Nein, ist es nicht, aber erst mal muss es funktionieren.
Wenn es dann mal per config geht kann man das PW ja verschlüsselt ablegen,
Moderator: Tata
Nein, ist es nicht, aber erst mal muss es funktionieren.
Nicht wirklich. Zum einen wird das von CMSimple_XH nicht direkt unterstützt, und zum anderen muss der Schlüssel ja auch irgendwo hinterlegt werden, und wer Schlüssel und Algorithmus kennt (ist ja Open Source), kann leicht entschlüsseln. Schlüssel außerhalb des Webroot wäre wohl okay, aber damit wird sich so mancher User schwer tun. Oder Schlüssel hidden in config.php – vielleicht, eine XH Installation ist ja nicht Ft. Knox.
Hm…, aber man könnt vielleicht den pw-hash von XH zum verschlüsseln nehmen.
Würde das dann nicht heißen, dass auf die Webseite nur auf einer einzigen Maschine einloggen möglich würde?
Es geht nicht um das Login.
Hashes gehen nur in eine Richtung (Entschlüsseln ist nicht möglich); der SMTP-Server erwartet aber ein Klartext-Password (das er dann gegen den gespeicherten Hashwert prüft). Geht also nicht.
MAC Adresse, oder so – interessante Idee. Dann könnte der SMTP-Server nur von der Maschine genutzt werden. Ich gehe aber davon aus, dass der SMTP-Server ohnehin nicht von anderen Maschinen erreichbar ist (lokaler SMTP-Server), und selbst wenn, liegt das Problem wohl eher darin, dass ein Script eingeschleust werden könnte, dass Mails verschickt. Ein solches Script könnte aber auch einfach den MailService nutzen (der dann das Passwort selbst sendet). Da kann Advancedform_XH ohnehin nichts dagegen machen. Das einzige Problem das wirklich bleibt, ist dass jemand an die config.php rankommt, aber dann muss auch das Admin-Passwort als kompromittiert gelten (obwohl gut gehasht) – also auch kein Advancedform_XH spezifisches Problem. Also ist es wohl doch nicht so problematisch, das Klartextpassword in der config.php zu speichern, wenn es nicht angezeigt wird, und wenn gut dokumentiert ist, dass das nicht ganz unproblematisch ist.
Ich meinte auch nicht, dass der Hash wieder entschlüsselt werden sollte (es ist mir klar, dass das nicht geht), sondern ich dachte daran, den Hash des XH-PW als Key zum Verschlüsseln des SMTP-Passwortes zu nutzen. Und damit könnte man dann das Passwort auch wieder entschlüsseln, da der Key ja "bekannt" wäre. Dabei müsste man schon mal zwei Dinge der Installation in Erfahrung bringen, um an das SMTP-PW zu kommen.
Das war mein Gedanke. Nur was nutzt man? Gibt es überhaupt etwas verlsässliches (was man mit PHP auch auslesen könnte)? MAC-Adresse in der heutigen Zeit? Wohl keine gute Idee in Zeiten von Virtualisierung. Da ist eine MAC-Adresse keine verlässliche Komponente mehr.
Das funktioniert prima.
Code: Select all
SMTP-Fehler: Daten werden nicht akzeptiert.Fehler vom SMTP-Server: DATA END command failed Detail: SMTP; Client does not have permissions to send as this sender SMTP code: 550 Additional SMTP info: 5.7.60