Scoutnet vzw

We connect scouts!
Het is momenteel 16 Nov 2024 7:28

Alle tijden zijn UTC + 1 uur




Plaats een nieuw onderwerp Reageren op dit onderwerp  [ 5 berichten ] 
Auteur Bericht
BerichtGeplaatst: 27 Dec 2003 20:50 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 08 Sep 2003 23:00
Berichten: 72
Woonplaats: Leuven
Aloha,

in een poging om het mysql password van onze account te beschermen wilde ik de file DBconnect.php (een script dat een connectie met de database legt) chowner naar de group apache zondat ik de read permissies van all kan afzetten (chmod a-r DBaccess.php dus) omdat group-read-access dan zou volstaan. Maar :

[20:46:54]sn0814@leeuwarden ~/development/www $ chown :apache classes/DBconnect.php
chown: changing group of `classes/DBconnect.php': Operation not permitted
[20:49:12]sn0814@leeuwarden ~/development/www $ chgrp apache classes/DBconnect.php
chgrp: changing group of `classes/DBconnect.php': Operation not permitted

achteraf gezien misschein wel logisch :-)

daarmee: hoe beschermen jullie julie paswoorden die in files opgeslagen zitten?

groetjes,
BBBart


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 28 Dec 2003 0:22 
Offline
Site Admin
Site Admin
Gebruikers-avatar

Geregistreerd: 17 Jul 2002 23:00
Berichten: 1522
Woonplaats: Wetteren
Is dat eigenlijk nodig?

Bij ons steken de gegevens voor database-connectie in één php-bestand dat via een include op de andere pagina's wordt opgevraagd. Daar php server-side is, dacht ik dat dit veilig was, aangezien niemand de waarde van de variabele kan opvragen, of wel?

(mja, ik bedenk nu net dat je als *hacker* misschien wel een en ander kan uitproberen door jouw connectie-gegevens te includen in een eigen pagina, en dan de juiste variabelen (namen) weet op te vragen - maar da's dan weer tegen te gaan door na je verbinding via mysql_connect je waardes van die variabelen te resetten)

Om even concreet te worden: dit staat in onze file met connectiegegevens:

Code:
<?php //merk op dat je deze php-open- en sluit-tags moet plaatsen om te voorkomen dat je de code zou kunnen uitlezen als tekst

$naam = "snXXXX";
$wachtwoord = "XXWACHTWOORDXX";
$host = "localhost";

$db = "snXXXX";

mysql_connect($host,$naam,$wachtwoord) or die ("Error blablabla.");
mysql_select_db($db);

// om het hackers moeilijk te maken, zou ik hier iets kunnen invoegen als $wachtwoord = "fout"; waardoor je die variabele niet meer juist kan opvragen

?>

Of is deze werkwijze toch niet heel veilig?

To


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 28 Dec 2003 1:43 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 30 Jul 2002 23:00
Berichten: 209
Woonplaats: Kortrijk, Gent, Antwerpen
Ik denk mee met To.

Vroeger stond dit bij ons in een include-bestand zonder <?php blabla ?> wat natuurlijk niet veilig was. Nu is het ook ongeveer zoals bij To.

Stel dat php om een of andere reden niet meer werkt op de server, dan kan men in principe dat bestand met inloggegevens opvragen.

Daarom gebruik ik nog eens een niet voor de hand liggende naam en plaats om dat bestand te zetten. Als je gebruik maakt van toepassingen als phpBB en phpNuke kan in principe iedereen weten waar jouw gegevens staan. Als php dan om een of andere reden niet werkt zitten ze onmiddellijk op de juiste plaats te zoeken.

De vraag is nu alleen of het mogelijk is dat php niet werkt terwijl er wel bestanden opgevraagd kunnen worden.


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 28 Dec 2003 12:04 
Offline
 
 
Gebruikers-avatar

Geregistreerd: 08 Sep 2003 23:00
Berichten: 72
Woonplaats: Leuven
hmja, misschien ben ik wel te paranoia, maar je weet nooit :-)

In ieder geval, die <?php dingetjes ?> stonden er al rond uiteraard en ik vind die truuk van To met het resetten van die values in die variabelen wel lollig, dat plaats ik er nog even bij.

Dan moet het maar volstaan, je moet de problemen niet oplossen voor ze zich voordoen hee :-)

groetjes,
BBBart


Omhoog
 Profiel  
 
 Titel:
BerichtGeplaatst: 31 Dec 2003 16:46 
Offline
 
 

Geregistreerd: 29 Dec 2003 0:00
Berichten: 10
Woonplaats: Brussel
een beetje paranoia kan nooit kwaad...
Zie deze URL
http://www.sklar.com/page/article/owasp-top-ten
Dit document verbindt de OWASP top 10 insecurities met PHP en hoe deze te vermijden via doordachte PHP code.
OWASP is een organisatie die zich bezighoudt met na te gaan hoe 'secure' open source code wel is. Voor meer informatie over de top 10:
http://aleron.dl.sourceforge.net/source ... rsion1.pdf

Het is misschien niet allemaal van toepassing op jouw site maar de 2 en 6 zijn toch enkele dingen waarmee je moet rekening houden als een passwoord beveiligde pagina hebt en dingen opslaat in een database. 1 is een discussie-punt... want als je goed script ga je in je script steeds een variabele die je doorgegeven worden initialiseren waarmee de kous af is bij de discussie of je dit register_global in de php.ini nu op on of off moet staan.


Omhoog
 Profiel  
 
Berichten weergeven van de afgelopen:  Sorteer op  
Plaats een nieuw onderwerp Reageren op dit onderwerp  [ 5 berichten ] 

Alle tijden zijn UTC + 1 uur


Wie is er online?

Gebruikers in dit forum: Geen geregistreerde gebruikers en 8 gasten


U mag geen nieuwe onderwerpen plaatsen in dit forum
U mag geen reacties plaatsen op onderwerpen in dit forum
U mag uw berichten niet wijzigen in dit forum
U mag uw berichten niet verwijderen in dit forum
U mag geen bijlagen plaatsen in dit forum

Zoeken naar:
Ga naar:  
Powered by phpBB® Forum Software © phpBB Group
Vertaald door phpBBservice.nl.