Hallo,
ich suche nach einer Möglichkeit die komplette sql Datenbank zu verschlüsseln. Die Passwörter sind ja schon MD5 verschlüsselt.
Würde etwas ähnliches auch mit der kompletten Datenbank funktionieren?
Eventuell wäre auch ein PGP Plugin denkbar.
Im Net habe ich bisher nichts gefunden.
Sinn der Sache ist, dass im Fall eines Hacks die Datenbank nicht ausgelesen werden kann.
Ich hoffe Ihr könnt mir weiter helfen.
Gruß
Netbus
komplette Datenbank verschlüsseln?
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.0, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.0, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
BruceCompanys
- Mitglied
- Beiträge: 25
- Registriert: 29.12.2006 16:24
-
gn#36
- Ehrenadmin
- Beiträge: 9313
- Registriert: 01.10.2006 16:20
- Wohnort: Ganz in der Nähe...
- Kontaktdaten:
Die Verschlüsselung eines Forums bringt mehr oder weniger nichts:
- Sie müsste so beschaffen sein, dass alle Zugriffsberechtigten trotz Verschlüsselung an die Daten kommen
- Hierzu müssen alle User mit Zugriff auf Forum x einen Schlüssel für dieses Forum besitzen
- -> Entweder muss das Forum pro User genau ein mal verschlüsselt in der Datenbank liegen oder alle User brauchen einen Schlüssel, mit dem sie an den Schlüssel zum Forum gelangen können, d.h. der Schlüssel zu jedem Forum muss pro User einmal verschlüsselt werden.
- -> Die Verschlüsselung ist automatisch nur so sicher wie das Schwächste Glied. Ein zugriffsberechtigter User mit "12345" als Passwort reicht als Sicherheitslücke bereits aus.
- Gleichzeitig verlangsamt sich das Forum extrem, da mit jedem Seitenaufruf nicht nur die vielen Datenbanktransaktionen durchgeführt werden müssen, sondern zusätzlich auch die Beiträge noch entschlüsselt werden müssen.
- Um überhaupt sicher sein zu können müsste das Verschlüsselungsverfahren assymetrisch sein (ansonsten müsste der User entweder für jede Aktion sein Passwort eingeben, oder das Passwort müsste im Klartext gespeichert sein (oder mit einem bekannten Schlüssel verschlüsselt was in etwa gleich sicher ist da jeder Hacker darauf zugreifen könnte wenn das Forum dazu in der Lage ist), außerdem könnten andere User ansonsten keine Inhalte einstellen, die der User sehen kann (-> Public/Private Key Verfahren ist notwendig).
- Damit der ganze Sicherheitsfimmel was bringt muss dann auch die Verbindung des Browsers zum Forum sicher sein, ansonsten werden mindestens ein mal abhörbare Daten übertragen mit deren Hilfe unkomplizierter Zugriff auf die Daten möglich ist. Das Passwort hier vor der Übertragung z.b. md5 zu verschlüsseln bringt gar nichts, da es dem Hacker egal sein kann ob er den generierten md5 Hash abfängt oder das Passwort, denn mehr als den Hash bekommt das Forum ja auch nicht und kann nur eben diesen ja dann mit dem Sollwert vergleichen. Eine gewisse Sicherheit würde vielleicht eine gemeinsame Verschlüsselung des Passwortes mit einem dem Forum bekannten zufälligen und bei jeder Nutzung anderen Wert, die Browserantwort dürfte dann den Server nicht erreichen damit der abgefangene Wert brauchbar ist.
Begegnungen mit dem Chaos sind fast unvermeidlich, Aber nicht katastrophal, solange man den Durchblick behält.
Übertreiben sollte man's im Forum aber nicht mit dem Chaos, denn da sollen ja andere durchblicken und nicht nur man selbst.
Übertreiben sollte man's im Forum aber nicht mit dem Chaos, denn da sollen ja andere durchblicken und nicht nur man selbst.
