Von: blueC 
13.02.06 - 16:03 (13.02.06 - 16:03)
13.02.06 - 16:03 (13.02.06 - 16:03) 
Hi,
ich stehe gerade vor einem kompletten remake meiner website und da ich auch vorhabe, viel auf MySQL zu basieren, ist mir auch eine Frage gekommen:
Was könnte derjenige alles tun, der die Zugangsdaten einer Datenbank hätte, jedoch kein Zugang zum Adminbereich hat? (Sprich: einer der das passwort usw. rausgehackt hat).
Danke
bye
ich stehe gerade vor einem kompletten remake meiner website und da ich auch vorhabe, viel auf MySQL zu basieren, ist mir auch eine Frage gekommen:
Was könnte derjenige alles tun, der die Zugangsdaten einer Datenbank hätte, jedoch kein Zugang zum Adminbereich hat? (Sprich: einer der das passwort usw. rausgehackt hat).
Danke
bye
Von: Flo
13.02.06 - 21:41 (13.02.06 - 21:42)
13.02.06 - 21:41 (13.02.06 - 21:42)
Kommt drauf an. Wenn der MySQL Server von außen her (TCP/IP) angesprochen werden kann, so hast du verloren. Derjenige kann alles verändern, sofern der User, dessen Daten er hat, die notwendigen Rechte besitzt, was jedoch meistens so ist.
Zum Glück ist das meistens nicht möglich und man greift meist von außen auf einen lokalen MySQL Client zu, z.B. SSH oder über ein Webinterface a la MyAdmin, welche (hoffentlich) mit anderen Zugangsdaten gesichert sind. In dem Fall wäre das ganze halb so schlimm.
Nebenbei: Passwörter, welche in Datenbanken gespeichert werden, chiffriert man. Meist mit MD5.
Zum Glück ist das meistens nicht möglich und man greift meist von außen auf einen lokalen MySQL Client zu, z.B. SSH oder über ein Webinterface a la MyAdmin, welche (hoffentlich) mit anderen Zugangsdaten gesichert sind. In dem Fall wäre das ganze halb so schlimm.
Nebenbei: Passwörter, welche in Datenbanken gespeichert werden, chiffriert man. Meist mit MD5.
Von: Diabeles
14.02.06 - 15:09
14.02.06 - 15:09
Wobei man MD5 vielleicht nicht mehr benutzen sollte.
http://hackerboard.de/thread.php?threadid=21407&;sid=6bceff348ada2bad784ac8208ead76b2|Klick.
http://hackerboard.de/thread.php?threadid=21407&;sid=6bceff348ada2bad784ac8208ead76b2|Klick.
Von: Flo
14.02.06 - 17:28
14.02.06 - 17:28
Alternative?
Von: Diabeles
14.02.06 - 17:32
14.02.06 - 17:32
Soweit ich weiß SHA.
Von: Flo
14.02.06 - 22:07
14.02.06 - 22:07
Nett.
Von: blueC
14.02.06 - 22:30 (14.02.06 - 22:32)
14.02.06 - 22:30 (14.02.06 - 22:32)
Also ich denke, Strato oder Hetzner tut des schon so absichern, was denkt ihr? =)
Da läuft das auch über myAdmin, mit passworteingabe...
Also ich wechsel jetzt von Strato zu Hetzner, um genauer zu sein.
Da läuft das auch über myAdmin, mit passworteingabe...
Also ich wechsel jetzt von Strato zu Hetzner, um genauer zu sein.
Von: Tiger
15.02.06 - 12:06 (15.02.06 - 12:08)
15.02.06 - 12:06 (15.02.06 - 12:08)
"Wobei man MD5 vielleicht nicht mehr benutzen sollte."
Keine Verschlüsselung ist sicher genug, um nicht geknackt werden zu können.
Übrigens: Wer das Passwort zur Datenbank hat, kann eigentlich alles. Selbst wenn man die Passwörter verschlüsselt, so werden doch diese Hashes in der Datenbank abgelegt... kein Problem also, den alten Hash durch einen eigenen zu ersetzen.
Keine Verschlüsselung ist sicher genug, um nicht geknackt werden zu können.
Übrigens: Wer das Passwort zur Datenbank hat, kann eigentlich alles. Selbst wenn man die Passwörter verschlüsselt, so werden doch diese Hashes in der Datenbank abgelegt... kein Problem also, den alten Hash durch einen eigenen zu ersetzen.
