Hi,
ich habe den Attachment Mod eingebaut. In der Tabelle atatchments_config steht bei ftp_pass das FTP-Zugangspaßwort unverschlüsselt drinnen.
Ist es möglich, das Paßwort verschlüsselt zu hinterlegen wie es z.B. mit den Paßwörter der Benutzer geschieht ?
Danke
estrichleger
Attachment Mod-> Wie ftp_pass in attachments_config versc
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.0, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.0, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
estrichleger
- Mitglied
- Beiträge: 16
- Registriert: 14.09.2005 21:44
Hi
Kann sein daß ich schief liege, aber ich denke, das ist nicht so ohne weiteres möglich.
Die Userpasswörter werden Oneway-Verschlüsselt - spricht - die kann man nicht mehr entschlüsseln. Das ist auch nicht nötig, weil man nur das eingegebene Passwort verschlüsseln und dann mit dem Passwort in der DB vergleichen muß. Es gibt hier keinen Grund, (ist sogar viel sicherer) das original Password aus der DB wieder rekonstruieren zu können.
Beim FTP-Passwort ist das aber anders. Weil dieses Passwort muß dann beim Aufbau der FTP-Verbindung ja angegeben werden (wie das im Detail genau geschieht ist mir im Moment nicht bekannt). Daher muß das Password aus der Datenbank auch wieder auslesbar sein.
Man könnte das eventuell so moden, daß das Password vor dem speichern mit einem geeigneten Verfahren verschlüsselt und nach dem Auslesen wieder entschlüsselt wird.
Dazu muß aber der Schlüssel wieder irgendwo rumliegen und dann fragt sich ob es sicherer ist, das Password unverschlüsselt in der DB oder den Schlüssel unverschlüsselt im Filesystem oder vielleicht auch in der DB rumliegen zu haben.
Gruß
Franz
Kann sein daß ich schief liege, aber ich denke, das ist nicht so ohne weiteres möglich.
Die Userpasswörter werden Oneway-Verschlüsselt - spricht - die kann man nicht mehr entschlüsseln. Das ist auch nicht nötig, weil man nur das eingegebene Passwort verschlüsseln und dann mit dem Passwort in der DB vergleichen muß. Es gibt hier keinen Grund, (ist sogar viel sicherer) das original Password aus der DB wieder rekonstruieren zu können.
Beim FTP-Passwort ist das aber anders. Weil dieses Passwort muß dann beim Aufbau der FTP-Verbindung ja angegeben werden (wie das im Detail genau geschieht ist mir im Moment nicht bekannt). Daher muß das Password aus der Datenbank auch wieder auslesbar sein.
Man könnte das eventuell so moden, daß das Password vor dem speichern mit einem geeigneten Verfahren verschlüsselt und nach dem Auslesen wieder entschlüsselt wird.
Dazu muß aber der Schlüssel wieder irgendwo rumliegen und dann fragt sich ob es sicherer ist, das Password unverschlüsselt in der DB oder den Schlüssel unverschlüsselt im Filesystem oder vielleicht auch in der DB rumliegen zu haben.
Gruß
Franz
Wer einen Rechtschreibfehler findet, darf ihn ruhig behalten. Ich habe noch genug davon auf Lager.
--- Sendet mir bitte KEINE PMs - Ich bevorzuge richtige email!
--- Sendet mir bitte KEINE PMs - Ich bevorzuge richtige email!
