phpBB.de

LIebe PHPBB-Community,

wir arbeiten an der Umsetzung eines Online-Tools im Gesundheitsbereich. Deshalb sind alle Daten relativ sensibel und absolut notwendig, dass alles was eingegeben wurde nicht nur die Übertragung über eine SSL-VErschlüsselung läuft sondern auch die Daten verschlüsselt auf dem Server abgelegt sind.

Unsere Präferenz wäre PHPBB als Tool zu integrieren. Wäre es aus eurer SIcht denkbar so eine VErschlüsselung mit PHPBB zu realisieren?

falls nicht: Kennt Ihr andere OPtionen?

beste Grüße und dank für eure MÜhe!

Zen4surf

Die Frage ist, was ihr alles wirklich verschlüsseln wollt. Zum Beispiel den Loginnamen und das sowieso gehashte Passwort könnt ihr kaum verschlüsseln. Irgendwie muss man sich schliesslich einloggen können. Ausserdem wäre eine Verschlüsselung ja lediglich lokal, sprich man verwendet ein Algorithmus mittels dessen die Eingaben wie z.B. Postings chiffriert auf der DB gespeichert werden. Selbe Algo wird wiederum verwendet um Ausgaben lesbar zu machen.

Dies bringt jedoch keine wirkliche Sicherheits-Steigerung. Denn wer auf den Server Zugriff bekommt, der kann auch in den betreffenden Skripten die Algo auslesen und somit die Daten rekonstruieren. Ihr hättet in jedem Fall eher Nachteile wie z.B. langsameres Board und eine Suchfunktion die nicht funktioniert, weil man ja nicht nach chiffrierten Daten suchen kann.

Ich würde den Punkt Sicherheit anders angehen. https klar. Jedoch könnte man z.B. sensible Patientendaten auf eine andere DB auslagern und diese lediglich über Getter und Setter Skripte ansprechen die auf diesem anderen Server lagern und somit bei einem Hack nicht sofort greifbar sind.

Wenn man seinen Server gut konfiguriert hat, immer auf dem neuesten "Patch-Stand" ist und aufpasst was für Modifikationen man sich einbaut (ob die auch wirklich sicher sind). Ist die Gefahr geknackt zu werden m.E. sehr gering anzusetzen.

Grüße,
Tekin

Hallo Tekin,

danke für deine hilfreiche Antwort.


Da sieht man mal, dass solche Standards die für medizinische Daten gefordert werden nicht immer 100%ig gut durchdacht sind. Das der Algo lokal ist und damit auf dem Server ist logisch.....
Auch wenn es vielleicht nicht 100%ig sinnvoll ist, die es fordern: kannst du abschätzen ob es irgendwo so einen Mod gibt, bzw. was es für einen Geld-Aufwand wäre so etwas zu programmieren?

Jedoch könnte man z.B. sensible Patientendaten auf eine andere DB auslagern und diese lediglich über Getter und Setter Skripte ansprechen die auf diesem anderen Server lagern und somit bei einem Hack nicht sofort greifbar sind.

das klingt enorm sinnvoll! HIer die slebe Frage: Gibt es so etwas schon, bzw. was wäre deine Einschätzung würde so was kosten umzusetzen (Deiner Visitenkarte zufolge bist du ja Profi


danke für deine Unterstützung!

lg, David