Von: Flo
15.02.06 - 19:56
15.02.06 - 19:56
Ja, aber wenn jemand mehrere Passwörter für verschiedene Dinge verwendet (z.B. auch für seinen e-mail account) bleibt das Passwort wenigstens -mehr oder weniger- geheim.
Es kommt natürlich auch darauf an, was der User in der DB machen kann, dessen Zugangsdaten hat. Bei einem User ohne Schreib- und nur mit Leserechten könnten "lediglich" vertrauliche Daten nach außen gelangen.
Es kommt natürlich auch darauf an, was der User in der DB machen kann, dessen Zugangsdaten hat. Bei einem User ohne Schreib- und nur mit Leserechten könnten "lediglich" vertrauliche Daten nach außen gelangen.
Von: Tiger
16.02.06 - 00:38
16.02.06 - 00:38
Du legst das Passwort für deinen Mail-Account in einer MySQL-Datenbank ab?
Sonst gehts noch. Benutz gefälligst deinen zu deinem Körper mitgelieferten biologischen Supercomputer: dein Gehirn. Echt jetzt.
Sonst gehts noch. Benutz gefälligst deinen zu deinem Körper mitgelieferten biologischen Supercomputer: dein Gehirn. Echt jetzt.
Von: Flo
16.02.06 - 16:59
16.02.06 - 16:59
Nein, Tiger, das tue ich nicht. Habe ich auch nie gesagt.
Vernünftig lesen, nicht irgendwelche Sachen hineinfantasieren und du wirst sehen, du wirst Leuten weniger Unsinn unterstellen. Jetzt ab in die Ecke mit dir!
Vernünftig lesen, nicht irgendwelche Sachen hineinfantasieren und du wirst sehen, du wirst Leuten weniger Unsinn unterstellen. Jetzt ab in die Ecke mit dir!
Von: Tiger
16.02.06 - 23:26 (16.02.06 - 23:28)
16.02.06 - 23:26 (16.02.06 - 23:28)
"Ja, aber wenn jemand mehrere Passwörter für verschiedene Dinge verwendet (z.B. auch für seinen e-mail account) bleibt das Passwort wenigstens -mehr oder weniger- geheim."
*analysier*
Du sagst: "Wenn jemand mehrere Passwörter für verschiedene Dinge verwendet"
Schluss: Du verwendest für verschiedene Sachen verschiedene Passwörter. Eine vernünftige Einstellung.
Weiter: "(z.B. auch für seinen e-mail account) bleibt das Passwort wenigstens -mehr oder weniger- geheim."
Schluss: Dein Passwort muss irgendwo abgelegt sein. In der Diskussion geht es um MySQL-Datenbanken. Dein Beitrag bezieht sich auf meine angesprochene Möglichkeit, mit Hilfe eines gestohlenen Adminpasswortes, Passworthashes durch eigene zu ersetzen.
Weiter... du meinst, die Passwörter bleiben mehr oder minder geheim. Mehr oder minder... ja. Ein Passwort, das du dir gemerkt hast, ist fast absolut sicher (außer durch Zufallsraten), oder durch Abfangen des Paketes zwischen deinem PC und dem Mailserver. Also muss dein Passwort an einem unsicheren Platz liegen, aber zur Sicherheit verschlüsselt (denn wer würde ein unverschlüsseltes Passwort... halt. Das habe ich nicht gefragt!)
Ich schließe also korrekt: Du fürchtest um die Sicherheit deines Mailpasswortes. Dein Mailpasswort wird von dir nirgends anders genutzt. Dein Mailpasswort ist mehr oder minder sicher. Wenn es mehr oder minder sicher ist, muss es verschlüsselt an einem unsicheren Platz sein. Eine MySQL-Datenbank ist mit einem geknackten Passwort unsicher.
Endgültiger Schluss:
Dein Mailpasswort ist also in einer MySQL-Datenbank.
*grins*
*analysier*
Du sagst: "Wenn jemand mehrere Passwörter für verschiedene Dinge verwendet"
Schluss: Du verwendest für verschiedene Sachen verschiedene Passwörter. Eine vernünftige Einstellung.
