config.php kódólás.

**TLoF** · 2009-12-27, 18:17

Pont a config file-t nem kódolnám sehogy. A db-hez csatlakozáshoz, igyis - úgyis vissza kell fejteni, és az egész csak hamis biztonság érzetet ad.

Ha az a cél, hogy a tárhelyeden keresztül ne jussanak be a db-be, akkor rossz módon közelited meg a problémát. A fő cél az, hogy a tárhelyedre ne jussanak be.

**mallee** · 2009-12-27, 19:32

rendszergazda eredeti hozzászólása

Sajnos a mysql ilyen, az adatbázisban már hash-elt jelszavakat tárol, de a connect-hez plaintext kell, amit a kliens átalakít, és azt küldi már tovább.

De ha belegondolsz, a jelszavas belépések (ssh, ftp, htpasswd, etc.) általában ilyenek, a jelszavak kódoltan vannak eltárolva, de belépésnél neked az eredeti "plaintext" jelszót kell megadnod.

Nem az a lényeg, hogy amikor bepötyögöd, akkor plaintext-e (jó igen, keylogger elviszi..), hanem hogy a hálózati csatornán ne plaintextként menjen. De ha hash-eket is lehetne megadni, a keylogger azt is lehúzza és akkor is ki lehet generálni (kivéve, ha salt is játszik, de akkor meg a hálózati forgalom lehallgatása a nyerő)

Amúgy egyszerű mégis jó megoldás lehet, ha valamilyen szimmetrikus kulcsos titkosítási módszerrel titkosítod a fájlt/jelszavakat és a kulcs pedig mondjuk a domain neve (vagy asszimetrikus és akkor ott lehet játszadozni, hogy mi a titkos és mi a nyílt kulcs).
Nyilván aki kicsit is ért a témához, annak nem gond a fejtés, viszont így megoldható, hogy csak XY domainen működjön (sajnos több domainre nem alkalmazható) és a kulcs is kéznél van.
Ám a titkosítás nagy forgalmú oldalnál halálos.