Vom Blog ausgesperrt
Am Samstag hat sich Serendipity etwas geleistet, was ich schon sehr frech fand. Als ich mich normal anmelden wollte, erschien nur die Meldung:
You can no longer login with an old-style MD5 hash to prevent MD5-Hostage abuse. Please ask the Administrator to set you a new password.
Ich hatte diese Meldung schon ein- oder zweimal, aber ignoriert, weil nach einem Neuladen der Seite der Login ging. Nun war die Meldung aber nicht mehr wegzubekommen.
Im Netz gibt es dazu immerhin einen Eintrag im S9Y-Board. Ich habe das Skript kopiert, hochgeladen, ausgeführt. Resultat:
UPDATE serendipity_ SET password = 'df376dc3cc4a8313236d03f1e5b5572f7b291fd4', hashtype=1 WHERE username = 'admin'
/ Table 'deesaster_serendipity2.serendipity_' doesn't existPassword sent.
Dirk wies mich (und Garvin) dann darauf hin, dass der Tabellenname fehlt. Ich habe das Skript also abgeändert in:
<?php
$username = "admin";
$password = "newpassword";
include 'serendipity_config.inc.php';
echo serendipity_db_query("UPDATE {$serendipity['dbPrefix']}authors SET password = '" . serendipity_hash($password) . "', hashtype=1 WHERE username = '" . serendipity_db_escape_string($username) . "'");
echo "Password sent.";
Damit funktioniert die Passwortänderung und ich konnte meinen Blog (seit ca. 30 Minuten) wieder bedienen.
Mir stellt sich die Frage, wie so etwas sein kann? Ich habe nun das Gefühl, dass Serendipity mich unter Kontrolle hat und nicht umgekehrt. Es kann nicht sein, dass ich plötzlich von einem Tag auf den anderen (am Freitag konnte ich noch bloggen) aus meinem Blog ausgesperrt werde. Als Version setze ich auch eine recht aktuelle (wenn auch nicht die neueste) Version 1.5.3 ein.
In Zukunft werde ich vorerst Freunden S9Y nicht mehr empfehlen, bis das Thema nicht wirklich geklärt ist.
Trackbacks
Keine Trackbacks
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Bernd am :
Uh, das ist aber ein böser Fehler. Die Meldung hatte ich aber (zum Glück) bisher noch nicht.
Auf welche Version hast du "damals" umgestellt? Ich habe direkt mit (glaube ich) 1.5.2 angefangen gehabt, vielleicht hat es ja damit zu tun?
Dee am :
Hm, umgestellt habe ich um dem 30. Januar herum, d.h. ich sollte mit 1.5.1 oder 1.5.2 angefangen haben. Das ist es ja eben, was mich wundert. Ich hab seit Ewigkeiten (wahrscheinlich seit Mai mit 1.5.3) nichts mehr geändert.
Dirk Deimeke am :
Serendipity hat keine Timer eingebaut, um Passwörter herauszukegeln, daher denke ich, dass sich etwas in der Infrastruktur verändert hat. MySQL hat den Passwort-Hashing-Algorhythmus zwischen verschiedenen Versionen gewechselt.
Dee am :
Laut meinem Provider wurde die MySQL-Installation seit Monaten nicht angefasst. Dem glaube ich einfach einmal.
Dirk Deimeke am :
Na, die Frage ist, warum es dann an Serendipity liegen sollte ... (dem glaube ich einfach mal).
Dee am :
Naja, es ist immerhin eine Serendipity-Fehlermeldung bzw. ist die S9Y-Datenbank betroffen gewesen. Und die Fehlermeldung aus dem S9Y-Board bestätigt ja, dass da zumindest irgendetwas bekannt ist mit dieser Fehlermeldung.
Es geht ja nun wieder, das ist schön. Analysieren wird man es wohl nicht können, denke ich. Die Schuld schiebe ich einfach der Anwendung zu, die nicht funktionierte. (So machen Anwender das nun mal, selbst wenn sie das Problem selbst verursacht haben – was ich bei mir hoffentlich ausschließen kann.)
