config.php

beursstarter · Bericht door **beursstarter** » 20 dec 2004, 14:19

Als ik in mijn config.php kijk zie ik daar de gebruikersnaam en wachtwoord van de database in plain text staan. Is dit niet gevaarlijk en kan die niet beter gedecrypt zijn, zoals dit ook met de toegangscodes van users in de database het geval is?

eXo · Bericht door **eXo** » 20 dec 2004, 14:24

probeer hem maar is met je browser te openen

Kan je niet bij, php is serverside.

Alhoewel bij mij niet Afbeelding

beursstarter · Bericht door **beursstarter** » 20 dec 2004, 14:41

Dat klopt, maar ik begreep dat het met de exploit mogelijk is om bestanden op de webserver te bekijken, wijzigen of toe te voegen en dan is het voor een hacker een koud kunstje om het wachtwoord van de database te achterhalen.

Dan zijn de problemen groter dan wanneer hij/zij niet in de database kan komen. Dat is simpel te voorkomen door het wachtwoord te encrypten.

Luuk · Bericht door **Luuk** » 20 dec 2004, 15:15

Dan moet je wel op de plaats van de database connect het wachtwoord weer decrypten.

ElbertF · Bericht door **ElbertF** » 20 dec 2004, 15:17

Als phpBB met een gecodeerd wachtwoord gegevens uit de database kan ophalen en wijzigen, kan een hacker dat ook. Dus dat zou helemaal niets uitmaken.

beursstarter · Bericht door **beursstarter** » 20 dec 2004, 15:20

Waarom wordt het wachtwoord van een gebruiker in de database dan wel gedecrypt?

Luuk · Bericht door **Luuk** » 20 dec 2004, 15:22

Dat wordt niet gedecrypt. Wachtwoorden zijn md5 gecodeerd en dat kun je niet decoderen.

Het opgegeven wachtwoord bij inloggen wordt gecodeerd vergeleken met hetgene wat in de database staat.

superman5000 · Bericht door **superman5000** » 20 dec 2004, 15:24

en dat is weer omdat anders iemand met een sniffertje ze kan onderscheppen?

Luuk · Bericht door **Luuk** » 20 dec 2004, 15:26

Ze staan gecodeerd in je database zodat niemand je wachtwoord kan achterhalen, ook de admin (en hackers dan zowiezo) niet.

ElbertF · Bericht door **ElbertF** » 20 dec 2004, 15:27

Op die manier kunnen ze niet uit de database opgehaald worden. En in tegenstelling tot de DB gegevens, staan wachtwoorden van gebruikers nergens hardcoded.

mosymuis · Bericht door **mosymuis** » 20 dec 2004, 18:12

beursstarter schreef:Als ik in mijn config.php kijk zie ik daar de gebruikersnaam en wachtwoord van de database in plain text staan. Is dit niet gevaarlijk en kan die niet beter gedecrypt zijn, zoals dit ook met de toegangscodes van users in de database het geval is?

Met de laatste phpBB exploit in 2.0.10 is dat inderdaad mogelijk, het is dan ook niet voor niets dat wij iedereen dringend adviseren om up te graden. De laatste truc in PHP van afgelopen donderdag maakt het mogelijk om, met wat kennis van C++, de config te bekijken, maar dit is opnieuw tegen te gaan door de laatste versie van de software te gebruiken.

config.php

config.php

Re: config.php