XG-GuildCMS Status (Stand Juni 2009)

Verbesserte Passwortsicherheit

Die Passwortsicherheit wurde massiv erhöht. Dazu wird Salting verwendet, das heißt jedes Passwort wird durch einen zusätzlichen, pseudo-zufälligen, String verstärkt und anschließend erst gehash’t. Apropro hashing, auch hier habe ich eine fundamentale Verbesserung vorgenommen. Es werden jetzt sämtliche Hash-Algorithmen die PHP bietet out-of-the-box unterstützt, jedoch ist der Standard für diese Einstellung nach wie vor MD5. Aus Sicherheitsgründen würde ich potentiellen Administratoren aber dringend raten einen stärkeren zu verwenden. Auf der Live-Entwicklungs-Site verwende ich aktuell SHA-1.

Außerdem wählen Benutzer bei der Registrierung nicht mehr selbst ein Passwort, sondern es wird vom System ein 14-stelliges, pseudo-zufälliges, Passwort erstellt und an die angebene Email-Adresse versandt. Dies stellt außerdem sicher das eine gültige Email hinterlegt wird (für spätere Passwort-Resets) ohne einen dieser nervigen Aktivierungslinks klicken zu müssen.

Weiter geht’s mit: Erweitertes Session-Handling…