Rote Fehlermeldung nach dem Login im Backend

Gerade wenn Sie einen neuen Backend-Benutzer angelegt haben, werden Sie nach dem ersten Login auf eine rote Fehlermeldung stoßen. Wir erklären Ihnen was es damit auf sich hat.

Abb. 1

Abb. 2

Meistens fällt Ihnen diese Fehlermeldung (Abb. 1) nur auf, wenn Sie mit einem ganz frisch angelegten Backend-Benutzer das erste mal in das DRKCMS eingeloggt sind.

Wenn man sich diese Meldung nun einmal genauer anschaut, dann wird man auf zwei "Probleme" stoßen (Abb. 2). Das erste Problem (Cache Flooding Protection) können weder Sie, noch wir beheben. Wenn man das TYPO3 CMS so konfiguriert wie hier in der Meldung empfohlen, funktionieren all Ihre News-Artikel leider nicht mehr. Sprich eine Abhilfe ist derzeit kurzfristig nicht in Sicht, es hat aber auch keine echten Nachteile für Sie.

Bei dem zweiten Problem (Passwort-Hashes der Backend-Benutzer) handelt es sich ebenfalls nicht wirklich um ein Problem. Diese Meldung besagt nur, dass bei einem oder mehreren Backend-Benutzern die Passwörter "nur" mit MD5 gehashed (verschlüsselt) sind. MD5-Verschlüsselung ist dann unsicher, wenn das dahinterliegende Passwort zu einfach wäre und ein Angreifer durch irgend eine weitere Sicherheitslücke den verschlüsselten MD5-Hash aus der Datenbank auslesen kann. Um das zu verhindern, speichert das TYPO3 die Passwörter "gesalzen", d.h. nur mit einem ihm selbst bekannten Schlüssel verfeinert.

Wenn wir von außen ein Passwort zurücksetzen (z.B. bei der Neuinstallation), können wir das nur über eine MD5-Speicherung, da auch unser Kundenmenü aus Sicherheitsgründen diesen individuellen Schlüssel nicht kennt. Sobald Sie sich das erste Mal mit z.B. dem Admin-Benutzer einloggen, verschlüsselt das TYPO3 das Passwort dann sicher.

Dass die Fehlermeldung trotzdem immer wieder kommt, ist einfach erklärt: Aus Sicherheitsgründen tauschen wir alle ca. 48 Stunden das Passwort für unseren eigenen Wartungszugang (mit dem wir im Supportfall in Ihr TYPO3 kommen) aus, auch das dann "nur" als MD5. Da wir dieses Passwort wie gesagt alle 48 Stunden austauschen, es ausreichend komplex ist und natürlich bei jedem Kunden ein anderes brauchen Sie sich auch hier um die Sicherheit keine Gedanken zu machen.

DRKCMS 2017