodovalo se mi to s hashem na joomle.
Tak teď tedy vím, že i první část hashe je složena z hashe + $salt ... Děkuji.
Jde o transfer mimo joomlu. O rozšíření pro joomlu vím, ale to mi asi nyní nepomůže.
Mám stránky na joomle, ale píšu si vlastní stránky a až budou hotové, chci tento portál, který nyní běží na joomle vyměnit za vlastní projekt a chci ušetřit uživatelům novou registraci, proto to řeším.
Nyní tedy stojím před problémem, co vlastně onen $salt obsahuje a jak to napodobit na novém webu.
Tedy jedno z řešení je, že po transferu požádám uživatele, aby při prvním přihlášení zadali nové heslo, ale chtěl jsem se tomu vyhnout, pokud by šly hesla použít z joomly.
Mimochodem, proč joomla stále požívá md5 a ne sha1? Ne,že by na tom záleželo,ale měl jsem za to, že md5 je již zastaralá.
Nejspíše to ale bude právě kvůli transferům a upgradům.
Ještě mrknu do té složky crypt. Děkuji.
12. led 2015 21:18 #119616
Znáte-li řešení, sdělte ho - pomůžete ostatním při řešení stejného problému, i případný "rádce" bude vědět, poradil-li správně nebo špatně.
Odpověď od karel
Zkušený uživatel
Nj, včera 22:03 - #119595 - asi bylo "zatmění" (mozku). Sorry za "dezinformaci".
Znáte-li řešení, sdělte ho - pomůžete ostatním při řešení stejného problému, i případný "rádce" bude vědět, poradil-li správně nebo špatně.