Kann ich Magento ohne mcrypt verwenden?[doppelt]
https://magento.stackexchange.com/questions/100393
-
28-09-2020 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Mein Shop wurde auf einen Server ohne mcrypt verschoben und aus irgendeinem Grund kann mcrypt nicht installiert werden (frag mich nicht warum!).
Sieht so aus, als würden Passwörter nur mit md5 mit einem Salz verschlüsselt (schlecht!) ich frage mich also, wofür mcrypt überhaupt verwendet wird.Jemand hat Magento gehackt und konnte es installieren Sie es ohne mcrypt.Klingt nicht gut für mich, aber es hat für ihn funktioniert.
Jetzt würde ich gerne wissen, wofür encrypt verwendet wird und wird die Show unterbrochen, wenn ich sie durch einen Dummy ersetze?Gibt es einen besseren Workaround?Kann Secure random von openssl erhalten und eine Verschlüsselungsbibliothek hinzufügen?
TL; DR
- Wofür wird mcrypt in Magento verwendet?
- Ist ein guter Workaround möglich?
Lösung
MCrypt wird nicht für das Passwort- und URL-Schlüssel-Hashing verwendet, sondern zum Verschlüsseln und Entschlüsseln sensibler Daten wie API-Passwörter, z.gespeichert in / abgerufen aus der Systemkonfiguration.
Aller MCrypt funktionalität ist eingekapselt in Varien_Crypt_Mcrypt.Auf diese Klasse wird wieder zugegriffen über Mage_Core_Model_Encryption.Das Verschlüsselungsmodell, das in der gesamten Anwendung verwendet werden soll, wird in der config/global/helpers/core/encryption_model Knoten.
Also (theoretisch) gibt es eine Art Chance, dieses durch Ihr eigenes Verschlüsselungsmodell zu ersetzen – solange es die Schnittstelle des ersteren erfüllt.Auf den ersten Blick sieht es so aus, als müssten Sie verlängern Mage_Core_Model_Encryption und ersetzen Sie die _getCrypt Methode.Dies sollte eine Klasseninstanz zurückgeben, die dieselben Methoden implementiert wie Varien_Crypt_Mcrypt - verwendet jedoch eine andere Verschlüsselungsbibliothek.
Andere Tipps
Sie könnten den Magento-Code (zum Beispiel über den GRASSACODICETAGCOOM CODEPOOL) patchen und die McYPT-Funktionalität von PHPSECLIB ersetzen, die eine Implementierung der Funktionalität in Pure PHP http://phpsclib.sourceforge.net/
