The password of your Install Tool is still using the default value “joh316”

Diese Fehlermeldung erscheint, wenn man sich nach einer Installation das erste mal eingeloggt hat und vergessen hat im Installtool das Passwort zu ändern. Das Installtool erreicht man über domain.de/typo3/install . Standardmäßig ist das Passwort joh316. Nach dem einloggen gibt es unter Basic Configuration die Möglichkeit das Passwort zu ändern.
Falls man jedoch schon mal ein Passwort vergeben hatte und man weiß es jetzt nicht mehr kann man jedoch sein neues Passwort direkt auf der Startseite vom Installationstool eintippen. Da dieses Passwort falsch ist erscheint die Eingabemaske nochmals jedoch wird unten der MD5 Wert des Passwortes angezeigt. Der MD5 Wert besteht aus Zahlen von 0-9 und Buchstaben a-f. Diesen sollte man dann in die Datei typo3conf/localconf.php eintragen. Dazu einfach den folgenden Schlüssel suchen $TYPO3_CONF_VARS[‘BE’][‘installToolPassword’] = ‘df8df8h38ef8’; und den Inhalt rechts vom Gleichheitszeichen innerhalb der Anführungszeichen ersetzen. Zum Schluß die Datei speichern und die Seite neu laden. Nun sollte beim erneuten eintippen des Wunschpasswortes der Zugang funktionieren.

!!! WICHTIG !!!
Es ist dringends zu empfehlen nach erfolgreicher Installation die Kommentarzeichen vor der Zeile die() in der Datei typo3/install/index.php wieder zu entfernen. Einem Angreifer wird es hier sehr leicht gemacht, weil das Skript sofort antwortet bzw. man keinen Usernamen braucht sondern nur ein Passwort. Dieses man einfach mittels Skript über die Get – Variable immer wieder aufrufen könnte bis man das passende gefunden hat und damit dann auch automatisch Zugriff zur Datenbank erhält.

Als zusätzlichen Sicherheitsmechanismus sollte man außerdem den Schlüssel $TYPO3_CONF_VARS[‘BE’][‘installToolPassword’] auf = ‘elefant’; oder so setzen damit es einem Angreifer nicht möglich ist, falls man mal vergessen sollte in der typo3/install/index.php die Zeile die() zu auskommentieren, das Passwort durch eine Brut Force Attacke zu knacken. Selbst wenn der Angreifer “elefant” eintippt, wird er keine Chance haben, weil das Wort im hexadezimal Code abgelegt sein müßte und der würde “a709a02347a77a977feb2528c19b911f” lauten.

[random_content group_id=”211" num_posts=”1"]

Leave a Reply

Your email address will not be published. Required fields are marked *