Weiter: "(z.B. auch für seinen e-mail account) bleibt das Passwort wenigstens -mehr oder weniger- geheim."
Schluss: Dein Passwort muss irgendwo abgelegt sein. In der Diskussion geht es um MySQL-Datenbanken. Dein Beitrag bezieht sich auf meine angesprochene Möglichkeit, mit Hilfe eines gestohlenen Adminpasswortes, Passworthashes durch eigene zu ersetzen.
Weiter... du meinst, die Passwörter bleiben mehr oder minder geheim. Mehr oder minder... ja. Ein Passwort, das du dir gemerkt hast, ist fast absolut sicher (außer durch Zufallsraten), oder durch Abfangen des Paketes zwischen deinem PC und dem Mailserver. Also muss dein Passwort an einem unsicheren Platz liegen, aber zur Sicherheit verschlüsselt (denn wer würde ein unverschlüsseltes Passwort... halt. Das habe ich nicht gefragt!)
Ich schließe also korrekt: Du fürchtest um die Sicherheit deines Mailpasswortes. Dein Mailpasswort wird von dir nirgends anders genutzt. Dein Mailpasswort ist mehr oder minder sicher. Wenn es mehr oder minder sicher ist, muss es verschlüsselt an einem unsicheren Platz sein. Eine MySQL-Datenbank ist mit einem geknackten Passwort unsicher.
Endgültiger Schluss:
Dein Mailpasswort ist also in einer MySQL-Datenbank.
*grins*
Von: blueC
17.02.06 - 21:21
17.02.06 - 21:21
*gg* voll sherlock holmes hier....
Okay, keine Verschlüsselung ist sicher. Das weis ich auch. Was empfehlt ihr denn, wo sollte man die Datei mit dem Passwort + Benutzername für die Datenbank ablegen?? 6 unsinnige Ordner erstellen und im letzen die rein? oder extra auf ne subdomain? oO
Empfehlt mir mal was bitte ;-)
danke!!!
Okay, keine Verschlüsselung ist sicher. Das weis ich auch. Was empfehlt ihr denn, wo sollte man die Datei mit dem Passwort + Benutzername für die Datenbank ablegen?? 6 unsinnige Ordner erstellen und im letzen die rein? oder extra auf ne subdomain? oO
Empfehlt mir mal was bitte ;-)
danke!!!
Von: Flo
18.02.06 - 19:00
18.02.06 - 19:00
Tiger, du hättest Watson anstatt Professor Moriarty als Täter überführt.
Eigentlich habe ich mich falsch ausgedrückt: Mehrere Passwörter, welche wiederum jeweils(!) für mehrere Zugänge/Anwendungen/usw dienen. Ich wollte damit ausdrücken, dass man als Macher z.B. eines Forums davon ausgehen sollte, dass der unvernünftige User in seinen Einstellungen eine E-Mail Adresse angibt und das Passwort für diesen Mail Account mit dem für das Forum übereinstimmt.
Trotz dieser ungenauen Formulierung... wie willst du bitte auf mich schließen, wenn ich ganz allgemein von "man" rede? Meine Passwörter stehen zumindest nirgends o_0
Eigentlich habe ich mich falsch ausgedrückt: Mehrere Passwörter, welche wiederum jeweils(!) für mehrere Zugänge/Anwendungen/usw dienen. Ich wollte damit ausdrücken, dass man als Macher z.B. eines Forums davon ausgehen sollte, dass der unvernünftige User in seinen Einstellungen eine E-Mail Adresse angibt und das Passwort für diesen Mail Account mit dem für das Forum übereinstimmt.
Trotz dieser ungenauen Formulierung... wie willst du bitte auf mich schließen, wenn ich ganz allgemein von "man" rede? Meine Passwörter stehen zumindest nirgends o_0
Von: Tiger
18.02.06 - 19:41
18.02.06 - 19:41
Brav.
Übrigens: Watson ist der Drahtzieher hinter Moriarty, der böseste Bösewicht im Holmes'schen England. *fantasier und dabei manisch lacht*
Übrigens: Watson ist der Drahtzieher hinter Moriarty, der böseste Bösewicht im Holmes'schen England. *fantasier und dabei manisch lacht*
Von: Flo
19.02.06 - 15:43
19.02.06 - 15:43
Du bist raus...
Logge dich ein um einen Beitrag zu schreiben.