Login Passwort unverschlüsselt

Allgemeine Diskussionen über WebYep
Post Reply
ceberlin
Posts: 8
Joined: Wed Feb 17, 2010 9:53 pm

Login Passwort unverschlüsselt

Post by ceberlin » Wed Feb 17, 2010 9:56 pm

Hi,
mir macht ein bisschen Bauchschmerzen, dass das Passwort unverschlüsselt im Quelltext steht.
Kann man das nicht ein bisschen sicherer machen?

johannes
Objective Development
Objective Development
Posts: 815
Joined: Fri Nov 10, 2006 4:39 pm
Contact:

Re: Login Passwort unverschlüsselt

Post by johannes » Thu Feb 18, 2010 5:04 pm

Auch wenn es verschlüsselt dort stünde, müsste der Programmcode, der es entschlüsselt auch in WebYep stehen - und somit wäre die Verschlüsselung nutzlos (bzw. würde die Sache für Hacker nur marginal verkomplizieren).

Bitte beachten Sie, dass ein/e Angreifer/in in der Lage sein muss, eigenen PHP-Programmcode direkt am Server auszuführen, um den Inhalt dieser Datei zu lesen. Wird nämlich von außen (über den Webserver) auf die Datei zugegriffen, wird der PHP-Code ja ausgeführt und kann daher nicht gelesen werden.

Wenn aber ein/e Angreifer/in bereits Code auf dem Server ausführen kann, braucht er/sie das Kennwort nicht mehr...

ceberlin
Posts: 8
Joined: Wed Feb 17, 2010 9:53 pm

Re: Login Passwort unverschlüsselt

Post by ceberlin » Fri Feb 19, 2010 11:25 am

Hm, ich habe mal ein bisschen gegooglet ("php security") und doch herausgefunden, dass die Bad Guys als "einfach" beschriebene Wege haben, solche normalerweise nur ausführbaren Dateien auch direkt zu laden. (Ich glaube sogar, den Lösungsweg ungefähr zu kennen, zumal der Name und Speicherort der Passwortdatei bekannt ist). Wenn man Zugangssdaten nicht ausserhalb des von aussen erreichbaren Webspace lagern kann (shared hosts = wahrscheinlich der Normalfall bei Webyep-Usern), ist mir folgende Empfehlung begegnet:

Datei in Ordner, Dateiendung auf .inc und folgendes .htaccess mit in den Ordner:

Code: Select all

<Files ~ "\.inc$"> 
Order allow,deny
Deny from all
</Files>

Quelle: PHP-Security, (http://www.phpsec.org)
Last edited by ceberlin on Fri Feb 19, 2010 11:59 am, edited 2 times in total.

ceberlin
Posts: 8
Joined: Wed Feb 17, 2010 9:53 pm

Re: Login Passwort unverschlüsselt

Post by ceberlin » Fri Feb 19, 2010 11:49 am

Ich glaube ich habe gerade einen bequemen Weg gefunden, Webyep entsprechend umzustellen ohne den Code von Webyep anrühren zu müssen.

In die Konfiguration.php statt der Zugangsdaten einen include setzen:

Code: Select all

include ("zugang/zugang.inc");


Dort alles so wie oben beschrieben einrichten.
Neue Datei in den Ordner mit dem Name zugang.inc und folgendem Inhalt:

Code: Select all

<?php

   $webyep_sAdminName = "Mein Name";
   $webyep_sAdminPassword = "mein Passwort";

?>

Webyep läuft noch und ich habe ein besseres Gefühl, zumal ich parallel jetzt PHPIDS einbinden werde.

ceberlin
Posts: 8
Joined: Wed Feb 17, 2010 9:53 pm

Re: Login Passwort unverschlüsselt

Post by ceberlin » Fri Feb 19, 2010 2:02 pm

Ich habe noch eine einfache Möglichkeit gefunden:

In die Konfiguration-Datei folgenden Code einbauen:

oben, direkt unter:
"<?php"

eintragen:

Code: Select all

  if ('konfiguration.php' == basename($_SERVER['SCRIPT_FILENAME']))
     die ('<h2>Direct File Access Prohibited</h2>');

johannes
Objective Development
Objective Development
Posts: 815
Joined: Fri Nov 10, 2006 4:39 pm
Contact:

Re: Login Passwort unverschlüsselt

Post by johannes » Mon Feb 22, 2010 5:17 pm

Das sind alles gute Möglichkeiten, die Login-Daten zusätzlich zu schützen.

Mich hätten nur noch konkret die als "einfach" beschriebene(n) Wege (...), solche normalerweise nur ausführbaren Dateien auch direkt zu laden interessiert - würde sie die URLs der Seiten posten, auf die sie da gestoßen sind?

Post Reply