Login-Daten der Datenbank als Klartext im Cache-Ordner
Verfasst: 20.09.2015 16:07
Hallo!
Ich habe leider nichts zu diesem Thema gefunden und daher der neuer Beitrag.
Ich bin ein phpBB-Neuling und habe die Version 3.1.6 auf einem Webserver mit PHP, Apache und Postgresql installiert.
Die Software gefällt mir sehr gut und alles hat wunderbar geklappt. Ich bin auch dem Sicherheitstipp von phpBB gefolgt, die wirkliche Konfigurationsdatei "config.php" außerhalb des zugänglichen Webordners zu plazieren und die Standarddatei bloß mit "require('/meinPfadAußerhalb/config.php');" editiert. Soweit so gut! Das Forum funktioniert weiterhin einwandfrei.
Doch durch Zufall habe ich entdeckt, dass sämtliche Login-Informationen für die Datenbank in php-Dateien des Cache-Ordners liegen und zwar in Klartext. Das Leeren des Cache-Ordners brachte ebenso wenig, denn sofort nach erneuter Anmeldung, waren die Dateien wieder mit den sensiblen Informationen gefüllt.
Was kann ich machen um das Cachen von diesen Zugangsdaten zu deaktivieren? Schliesslich befinden sie sich in der "config.php".
Ich bin für jeden Tipp von euch dankbar!
Ich habe leider nichts zu diesem Thema gefunden und daher der neuer Beitrag.
Ich bin ein phpBB-Neuling und habe die Version 3.1.6 auf einem Webserver mit PHP, Apache und Postgresql installiert.
Die Software gefällt mir sehr gut und alles hat wunderbar geklappt. Ich bin auch dem Sicherheitstipp von phpBB gefolgt, die wirkliche Konfigurationsdatei "config.php" außerhalb des zugänglichen Webordners zu plazieren und die Standarddatei bloß mit "require('/meinPfadAußerhalb/config.php');" editiert. Soweit so gut! Das Forum funktioniert weiterhin einwandfrei.
Doch durch Zufall habe ich entdeckt, dass sämtliche Login-Informationen für die Datenbank in php-Dateien des Cache-Ordners liegen und zwar in Klartext. Das Leeren des Cache-Ordners brachte ebenso wenig, denn sofort nach erneuter Anmeldung, waren die Dateien wieder mit den sensiblen Informationen gefüllt.
Was kann ich machen um das Cachen von diesen Zugangsdaten zu deaktivieren? Schliesslich befinden sie sich in der "config.php".
Ich bin für jeden Tipp von euch dankbar!