Forum Passwort Verschlüsselung

Fragen zur Bedienung von phpBB 3.0.x, Probleme bei der Benutzung und alle weiteren Fragen inkl. Update auf die neuste phpBB 3.0.14 Version
Forumsregeln
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Antworten
Malte

Forum Passwort Verschlüsselung

Beitrag von Malte »

Hallo,

ich habe mir in letzter Zeit ein wenig die Knowledge Base hier im Forum angeguckt. Sie scheint ja recht wissenswert zu sein und die meistens Artikel lohnen sich auch zum lesen. :D Ich danke an dieser Stelle dem phpBB.de-Team für die spannenden Artikel darin. :D Es ist beim lesen eines Artikels jedoch eine kleine Frage aufgetaucht:
Ich habe den Verschlüsselungsartikel von Pyramide gelesen. Dabei tauchte bei mir die Frage auf: Das Forum-Passwort liegt komplett unverschlüsselt in der config.php. Ich weiß, wenn die jemand aufruft oder sich den Quellcode anguckt bekommt er eh nur den 403-Fehler "Zugriff verweigert", aber das kommt mir trotzdem ein wenig unsicher vor. Ist es nicht theoretisch möglich, selbiges Passwort auch irgendwie verschlüsseln zu lassen? Beim Mysqldumper zum Beispiel, wir das ganze auch in einem md5-Wert abgespeichert. Weiß jemand, ob ein solcher Eingriff in phpBB möglich ist, ob das Sinn macht, und falls es möglich und sinnvoll ist, wie das geht?

Gruß
Malte
Nach oben
hackepeter13
Valued Contributor
Beiträge: 3570
Registriert: 21.04.2004 12:22
Wohnort: Berlin
Kontaktdaten:
Kontaktdaten von hackepeter13

Re: Forum Passwort Verschlüsselung

Beitrag von hackepeter13 »

Was meinst du mit "Forum-Passwort"

Meinst du damit das Passwort, um sich im Forum einzuloggen?
Oder das Passwort, womit sich das Forum in die Datenbank einloggt?

In dem Artikel geht es um die Passwort-Verschlüsselung in der Datenbank, also alle Passwörter mit der man sich im Forum einloggen kann.

Das Passwort in der config.php ist für den Zugriff auf die Datenbank, damit das Script, sich eben in dieser einloggen kann.
Malte hat geschrieben:Ist es nicht theoretisch möglich, selbiges Passwort auch irgendwie verschlüsseln zu lassen? Beim Mysqldumper zum Beispiel, wir das ganze auch in einem md5-Wert abgespeichert
Wenn es möglich wäre, dann würde phpbb und sämtliche andere Scripte/CMS es auch machen.
Der Vergleich mit MySQLdumper ist meines erachtens völlig schwachsinnig.
MySQLdumper verschlüsselt nur ein Password in der .htpasswd um unbefugten Zugriff auf das Script mysqldumper zu verweigern - da mysqldumper ohne Datenbank läuft, kann es nicht wie beim Forum ein Member-Login geben, daher das Verzeichnissschutz per .htpasswd

Die Zugangsdaten die mysqldumper für die Datenbank benötigt, werden ebenfalls von mysqldumper in einer config-Datei im Klartext gespeichert.
Geha dazu in de mysqldumper Ordner "work/config/" und da findest du die config-Dateien mit den Datenbank-Daten. ;)
Bevor du also etwas vergleichst, solltest du dich vorher drüber schlau machen.

PS: Um die config von php zu Schützen müsstest du ja - wenn du dich so fleißig durch die Artikel gelesen hast - auf diesen gestoßen sein: KB:sicher
Nach oben
Antworten

Zurück zu „[3.0.x] Administration, Benutzung und Betrieb“