Dirk Deimeke am :
Na, das ist ein einfaches Bild.
Wenn ein Speicherbaustein kaputt ist, gibt das Betriebssystem eine Fehlermeldung aus. Also trägt das Betriebssystem die Schuld ...
Dee am :
Ehrlich gesagt ja, solange bis man rauskriegt, dass es ein Speicherbaustein war, der kaputt ist. Aber ich weiß aus meinen Windows-Supportzeiten, dass man das sehr oft nicht so einfach rauskriegt. Auch memtest findet nicht alles. Daher werden Abstürze des Betriebssystems in der Regel dem Betriebssystem zugeschrieben, obwohl in vielen Fällen fehlerhafte Software (schlechtes Netzteil, fehlerhafter Speicher, kaputte Grafikkarte) dran schuld ist.
Und genauso einfach mache ich mir das hier. Ich weiß, dass Dir S9Y sehr am Herzen liegt und Du es für die beste Blogging-Software hältst. Ich fand sie ja bis Freitag auch noch ganz gut …
Dirk Deimeke am :
Der Punkt ist ein anderer.
Ich betreue neun Blocks, bei denen es nicht vorgekommen ist, weil ich mich immer an die Updateanweisungen gehalten habe.
Ich weiss, dass von einer MySQL-Version zur nächsten ein Umstellung bei den Hashes gab.
Beides sind Indizien, die mich glauben lassen, dass es nicht an s9y liegt.
Dee am :
> Ich betreue neun Blocks, bei denen es nicht vorgekommen ist, weil ich mich immer an die Updateanweisungen gehalten habe.
Das impliziert, dass ich mich nicht an die Updateanweisungen gehalten habe, sonst wäre der Fehler nicht vorgekommen ... Sagen wir so: Es ist gut möglich, dass ich mich nicht an die Updateanweisungen gehalten habe. Aber das war im Mai wie gesagt. Ich hätte zumindest verstanden, wenn mich der Blog damals nicht mehr reingelassen hätte.
Und wie ich im Originalposting schrieb, kam es ja die letzten Monate ab und zu mal zu der gleichen Meldung, die sich aber immer "wegklicken" ließ. Es könnte also in der Tat am letzten Update gelegen haben. Ich könnte mir z.B. vorstellen, dass in S9Y ein Zähler ist, der zählt, wie oft die Meldung als Warnung angezeigt wurde und bei der x-ten Anzeige darf man sie eben nicht mehr wegklicken.
Dirk Deimeke am :
Möglich wäre es, aber ich halte es für unwahrscheinlich. Ich wollte damit nur sagen, dass es durchaus andere Gründe als die Software geben kann.
onli am :
Es ist tatsächlich so, dass Serendipity da etwas umgestellt hat: http://blog.s9y.org/archives/211-Serendipity-1.5-released.html. Genau wie die Meldung sagt: Die alte Hashweise gilt nun als unsicher. Die folgenden Blogpostings behandeln dann die Bugfixes dafür - ich überblicke gerade nicht genau, ob da später noch ein Fix für dazukam der dir geholfen hätte (meine Erinnerung sagt nein)...
Mir ist nicht klar, warum du noch hereingekommen bist, vielleicht war die Authentifizierung noch im Cookie gespeichert und erst als das verloren ging wurde das Passwort wirklich benötigt? Das mit dem Zähler hätte ich nicht mitbekommen (natürlich trotzdem möglich).
Im Forum sind ein paar Leute auch später noch mit dem Problem aufgeschlagen, aber es ist nicht bei allen aufgetreten. Entweder war da wirklich das Update nicht ordentlich ausgeführt, oder da ist noch ein Bug der (bis heute) übersehen wurde. Aber nichtreproduzierbares zu finden...
Dee am :
Das mit den Cookies könnte in der Tat sein und wäre eine vernünftige Erklärung. Das davorliegende Update ging eigentlich ohne Probleme durch und die Update-Funktion meldete auch keinen Fehler – sonst hätte ich mich schon eher gemeldet.