Day: June 23, 2006

Bei einer Installation wird automatisch der User “admin” mit dem Passwort “password” angelegt. Nach dem ersten einloggen sollte man besten gleich in der linken Navigation auf Page klicken und anschließen auf die kleine Kugel in der mittleren Spalte. Im Kontextmenü wählt man dann New und auf der rechten Seite dann Backend User. Als Username sollte man eine Namen aus Zahlen und Buchstaben wählen. Das Passwort sollte aus Zahlen, Buchstaben und Sonderzeichen bestehen und mindestens 8 Zeichen lang sein. Da es sich um einen Administrator handelt kann man sich langes Rechte vergeben sparen in dem man einfach das Feld Admin(!) anklickt.

Alternativ kann man auch unter Benutzer Administrator bzw. in englisch unter “User Admin” das Passwort vom Admin ändern in dem man einfach auf den kleinen Bleistift klickt und ihm ein neues Passwort gibt. Diese Methode ist jedoch sehr unsicher, weil der Angreifer somit schon den Usernamen hat und wieder nur noch das Passwort erraten muß.

Diese Fehlermeldung erscheint, wenn man sich nach einer Installation das erste mal eingeloggt hat und vergessen hat im Installtool das Passwort zu ändern. Das Installtool erreicht man über domain.de/typo3/install . Standardmäßig ist das Passwort joh316. Nach dem einloggen gibt es unter Basic Configuration die Möglichkeit das Passwort zu ändern.
Falls man jedoch schon mal ein Passwort vergeben hatte und man weiß es jetzt nicht mehr kann man jedoch sein neues Passwort direkt auf der Startseite vom Installationstool eintippen. Da dieses Passwort falsch ist erscheint die Eingabemaske nochmals jedoch wird unten der MD5 Wert des Passwortes angezeigt. Der MD5 Wert besteht aus Zahlen von 0-9 und Buchstaben a-f. Diesen sollte man dann in die Datei typo3conf/localconf.php eintragen. Dazu einfach den folgenden Schlüssel suchen $TYPO3_CONF_VARS[‘BE’][‘installToolPassword’] = ‘df8df8h38ef8’; und den Inhalt rechts vom Gleichheitszeichen innerhalb der Anführungszeichen ersetzen. Zum Schluß die Datei speichern und die Seite neu laden. Nun sollte beim erneuten eintippen des Wunschpasswortes der Zugang funktionieren.

!!! WICHTIG !!!
Es ist dringends zu empfehlen nach erfolgreicher Installation die Kommentarzeichen vor der Zeile die() in der Datei typo3/install/index.php wieder zu entfernen. Einem Angreifer wird es hier sehr leicht gemacht, weil das Skript sofort antwortet bzw. man keinen Usernamen braucht sondern nur ein Passwort. Dieses man einfach mittels Skript über die Get – Variable immer wieder aufrufen könnte bis man das passende gefunden hat und damit dann auch automatisch Zugriff zur Datenbank erhält.

Als zusätzlichen Sicherheitsmechanismus sollte man außerdem den Schlüssel $TYPO3_CONF_VARS[‘BE’][‘installToolPassword’] auf = ‘elefant’; oder so setzen damit es einem Angreifer nicht möglich ist, falls man mal vergessen sollte in der typo3/install/index.php die Zeile die() zu auskommentieren, das Passwort durch eine Brut Force Attacke zu knacken. Selbst wenn der Angreifer “elefant” eintippt, wird er keine Chance haben, weil das Wort im hexadezimal Code abgelegt sein müßte und der würde “a709a02347a77a977feb2528c19b911f” lauten.

[random_content group_id=”211″ num_posts=”1″]