phpBB.de

Hab mal ne Frage... Also angenommen ich habe keine Passwörter eines Admins? Die Daten sind doch in der SQL Datei vor einem Hack sicher....Oder ?



Das soll keine Aufforderung sein!

du wirst hier sicher keine Anweisungen zum Haken eines Forums bekommen!!

Nein das wollte ich nicht...aber ich kann mir nicht vorstellen wie sowas gehen soll....








(Habe die Frage mal umfomiliert hörte sich echt etwas Krass an)

roxi170481 hat geschrieben:Die Daten sind doch in der SQL Datei vor einem Hack sicher....Oder ?

Die Passwörter sind MD5-verschlüsselt gespeichert, und selbst wenn jemand dein Datenbank-Passwort hackt, dürfte es nicht so leicht sein, das Passwort zu entschlüsseln...

ist nicht MD5 bis jetzt ungeknackt?

Hi ...

http://www.phpbb.de/viewtopic.php?p=316277#316277

Markus

Meine Frage betrifft die Tabellen. Angenommen der Hacker hat nicht mein Passwort, kann er auch keine Tabellen in der SQL Bank löschen?!?

Tuxman hat geschrieben:Die Passwörter sind MD5-verschlüsselt gespeichert, und selbst wenn jemand dein Datenbank-Passwort hackt, dürfte es nicht so leicht sein, das Passwort zu entschlüsseln...

'dank' der vier chinesen wang, feng, lai, und yu ist zum einen das md5crc projekt vor einiger zeit 'erfolgreich' beendet worden, zum anderen stehen damit dann auch tabellen zur verfügung um kollisionen innerhalb einiger stunden zu berechnen.
auf mehr oder weniger dunklen kanälen können auch online-services genutzt werden, um md5-einträge zu encrypten...
md5 ist von daher wohl nicht mehr wirklich sicher.

für das phpBB2 hat das allerdings momentan keine unmittelbaren auswirkungen (obwohl ein wechsel auf z.b. SHA-1 sicherlich nicht das schlechteste wäre) da seit der version 2.0.8a keine möglichkeiten mehr bekannt sind via sql-injection direkt auf die datenbank zuzugreifen (bis zur 2.0.8 ging das ja via privmsg.php in mysql4 enviroments recht konfortabel...)

mit anderen worten: nachdem die kodierung der kennwörter _in_ der datenbank als nicht sicher betrachtet werden muss, muss man beim zugriff _auf_ die datenbank entsprechend gut vorgehen. trivialpasswörter für mysql die beispielsweise via wörterbuchattacke gehackt werden können sollten von daher absolut tabu sein...

roxi170481 hat geschrieben:Meine Frage betrifft die Tabellen. Angenommen der Hacker hat nicht mein Passwort, kann er auch keine Tabellen in der SQL Bank löschen?!?

Korrekt. Sofern du eine "sichere" MySQL-Version verwendest.

Welches ist derzeit eine sicherere SQL Version?