Opened 5 years ago
Last modified 5 years ago
#1941 closed Bug/Fehler
Generierung Random-Werte — at Version 1
| Reported by: | Volker Strähle | Owned by: | somebody |
|---|---|---|---|
| Priority: | normal | Milestone: | modified-shop-2.0.6.0 |
| Component: | Sicherheit | Version: | 2.0.5.1 |
| Keywords: | Cc: | ||
| Blocked By: | Blocking: |
Description (last modified by )
Aus der Diskussion "MODUL: Adminer Datenbank-Verwaltung im Backend" stammt folgendes Zitat:
[...] die Funktion crypto_rand_secure(), auf die am Ende xtc_random_charcode() ja aufbaut, so anzupassen, daß in der erstgenannten random_bytes() benutzt wird wenn vorhanden, wenn nicht openssl_random_pseudo_bytes() und letztendlich der Rückfall auf mt_rand(), wie auch jetzt bereits, wenn OpenSSL nicht zur Verfügung steht, ähnlich wie es im PHPMailer bereits umgesetzt ist.
Übrigens wird openssl_random_pseudo_bytes() ohne Fallback in der aktuellen Shop-Version zum generieren der Session-ID benutzt. Da sollte man dann wohl um der Konsistenz und auch der Sicherheit willen nach dem o.g. Anpassen auch xtc_rand() benutzen.
[...]
