LIebe PHPBB-Community,
wir arbeiten an der Umsetzung eines Online-Tools im Gesundheitsbereich. Deshalb sind alle Daten relativ sensibel und absolut notwendig, dass alles was eingegeben wurde nicht nur die Übertragung über eine SSL-VErschlüsselung läuft sondern auch die Daten verschlüsselt auf dem Server abgelegt sind.
Unsere Präferenz wäre PHPBB als Tool zu integrieren. Wäre es aus eurer SIcht denkbar so eine VErschlüsselung mit PHPBB zu realisieren?
falls nicht: Kennt Ihr andere OPtionen?
beste Grüße und dank für eure MÜhe!
Zen4surf
Verschlüsselung aller abgelegten Daten
Forumsregeln
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
cYbercOsmOnauT
- Ehemaliges Teammitglied
- Beiträge: 3820
- Registriert: 18.02.2004 23:02
- Wohnort: Göttingen
- Kontaktdaten:
Re: Verschlüsselung aller abgelegten Daten
Die Frage ist, was ihr alles wirklich verschlüsseln wollt. Zum Beispiel den Loginnamen und das sowieso gehashte Passwort könnt ihr kaum verschlüsseln. Irgendwie muss man sich schliesslich einloggen können. Ausserdem wäre eine Verschlüsselung ja lediglich lokal, sprich man verwendet ein Algorithmus mittels dessen die Eingaben wie z.B. Postings chiffriert auf der DB gespeichert werden. Selbe Algo wird wiederum verwendet um Ausgaben lesbar zu machen.
Dies bringt jedoch keine wirkliche Sicherheits-Steigerung. Denn wer auf den Server Zugriff bekommt, der kann auch in den betreffenden Skripten die Algo auslesen und somit die Daten rekonstruieren. Ihr hättet in jedem Fall eher Nachteile wie z.B. langsameres Board und eine Suchfunktion die nicht funktioniert, weil man ja nicht nach chiffrierten Daten suchen kann.
Ich würde den Punkt Sicherheit anders angehen. https klar. Jedoch könnte man z.B. sensible Patientendaten auf eine andere DB auslagern und diese lediglich über Getter und Setter Skripte ansprechen die auf diesem anderen Server lagern und somit bei einem Hack nicht sofort greifbar sind.
Wenn man seinen Server gut konfiguriert hat, immer auf dem neuesten "Patch-Stand" ist und aufpasst was für Modifikationen man sich einbaut (ob die auch wirklich sicher sind). Ist die Gefahr geknackt zu werden m.E. sehr gering anzusetzen.
Grüße,
Tekin
Dies bringt jedoch keine wirkliche Sicherheits-Steigerung. Denn wer auf den Server Zugriff bekommt, der kann auch in den betreffenden Skripten die Algo auslesen und somit die Daten rekonstruieren. Ihr hättet in jedem Fall eher Nachteile wie z.B. langsameres Board und eine Suchfunktion die nicht funktioniert, weil man ja nicht nach chiffrierten Daten suchen kann.
Ich würde den Punkt Sicherheit anders angehen. https klar. Jedoch könnte man z.B. sensible Patientendaten auf eine andere DB auslagern und diese lediglich über Getter und Setter Skripte ansprechen die auf diesem anderen Server lagern und somit bei einem Hack nicht sofort greifbar sind.
Wenn man seinen Server gut konfiguriert hat, immer auf dem neuesten "Patch-Stand" ist und aufpasst was für Modifikationen man sich einbaut (ob die auch wirklich sicher sind). Ist die Gefahr geknackt zu werden m.E. sehr gering anzusetzen.
Grüße,
Tekin
• prof. phpbb-Installation, Reparatur, Rettung nach Hackattacken, sowie PHP/JS Programmierung aller Art
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
Re: Verschlüsselung aller abgelegten Daten
Hallo Tekin,
danke für deine hilfreiche Antwort.
Da sieht man mal, dass solche Standards die für medizinische Daten gefordert werden nicht immer 100%ig gut durchdacht sind. Das der Algo lokal ist und damit auf dem Server ist logisch.....
Auch wenn es vielleicht nicht 100%ig sinnvoll ist, die es fordern: kannst du abschätzen ob es irgendwo so einen Mod gibt, bzw. was es für einen Geld-Aufwand wäre so etwas zu programmieren?
danke für deine Unterstützung!
lg, David
danke für deine hilfreiche Antwort.
Da sieht man mal, dass solche Standards die für medizinische Daten gefordert werden nicht immer 100%ig gut durchdacht sind. Das der Algo lokal ist und damit auf dem Server ist logisch.....
Auch wenn es vielleicht nicht 100%ig sinnvoll ist, die es fordern: kannst du abschätzen ob es irgendwo so einen Mod gibt, bzw. was es für einen Geld-Aufwand wäre so etwas zu programmieren?
das klingt enorm sinnvoll! HIer die slebe Frage: Gibt es so etwas schon, bzw. was wäre deine Einschätzung würde so was kosten umzusetzen (Deiner Visitenkarte zufolge bist du ja ProfiJedoch könnte man z.B. sensible Patientendaten auf eine andere DB auslagern und diese lediglich über Getter und Setter Skripte ansprechen die auf diesem anderen Server lagern und somit bei einem Hack nicht sofort greifbar sind.
danke für deine Unterstützung!
lg, David
