4. Passwörter verschlüsseln???

Passwörter verschlüsseln???

  • A

    warum das passwort erst grossartig entschluesseln? wenn er zugriff auf die db hat setzt er einfach n neuen hashwert ein. da braucht er ned lange rumraetseln. und wer berechtigt db-zugriff hat kann die passowerter auch lesen oder?
    (meine meinung: warum passworter ueberhaupt verschluesseln?)

    0
  • S

    archivar schrieb:

    warum das passwort erst grossartig entschluesseln? wenn er zugriff auf die db hat setzt er einfach n neuen hashwert ein. da braucht er ned lange rumraetseln. und wer berechtigt db-zugriff hat kann die passowerter auch lesen oder?
    (meine meinung: warum passworter ueberhaupt verschluesseln?)

    schön wär's, aber nicht unbedingt. Es gibt Benutzer, die nur Leserechte auf die Tabellen haben und wenn der Angreifer so einen Zugriff hat, dann kann es nur lesen aber nicht schreiben.

    0
  • A

    bei mir nicht. da gibts 2 user. den root und den user fuer die webseite auf dem server. mehr user braucht man nicht.
    und wenn: wenn er schon zugriff auf den server hat, kann er auch die config-datei fuer webseiten auslesen und da steht ja wohl ein user mit schreibuzgriff drinnen oder?

    0
  • S
    Mod

    archivar schrieb:

    bei mir nicht. da gibts 2 user. den root und den user fuer die webseite auf dem server. mehr user braucht man nicht.

    Du kannst auch alles als root machen, aber was willst du uns damit jetzt sagen?

    und wenn: wenn er schon zugriff auf den server hat, kann er auch die config-datei fuer webseiten auslesen und da steht ja wohl ein user mit schreibuzgriff drinnen oder?

    Nicht zwangsläufig.

    0
  • A

    das wenn er zugriff hat, schreibzugriff hat.

    0
  • S
    Mod

    archivar schrieb:

    das wenn er zugriff hat, schreibzugriff hat.

    Nicht zwangslaeufig.

    Auf die user Tabelle reicht idR ja Lesezugriff.

    Aber natuerlich kann man (wie bei allen Rechteverteilungen) einem user ohne passwort alle rechte geben...

    was du aber nicht bedenkst ist, dass die haeufigste sicherheitsluecke zum passwort auslesen eine sql injection ist, wo eine fehlerhafte webseite das passwort ausgibt.

    0
  • A

    ich glaub wir reden aneinadner vorbei.
    - mysqlusertabelle: da hat nur der root zugriff drauf
    - webseitenusertabelle: da hat nur ein anderer user zugriff drauf. der hat nur zugriff auf die datenbank fuer die webseite.

    0
  • S
    Mod

    archivar schrieb:

    ich glaub wir reden aneinadner vorbei.

    Ne, du bedenkst nur nicht, dass eine Datenbank selber eine ordentliche Rechteverteilung hat.

    - webseitenusertabelle: da hat nur ein anderer user zugriff drauf. der hat nur zugriff auf die datenbank fuer die webseite.

    Nein. eben nicht. Das ist zwar gaengig, aber wenn man so paranoid ist, dass man md5 700 mal auf jedes passwort anwendet, dann lohnt es sich auch die Datenbank mit ordentlichen Rechten zu versehen. So dass du einen Leseuser fuer die Usertabelle hast und einen Schreibuser. Schreiben muss nur die register.php wo man sich registrieren kann und die profile_update.php wo du dein profil aendern kannst. Alle anderen Seiten haben nur lesezugriff 🙂

    0
Anmelden zum Antworten