MySQL Passwort im Klartext in Dateien ablegen

N

netchamber

Jungspund
Hallo,

ich möchte ein selbstprogrammiertes Perl - MySQL Forum auf einem Rechner einsetzen. Ich kann das MySQL Passwort nicht unverschlüsselt im Quelltext ablegen, weil auch ande Benutzer Accounts auf dem Rechner haben. Selbst wenn ich denen ihre Rechte mit chmod 705 *.cgi wegnehme, können sie eine Webshell verwenden, um an das Passwort ranzukommen. Die haben schließlich auch CGI Verzeichnisse und sie verwenden den gleichen Webserver bzw. es gibt nur einen Webserver Account.

Wie kann ich das Passwort sicher ablegen? Das Problem ist doch, dass es für den Webserver lesbar sein muss. Wenn es für den Webserver lesbar ist, kann es ganz einfach durch eine Webshell gelesen werden ...

Dankeschön im Voraus - Mit freundlichen Grüßen - netchamber
 
Nuuuun.. ich denke dafuer gibts keine Loesung :). Wenn die anderen User auf den gleichen User zugreiffen koennen, welcher an deine Daten kommen muss, gibts wohl keine Loesung...
 
Das Passwort gar nicht erst dort ablegen sondern über ein FORM erfragen, wia crypt() oder ähnlichem verschlüsseln und dann mit dem bererits gecrypteten passwort vergleichen, dieses kann ja auf dem Rechner liegen
 
Die Sache bei ner Verschlüsselung die auch wieder entschlüsselt werden kann ist nur die, das eigentlich jeder der weiß wie man auch entschlüsselt so nen PW auch entschlüsseln könnte.
 
Jo, aber es ist zumindest aufwendiger als das Passwort gleich im Klartext vorzufinden
 
Cyber schrieb:
Das Passwort gar nicht erst dort ablegen sondern über ein FORM erfragen, wia crypt() oder ähnlichem verschlüsseln und dann mit dem bererits gecrypteten passwort vergleichen, dieses kann ja auf dem Rechner liegen

Dann soll also jeder Applikationsuser das DB-Passwort wissen? Naja.. das geht bei phpmyadmin, aber nicht bei einer Applikation fuer die Masse.

netchamber: was ist es denn genau fuer eine Applikation?
 
Es ist für Administratoren gedacht. Aber wenn du eine andere Datenbankbasierte Applikation hast wie ein Forum z.B., hast du nicht mehr diesen eingeschränkten Benutzerkreis und kannst logischerweise auch nicht von jedem Nutzer erwarten, dass er sich mit dem DB User und Passwort einloggt.
 
Zurück
Oben