Блог

Сохранено ли создание внутреннего пользователя с пустым паролем?

Например, _cli_lowlevel внутренний пользователь или backend user editor-test , который я использую только в целях тестирования с помощью функции «Переключиться на пользователя».

обычно пользователь cli_ * не должен иметь прав на доступ к чему-либо в BE (пользователь, не являющийся администратором, без точек монтирования). используется для выполнения TYPO3 из командной строки. если кто-либо может получить доступ к командной оболочке, он может выполнять команды, более опасные, чем простой BE-access. например, он может открыть доступ к install-tool и создать пользователя-администратора. или используйте mysql-cli для установки паролей любому заданному пользователю.

обычно вы не можете создавать BE-users без пароля, поскольку форма для BE-users требует наличия непустого поля пароля. поскольку вы, вероятно, используете соленые и хэшированные пароли, даже простой пароль не может быть расшифрован (поэтому атака методом перебора может быстро найти пароль). таким образом, лучшим способом был бы длинный случайный пароль, который вы можете забыть в следующий момент.