|
|||
Passwörter sollen nicht einsehbar sein
Schon wieder so ne Anfänger-(Un)verständnisfrage:
Ich weiss, dass man Passwörter verschlüsseln kan (md5) und dass man sie nicht in eine .txt-Datei schreiben sollte, die dann jemand per Browser einsehen kann, wenn er den Pfad kennt. Ich habe nun in einem Unter-Verzeichnis auf meinem Webserver eine Datei config.php, darin stehen Usernamen und Passwörter in Klartext. Sie liegt im selben Verzeichnis, in das sich Kunden per PHP-LogIn einloggen können und bestimmte, ihnen zugewiesene Seiten betrachten können. Wenn ich im Browser den Pfad zu dieser Datei (config.php) eingebe, bleibt das Browserfenster leer, d.h. so ohne weiteres einsehbar ist die Datei also nicht. Ist das weit genug gedacht? Gibt es noch andere, einfache, mir nicht bekannte Methoden, wie die Datei ausspioniert werden kann? Oder ist das für 08/15-Daten (die eben nicht jeder sehen soll, die aber keine ganz großen Geheimnisse enthalten) eine ausreichend sichere Sache?
__________________
Schöne Grüße von Kirsten |
Sponsored Links |
|
|||
Hallo Kirsten
Ja, so ohne weiteres ist eine php-Datei nicht einsehbar. Wenn sie das wäre, d.h. der Quellcode einer php-Datei im Browser angezeigt werden würde, dann hättest Du ein Problem mit dem Server. Dateien, in denen Du unverschlüsselte Passwörter hast, solltest Du trotzdem wenn möglich ausserhalb des Root-Verzeichnisses ablegen. Gruss creisi
__________________
creisi - Internet funktioniert |
Sponsored Links |
|
||||
MD5 ist eine Hash-Funktion, mit der man nichts verschlüsseln kann. Deshalb wären die Passwörter selbst dann noch (relativ) sicher, wenn jemand die MD5-Hashes bekommen würde, da sich eine MD5-Hash nicht wieder in den Ausgangstext zurückverwandeln lässt.
Wie creisi aber schon schreibt, wird im Normalfall eine PHP-Datei vor der Auslieferung interpretiert und den Quellcode bekommt keiner zu Gesicht. Das passiert nur, wenn bspw. der Server falsch konfigiriert ist oder du eine Sicherheitslücke in deinen Scripten hast. Mario |
|
||||
Zitat:
http://passcrack.spb.ru/ Mario |
|
||||
Es gibt einige Seiten die sowas anbieten. Aber oft lässt sich das auch in wenigen Minuten local per Wordlist oder Bruteforce erledigen.
Kommt hald immer auf das Password selber an. Ein PW mit 10+ Stellen, Zahlen und Sonderzeichen bekommt keine Seite oder Wordlist raus. Und per Bruteforce auch nicht so schnell
__________________
PHP und Webdesign Blog |
Sponsored Links |
|
||||
Mir ist es schon ein oder zwei mal passiert dass ein Server einen temporären Fehler hatte und man alle PHP-Dateien etc. im Klartext sehen konnte. Kann immer passieren, deswegen niemals irgendetwas unverschlüsselt speichern.
Auch kann es durch Fehler in anderen Scripten oder auch in der Server Konfiguration passieren dass man PHP-Dateien im Klartext auslesen kann, auch dann wären die ganzen Passwörter gefährdet. Ich würde die einfach eben mit md5 oder sha1 verschlüsseln, dann gibt es zumindest einen Grund-Schutz. Gruß, Pablo |
Sponsored Links |
Themen-Optionen | |
Ansicht | |
|
|
Ähnliche Themen | ||||
Thema | Autor | Forum | Antworten | Letzter Beitrag |
IE Passwörter für localhost speichern | monran | (X)HTML | 0 | 18.11.2009 22:48 |
homesite - passwörter im klartext? | Schockwelle | Offtopic | 4 | 01.11.2006 09:19 |