bebe2014
Hallöchen und ich hoffe, ich bin hier richtig
Mir ist ja aufgefallen, dass jeder, der ein Passwort für die Datenbank hat, auch die Privaten Nachrichten der User lesen kann. Persönlich für mich schon aus mehreren Gründen nicht gewünscht, aber ich will nun auch nicht, dass meine Teammitglieder, die ebenso ein Passwort für die Datenbank bekommen, um dort auch Dinge bearbeiten zu können, das lesen. Die Möglichkeit sollte also vollkommen ausgeschlossen werden.
Nun hab ich was von Encrypt/Decrypt gelesen, konnte aber bis jetzt nicht rausfinden, ob das wirklich funktioniert. Wisst ihr dazu was? Bzw. gibt es jemanden hier, der weiß, wie man die bb1_privatemessage verschlüsselt darstellt?
Liebe Grüße!
S!equenz
Es gibt dafür nen Hack von
http://hopfenschlodel.de soweit ich weiß.
Damit kann man die Privaten Nachrichten in der Datenbank verschlüsseln.
Du solltest dir genau überlegen wem du Zugang zur DB gibst
wenn es wirklich so sensible Daten sind, den: Wenns jemand drauf anlegt sind solche Verschlüsselungen knackbar.
Jemand der Zugang zu deiner DB hat, hat außerdem Zugang zu den Passwörtern
deiner User und kann sich somit auch als solche einloggen und die Nachrichten direkt lesen, man muss nur MD5 Passwort entschlüsseln, was easy ist...
Hier mal ein Beispiel:
| code: |
1:
|
63b50b84fab27bc08c5630779f7e6599 |
|
Besuch mal die Seite
http://md5cracker.org und gib dieses MD5 verschlüsselte
(durchaus starke) Passwort dort ein => Damnit!
Edit:
Starke Passwörter die noch nicht in einer DB gespeichert sind sind allerdings
nicht so leicht zu knacken. Das geht dann mit "Bruteforce" und kann ewigkeiten dauern, zumindest insofern es ein starkes Passwort ist.
Aber "nicht so starke" passwörter wie z.b. 123456 oder gar passwort, passwort (
) sind in 2 sekunden geknackt!
Hier mal nen Link zu zwei tollen Programmen:
http://www.timwarriner.com/software/md5brute.html
http://hashsuite.openwall.net/
Gibt natürlich deutlich mehr
bebe2014
Darf ich dich grad mal knutschen?
Hab vielen vielen Dank, das klappt ganz wunderbar - und danke mir dem Hinweis auf BruteForce!
Liebe Grüße!
S!equenz
Wundervoll.
Hab grad gesehen das Hopfenschlodel die Registration wieder geöffnet hat.
yo den Hack gibts da noch.
Auch wenn da nirgends steht wie genau der verschlüsselt, oder doch?
Sevenup du liest hier doch öfter? Sag mal an...
Malfrosch
Nun, da der Schlüssel zum Entschlüsseln der Nachricht auf dem gleichen Server liegt bzw. liegen muss, kann ich, wenn ich Datenbankzugriff habe, die Nachrichten immer noch lesen. Sinn?
S!equenz
Malfrosch, das klingt als wüsstest du mittels welcher Methode
die den Text verschlüsseln?
Helmchen
In erster Linie frage ich mich, warum mehrere Personen Zugriff auf deine Datenbank haben ?
Für reguläre [das Forum verwaltende] Teammitglieder besteht dafür überhaupt keine Notwendigkeit -_-#
S!equenz
Die bauen halt warscheinlich Hacks ein... (nehm ich jetzt mal an.)
Schrimm
| Zitat: |
Original von Malfrosch
Nun, da der Schlüssel zum Entschlüsseln der Nachricht auf dem gleichen Server liegt bzw. liegen muss, kann ich, wenn ich Datenbankzugriff habe, die Nachrichten immer noch lesen. Sinn? |
Ob der Schlüssel für die Entschlüsselung auf dem Server liegt oder nicht, tut eigentlich nichts zur Sache.
Die Frage ist nur, wie er auf dem Server liegt.
Man könnte Beispielsweise den Schlüssel für jeden Benutzer selbst erstellen und verschlüsselt auf dem Server speichern, wie es mit den Benutzerpasswörtern funktioniert.
Eventuell eine Kombination aus Passwort + Benutzernamen, der dann verschlüsselt in der Datenbank steht, da man sonst immer den Benutzer selbst um den "Schlüssel" fragen müsste...
Stimmt also der Schlüssel, der nun beim Lesen der Nachricht übertragen wird mit dem des vom Lesenden übertragenen Schlüssel überein, wird die Nachricht entschlüsselt und sonst nicht.