Im Grund-Skript selbst? Bitte hier mitteilen oder einem Admin/Mod als PN schicken, danke.Zitat von Jenny
(EDIT: achso, VMS 1.1, na dann ;-)
Das Problem ist tatsächlich, dass man das EF Passwort nicht zu 100% absichern kann, es wird für die Schnittstellentranssaktionen in einer verwendbaren Form benötigt, die auch der Angreifer verwenden kann.
KLamm könnte da aufwändigere Dinge anbieten, die will aber dann eh kein Webbi benutzen
Da von vielen Webbis EMailadressen bekannt sind (hoffentlich mind. die im Impressum!) kann man diesen auch einfach massig Trojaner schicken, iwann werden sie schon schwach
Aber, man kann das Ganze natürlich schon weiter absichern:
- Passwort wird im Adminforce nicht angezeigt (auch nicht als type="password", was nur Punkte im Browser anzeigt, aber das Passwort trotzdem im Klartext vorhanden ist
)
- Passwort verschlüsseln
Ob man es nun in der Datenbank speichert oder in einer Datei, ist relativ egal, man weis ja vorher nicht, ob der Angreifer nun Zugriff auf die DB oder FTP bekommt
Zum Verschlüsseln gibt es diverse Methoden, allerdings muss dazu immer ein Schlüssel gespeichert werden, außer der Webbi soll diesen bei jeder Transaktion von Hand eingeben. Damit dieser Schlüssel nicht dem selben Problem wie das EF Passwort unterliegt, muss dieser nicht in der SQL Datenbank und auch nicht über den FTP erreichbar gespeichert werden.
Also nur eine Lösung für Webbis mit root-Zugriff auf ihren Server, und selbst dann ist es noch denkbar, dass der Angreifer einfach die Schnittstellen Datei via gehacktem FTP manipuliert, und dadurch an das Passwort kommt.
Ergo den Großteil der Lose in EF-Tresor, Auszahlungssumme auf der Seite begrenzen und tägl. die EF Transaktionen kontrollieren....
Zitieren