Pagina 1 van 1
config.php
Geplaatst: 20 dec 2004, 14:19
door beursstarter
Als ik in mijn config.php kijk zie ik daar de gebruikersnaam en wachtwoord van de database in plain text staan. Is dit niet gevaarlijk en kan die niet beter gedecrypt zijn, zoals dit ook met de toegangscodes van users in de database het geval is?
Geplaatst: 20 dec 2004, 14:24
door eXo
probeer hem maar is met je browser te openen
Kan je niet bij, php is serverside.
Alhoewel bij mij niet
Geplaatst: 20 dec 2004, 14:41
door beursstarter
Dat klopt, maar ik begreep dat het met de exploit mogelijk is om bestanden op de webserver te bekijken, wijzigen of toe te voegen en dan is het voor een hacker een koud kunstje om het wachtwoord van de database te achterhalen.
Dan zijn de problemen groter dan wanneer hij/zij niet in de database kan komen. Dat is simpel te voorkomen door het wachtwoord te encrypten.
Geplaatst: 20 dec 2004, 15:15
door Luuk
Dan moet je wel op de plaats van de database connect het wachtwoord weer decrypten.
Geplaatst: 20 dec 2004, 15:17
door ElbertF
Als phpBB met een gecodeerd wachtwoord gegevens uit de database kan ophalen en wijzigen, kan een hacker dat ook. Dus dat zou helemaal niets uitmaken.
Geplaatst: 20 dec 2004, 15:20
door beursstarter
Waarom wordt het wachtwoord van een gebruiker in de database dan wel gedecrypt?
Geplaatst: 20 dec 2004, 15:22
door Luuk
Dat wordt niet gedecrypt. Wachtwoorden zijn md5 gecodeerd en dat kun je niet decoderen.
Het opgegeven wachtwoord bij inloggen wordt gecodeerd vergeleken met hetgene wat in de database staat.
Geplaatst: 20 dec 2004, 15:24
door superman5000
en dat is weer omdat anders iemand met een sniffertje ze kan onderscheppen?
Geplaatst: 20 dec 2004, 15:26
door Luuk
Ze staan gecodeerd in je database zodat niemand je wachtwoord kan achterhalen, ook de admin (en hackers dan zowiezo) niet.
Geplaatst: 20 dec 2004, 15:27
door ElbertF
Op die manier kunnen ze niet uit de database opgehaald worden. En in tegenstelling tot de DB gegevens, staan wachtwoorden van gebruikers nergens hardcoded.
Re: config.php
Geplaatst: 20 dec 2004, 18:12
door mosymuis
beursstarter schreef:Als ik in mijn config.php kijk zie ik daar de gebruikersnaam en wachtwoord van de database in plain text staan. Is dit niet gevaarlijk en kan die niet beter gedecrypt zijn, zoals dit ook met de toegangscodes van users in de database het geval is?
Met de laatste phpBB exploit in 2.0.10 is dat inderdaad mogelijk, het is dan ook niet voor niets dat wij iedereen dringend adviseren om up te graden. De laatste truc in PHP van afgelopen donderdag maakt het mogelijk om, met wat kennis van C++, de config te bekijken, maar dit is opnieuw tegen te gaan door de laatste versie van de software te gebruiken.