Hi..
Nein, das Modulsystem habe ich nicht mit nachgerüstet, hielt ich für unnötig.
Alles andere muss ich mir jetzt erst ein paar mal durchlesen, bis ich es verstehe.
Gruss
Tschaet
PS: Ich weiss auch nicht ob es Sinn für mich macht mich auf das Adminforce zu konzentrieren, ich denke vielmehr in die Richtung Datenbank.
Geändert von Tschaet (24.04.2013 um 15:17 Uhr)
Hatte gleiches ja auch schon durch, bis heute weiß ich nicht wie die an mein EF Passwort gekommen sind, das Problem ist und bleibt das es in der Datenbank steht, klar lesbar.
Hier sollte man ansetzten, und das EF Passwort auch verschlüsseln, wie man es mit den normalen Passwörtern auch macht, ob dies geht weiß ich natürlich nicht.
MfG
meine Idee wäre die EF daten aus der DB zu löschen und in einer Datei hinterlegen.Zitat von Masterphil
Noch besser: die Daten "splitten" und in Datenbank und Datei ablegen. So dass der "Angreifer" Zugriff auf beides haben muss, um sie zu benutzen.
Hier kommt dann Verschlüsseln ins Spiel:
In der Datenbank legt man das verschlüsselte EF Passwort ab (bspw. AES, dann kann man das direkt in MySQL (https://dev.mysql.com/doc/refman/4.1...on_aes-decrypt) machen, PHP braucht afaik Module wie mcrypt zum Verschlüsseln, die ein Shared-Hoster evtl. nicht anbietet), in der Datei den Schlüssel.
Kill one man, and you are a murderer.
Kill millions of men, and you are a conqueror.
Kill them all, and you are a god. - Jean Rostand, Thoughts of a Biologist (1939)
An diese Informationen in der DB sollte "der Hacker" aber ohne weitere Lücken gar nicht drankommen.
Das EF Passwort muss leider irgendwo im Klartext vorhanden sein, da man sonst keine AZ machen kann.
Sobald man es braucht muss es entschlüsselt werden.
Der Entschlüsselungsschlüssel muss dann auch irgendwo als Klartext gespeichert sein.
Hm?! *g* Darum gehts doch hier, um Lücken irgendwo? *g*
Was hilft es wenn das EF-Passwort "ausgelagert" wird? Hatte der Hacker zuvor darauf Zugriff, dann wohl auch auf andere Daten, das beruhigt nicht wirklich auch wenn man weiss dass kein rankommen ans EF-Passwort ist.
Und genau deswegen solltest Du Dich nicht auf die DB sondern auf die Addons konzentrieren.
Da vermute ich das grösste Angriffspotential.
Die Daten in der DB zu schützen ist meiner Meinung nach nicht möglich, solange die Daten vom VMS automatisch genutzt werden sollen.
Auch das Auslagern in eine Datei bringt meiner Meinung nach nichts, solange diverse Scripte auf diese Datei zugreifen können, um den Inhalt zu nutzen.
Nicht nur die Addons/Erweiterungen sind bei dir die Bereiche, die Lücken enthalten können, du schriebst das du das VMS von vor ca 8 Jahren nutzt.
Solltest du über Programmierkenntnisse verfügen solltest du jede da einmal durchgehen und auf eventuelle Lücken durchsehen. Oder einen Programmierer deines Vertrauens drauf ansetzen.
Leider kann man hier nur allgemeine Ratschläge geben, da wir keine Einsicht auf den Code deiner Seite haben.
Berechtigungen
Zitieren