YourWBB


yourWBB » WoltLab Burning Board Generation 2 * » Alles von und für das WBB Lite 1.0.x » [WBB Lite 1.0.x] Ideen, Wünsche und Suche » Privatnachrichten in der Datenbank verschlüsseln » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag 3.154 Views | | Thema zu Favoriten hinzufügen

Neues Thema erstellen Antwort erstellen
Dieses Thema wurde als erledigt markiert. Thread erledigt

Zum Ende der Seite springen Privatnachrichten in der Datenbank verschlüsseln
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
bebe2014
Mitglied


Dabei seit: 04.02.15
Beiträge: 2
 Privatnachrichten in der Datenbank verschlüsseln Antworten Zitieren Editieren Melden       UP
Hallöchen und ich hoffe, ich bin hier richtig smile
Mir ist ja aufgefallen, dass jeder, der ein Passwort für die Datenbank hat, auch die Privaten Nachrichten der User lesen kann. Persönlich für mich schon aus mehreren Gründen nicht gewünscht, aber ich will nun auch nicht, dass meine Teammitglieder, die ebenso ein Passwort für die Datenbank bekommen, um dort auch Dinge bearbeiten zu können, das lesen. Die Möglichkeit sollte also vollkommen ausgeschlossen werden.
Nun hab ich was von Encrypt/Decrypt gelesen, konnte aber bis jetzt nicht rausfinden, ob das wirklich funktioniert. Wisst ihr dazu was? Bzw. gibt es jemanden hier, der weiß, wie man die bb1_privatemessage verschlüsselt darstellt?

Liebe Grüße!
04.02.15 21:53 bebe2014 ist offline E-Mail Finden Als Freund hinzufügen
S!equenz
Last Man Standing


Dabei seit: 10.07.12
Beiträge: 786
Fähigkeiten: WBB2 Fortgeschritten
Forenversion: 2.3
Antworten Zitieren Editieren Melden       UP
Es gibt dafür nen Hack von http://hopfenschlodel.de soweit ich weiß.
Damit kann man die Privaten Nachrichten in der Datenbank verschlüsseln.

Du solltest dir genau überlegen wem du Zugang zur DB gibst
wenn es wirklich so sensible Daten sind, den: Wenns jemand drauf anlegt sind solche Verschlüsselungen knackbar. Belehr

Jemand der Zugang zu deiner DB hat, hat außerdem Zugang zu den Passwörtern
deiner User und kann sich somit auch als solche einloggen und die Nachrichten direkt lesen, man muss nur MD5 Passwort entschlüsseln, was easy ist...

Hier mal ein Beispiel:
code: 
1:

63b50b84fab27bc08c5630779f7e6599


Besuch mal die Seite http://md5cracker.org und gib dieses MD5 verschlüsselte
(durchaus starke) Passwort dort ein => Damnit! großes Grinsen

Edit:

Starke Passwörter die noch nicht in einer DB gespeichert sind sind allerdings
nicht so leicht zu knacken. Das geht dann mit "Bruteforce" und kann ewigkeiten dauern, zumindest insofern es ein starkes Passwort ist.

Aber "nicht so starke" passwörter wie z.b. 123456 oder gar passwort, passwort ( Irre ) sind in 2 sekunden geknackt!

Hier mal nen Link zu zwei tollen Programmen:
http://www.timwarriner.com/software/md5brute.html
http://hashsuite.openwall.net/

Gibt natürlich deutlich mehr cool

__________________
Lüge Zweckmäßige Übertreibung

Dieser Beitrag wurde 3 mal editiert, zum letzten Mal von S!equenz: 04.02.15 23:04.
04.02.15 22:13 S!equenz ist offline E-Mail Finden Als Freund hinzufügen
bebe2014
Mitglied


Dabei seit: 04.02.15
Beiträge: 2

Themenstarter Thema begonnen von bebe2014
Antworten Zitieren Editieren Melden       UP
Darf ich dich grad mal knutschen?
Hab vielen vielen Dank, das klappt ganz wunderbar - und danke mir dem Hinweis auf BruteForce!

Liebe Grüße!
05.02.15 00:06 bebe2014 ist offline E-Mail Finden Als Freund hinzufügen
S!equenz
Last Man Standing


Dabei seit: 10.07.12
Beiträge: 786
Fähigkeiten: WBB2 Fortgeschritten
Forenversion: 2.3
Antworten Zitieren Editieren Melden       UP
Wundervoll.
Hab grad gesehen das Hopfenschlodel die Registration wieder geöffnet hat.

yo den Hack gibts da noch.
Auch wenn da nirgends steht wie genau der verschlüsselt, oder doch?

