| Author |
Message |
chris_bbg888
uses MSD often
Joined: 28 Jun 2008
Posts: 37
|
 Posted:
2009-06-21, 16:51 htaccess probleme - md5 |
  |
Hallo zusammen,
ich richte den Dumper neu ein. Nun bin ich beim Erstellen eines Verzeichnisschutzes gescheitert. Mit der Methode Crypt funzt alles, mit md5 kann ich zwar ein Passwort erstellen, allerdings nimmt er es nicht an so dass ich bei Unauthorised herauskomme.
Im Passwort sind keine Sonderzeichen.
Mein Problem:
1. Ich will md5 verwenden da crypt laut Wikipedia ziemlich schwach ist
2. Nun habe ich ein md5 Verzeichnisschutz erstellt aber im Dumperzerzeichnis (im ftp-client) erscheint keine htaccessdatei die ich löschen könnte um den dumper vom Passwort zu befreien. Natürlich habe ich auch das Problem dass der Dumper das Passwort bei md5 nicht annimmt.
Vielleicht einen Tipp?
Danke schonmal.
Ach ja habe Linux Server bei all-inkl. htaccess Datein blendet es normalerweise ein (bei Crypt hats ja auch geklappt)
|
|
   |
|
Anzeigen
|
|
Posted:
Anzeigen |
|
|
| |
|
chris_bbg888
uses MSD often
Joined: 28 Jun 2008
Posts: 37
|
|
Posted:
2009-06-21, 17:01 (No subject) |
|
man muss nur drohen.
nun bastle ich da schon seit einer stunde daran. pc neustart und die hat accessdatei war wieder da.
Nun bleibt nur noch 1 Problem:
md5 nimmt er nicht an, auch mit einem passwort wie abcde
es wird eine hataccessdatei erstellt aber der Benutzername & pw wird nicht angenommen.
dankeschön
|
|
| |
|
JayD
Moderator
Age: 50
Joined: 12 Apr 2009
Posts: 1017
Location: Ruhrgebiet
|
|
Posted:
2009-06-21, 18:28 (No subject) |
|
HI,
evtl. verhindert die Server-Konfig. eine MD5 Verschlüsselung.
Im Normalfall reicht aber auch Crypt völlig aus. Sogar einige Forensysteme arbeiten damit.
Davon ab auch hier die Empfehlung, eine aktuelle Dumper-Version zu benutzen. 
_________________
Gruß,
Jörg
Anfragen zu vBulletin, welche nichts mit Datenbanken bzw. dem Dumper zu tun haben, bitte nicht hier sondern im vBulletin-Support-Forum stellen.
Aus technischen Gründen befindet sich der Rest der Signatur auf der Rückseite dieses Beitrags.
|
|
| |
|
chris_bbg888
uses MSD often
Joined: 28 Jun 2008
Posts: 37
|
|
Posted:
2009-06-21, 19:34 (No subject) |
|
Danke für die Antwort. Werde morgen bei meinem Provider nachfragen. Wenn ich Wikipedia glauben darf würde ich nicht auf Crypt http://en.wikipedia.org/wiki/Crypt_(Unix) verwenden. Da wir an einer Community-Plattform arbeiten ist es das letzte dass wir wollen, dass die Datenbank leicht gehackt werden kann.
Wieso aktuelle Version? Ich halte mich von pre-releasen, betha oder alpha Versionen fern Bringt nur Ärger mit sich und funzt meistens noch nicht, oder ist bei Euch ein pre-releas kein pre-releas sondern schon eine Volle Version?
Viele Grüße
|
|
| |
|
JayD
Moderator
Age: 50
Joined: 12 Apr 2009
Posts: 1017
Location: Ruhrgebiet
|
|
Posted:
2009-06-21, 19:52 (No subject) |
|
Sagen wir so: In den aktuellen Entwickler-Versionen sind alle bekannten Bugs gefixed, und sie bringen allesamt eher weniger Probleme als weitere mit sich.
Die 1.22 ist inzwischen mehr als "out of date".
Ich betreue ebenfalls u.A. eine sehr sensibele große Plattform, auf der ich keinesfalls mit Userdaten pokern kann.
Es gab aber nie Probleme, weder durch den Dumper noch eine "normale" Verschlüsselung.
1. Lege den Pfad etwas "kompliziert", so dass er nicht so leicht zu erraten ist.
Dann schütze das Vor-Verzeichnis ebenfalls, nicht nur den Dumper selbst.
2. Regelmäßige technische Pflege der DB.
3. Auch das ACP einer Forensoftware auf jeden Fall per .htaccess/.htpasswd schützen.
4. Auch dessen Pfad umbenennen, die Pfade sind ansonsten allgemein bekannt.
5. eine 100% sichere Verschlüsselungsmethode gibt es nicht, ebenso wenig wie Einbruchschutz. Man kann es immer nur erschweren, nie verhindern.
MD5 ist schon recht stark, aber auch nicht "unknackbar", wenn auch mit enormem Aufwand.
6. Du kannst den Dumper auch problemlos unter eine völlig andere Domain legen, solange die DB-Zugangsdaten ordnungsgemäß eingetragen sind (SQL-User etc.) spielt das keine Rolle. So wäre z.B. der Pfad überhaupt nicht zu erraten.
_________________
Gruß,
Jörg
Anfragen zu vBulletin, welche nichts mit Datenbanken bzw. dem Dumper zu tun haben, bitte nicht hier sondern im vBulletin-Support-Forum stellen.
Aus technischen Gründen befindet sich der Rest der Signatur auf der Rückseite dieses Beitrags.
|
|
| |
|
Shiek
uses MSD regulary
Joined: 19 Jun 2009
Posts: 12
|
|
Posted:
2009-06-21, 21:04 (No subject) |
|
Was verstehst du unter regelmäßiger technischer Pflege der DB?
_________________
Gruß - Shiek
|
|
| |
|
JayD
Moderator
Age: 50
Joined: 12 Apr 2009
Posts: 1017
Location: Ruhrgebiet
|
|
Posted:
2009-06-21, 21:43 (No subject) |
|
Optimieren, Checken und ggf. Reparieren der Tabellen.
Das kann z.B. ein Teil der verfügbaren Forensoftware schon, aber auch alle Programme welche Queries ausführen können (halt auch der Dumper) sowie natürlich per SSH.
Ich mache das teils sogar per selbstgeschriebenem Script, welches ich regelnmäßig per Cron anschubse. So wird es nicht vergessen.
Setzt allerdings voraus, dass der User volle Zugriffsrechte auf eine DB hat, inkl. Tabellen sperren und Allem was dazu gehört.
Dann kann man Vieles automatisieren.
Effekt ist, dass 1. durch die Optimierung unnötige Überhänge vermieden werden und die DB insgesamt kleiner wird/bleibt (etwa vergleichbar mit Defrag) und 2. verhindert man durch halbwegs regelmäßige Repair-Durchläufe Tabellen-Crashes bzw. behebt diese im Ansatz.
Admins berichten immer wieder darüber, mir persönlich sind sie seit vielen Jahren völlig fremd, nicht zuletzt durch diese Methoden der Wartung.
Zwar gibt es mehrere Gründe für Crashes, die Meisten davon aber lassen sich gut vermeiden.
Dann kommt auch das gelegentliche "Ausmisten" in Foren hinzu. Meist hält sich da auch viel unnötiger Schrott auf, der nur die DB belastet.
Weiterhin gehören Binary-Files grundsätzlich in das File-System (heißt nicht umsonst so), nicht in eine Datenbank. Auch das kann man nicht oft genug betonen.
Ok, das gilt jetzt alles allgemein und hat nur bedingt mit dem obigen Problem zu tun, beantwortet aber vielleicht Deine Frage soweit.
Alles in Allem ist Sicherheit immer ein Konglomerat aus mehreren Einzel-Maßnahmen. Das Passwort ist nur ein Bruchteil davon und alleine nie ausreichend sicher.
Je schwerer man "Einbruch" macht, umso besser. Verhindern kann man es grundsätzlich nie ganz.
_________________
Gruß,
Jörg
Anfragen zu vBulletin, welche nichts mit Datenbanken bzw. dem Dumper zu tun haben, bitte nicht hier sondern im vBulletin-Support-Forum stellen.
Aus technischen Gründen befindet sich der Rest der Signatur auf der Rückseite dieses Beitrags.
|
|
| |
|
Shiek
uses MSD regulary
Joined: 19 Jun 2009
Posts: 12
|
|
Posted:
2009-06-21, 22:06 (No subject) |
|
|
| |
|
JayD
Moderator
Age: 50
Joined: 12 Apr 2009
Posts: 1017
Location: Ruhrgebiet
|
|
Posted:
2009-06-21, 23:34 (No subject) |
|
Ja, "Tante Google" hat schon was. 
Lach..den Thread von mir hatte ich schon gar nicht mehr in Erinnerung.
Wie man dort sieht, gab es damals keine fertige Lösung und ich musste selbst "Hand anlegen" (was aber nicht schadet).
Das Script habe ich ja dort geposted und es kann/darf natürlich gerne übernommen werden, evtl. muß man den eingebundenen PHP-Teil auf seine Bedürfnisse noch etwas anpassen.
Da dort im Forum (anders als bei anderen vB-Support-Foren) auch Gastleser die PHP-Codes sehen können, reicht also einfaches herauskopieren aus der Box:
http://www.vbulletin-germany.com/forum/showpost.php?p=240741&postcount=4
Bei Bedarf habe ich das Ganze in 2 Versionen, 1x mit und 1x ohne Repair (also nur Optimize).
_________________
Gruß,
Jörg
Anfragen zu vBulletin, welche nichts mit Datenbanken bzw. dem Dumper zu tun haben, bitte nicht hier sondern im vBulletin-Support-Forum stellen.
Aus technischen Gründen befindet sich der Rest der Signatur auf der Rückseite dieses Beitrags.
|
|
| |
|
|
|
CrackerTracker © 2004 - 2012 CBACK.de
Powered by Orion based on phpBB
© 2001, 2002 phpBB Group
CBACK Orion Style based on FI Theme
All times are GMT + 2 Hours
phpBB SEO
|