Sevenup du liest hier doch öfter? Sag mal an...

__________________
Lüge Zweckmäßige Übertreibung
05.02.15 01:04 S!equenz ist offline E-Mail Finden Als Freund hinzufügen
Malfrosch
Mitglied


Dabei seit: 23.12.10
Beiträge: 222
Antworten Zitieren Editieren Melden       UP
Nun, da der Schlüssel zum Entschlüsseln der Nachricht auf dem gleichen Server liegt bzw. liegen muss, kann ich, wenn ich Datenbankzugriff habe, die Nachrichten immer noch lesen. Sinn?
06.02.15 11:39 Malfrosch ist offline Finden Als Freund hinzufügen
S!equenz
Last Man Standing


Dabei seit: 10.07.12
Beiträge: 786
Fähigkeiten: WBB2 Fortgeschritten
Forenversion: 2.3
Antworten Zitieren Editieren Melden       UP
Malfrosch, das klingt als wüsstest du mittels welcher Methode
die den Text verschlüsseln?

__________________
Lüge Zweckmäßige Übertreibung
06.02.15 19:56 S!equenz ist offline E-Mail Finden Als Freund hinzufügen
Helmchen Helmchen ist männlich
ihre Helmhaftigkeit !


images/avatars/avatar-4266.gif

Dabei seit: 02.03.04
Beiträge: 440
Herkunft: unterm Pulli °_°
Forenversion: 3.1; 1.2
Antworten Zitieren Editieren Melden       UP
In erster Linie frage ich mich, warum mehrere Personen Zugriff auf deine Datenbank haben ?
Für reguläre [das Forum verwaltende] Teammitglieder besteht dafür überhaupt keine Notwendigkeit -_-#

__________________

BRATWURST IST LEBEN! HEIL DIR BRATWURST!!!
Nun nehmt das Leben nicht so ernst... Ihr kommt da sowiso nie lebend raus großes Grinsen
07.02.15 12:14 Helmchen ist offline E-Mail Finden Als Freund hinzufügen
S!equenz
Last Man Standing


Dabei seit: 10.07.12
Beiträge: 786
Fähigkeiten: WBB2 Fortgeschritten
Forenversion: 2.3
Antworten Zitieren Editieren Melden       UP
Die bauen halt warscheinlich Hacks ein... (nehm ich jetzt mal an.)

__________________
Lüge Zweckmäßige Übertreibung
07.02.15 19:52 S!equenz ist offline E-Mail Finden Als Freund hinzufügen
Schrimm
Banned


Dabei seit: 21.08.11
Beiträge: 700
Antworten Zitieren Editieren Melden       UP
Zitat:
Original von Malfrosch
Nun, da der Schlüssel zum Entschlüsseln der Nachricht auf dem gleichen Server liegt bzw. liegen muss, kann ich, wenn ich Datenbankzugriff habe, die Nachrichten immer noch lesen. Sinn?


Ob der Schlüssel für die Entschlüsselung auf dem Server liegt oder nicht, tut eigentlich nichts zur Sache.
Die Frage ist nur, wie er auf dem Server liegt.

Man könnte Beispielsweise den Schlüssel für jeden Benutzer selbst erstellen und verschlüsselt auf dem Server speichern, wie es mit den Benutzerpasswörtern funktioniert.

Eventuell eine Kombination aus Passwort + Benutzernamen, der dann verschlüsselt in der Datenbank steht, da man sonst immer den Benutzer selbst um den "Schlüssel" fragen müsste...

Stimmt also der Schlüssel, der nun beim Lesen der Nachricht übertragen wird mit dem des vom Lesenden übertragenen Schlüssel überein, wird die Nachricht entschlüsselt und sonst nicht.
07.02.15 21:21 Schrimm ist offline Finden Als Freund hinzufügen
S!equenz
Last Man Standing


Dabei seit: 10.07.12
Beiträge: 786
Fähigkeiten: WBB2 Fortgeschritten
Forenversion: 2.3
Antworten Zitieren Editieren Melden       UP
Hopfenschlodel ist doch eh total sicher, die verschlüsseln sogar noch ihren PHP Code großes Grinsen großes Grinsen großes Grinsen

__________________
Lüge Zweckmäßige Übertreibung
07.02.15 23:12 S!equenz ist offline E-Mail Finden Als Freund hinzufügen
Baumstruktur | Brettstruktur
Gehe zu:

Neues Thema erstellen Antwort erstellen
yourWBB » WoltLab Burning Board Generation 2 * » Alles von und für das WBB Lite 1.0.x » [WBB Lite 1.0.x] Ideen, Wünsche und Suche » Privatnachrichten in der Datenbank verschlüsseln