Das verstehe ich leider auch nicht.. Da muss Torsten schauen was los ist..
-
-
Hhmmm, das ist mir gestern auch schon aufgefallen. Ich schau mal was los war
-
-
Display More
Die Frage wurde schon mal gestellt.
Es macht doch keinen Sinn Passwörter mit einem aufwendigen Verfahren zu verschlüsseln, wenn Dein Server so oder so schon komprementiert wurde.
Dann hat der Angreifer schon Dein Root-DB Passwort und wird die verschlüsselten Passwörter ohne Probleme entschlüsseln.
Wenn es um den Aspekt Sicherheit geht, suchst Du definitv an der falschen Stelle.
Das gilt auch für die Raw-Passwörter!Moin Cry,
naja Sinn macht es schon alle Passwörter zu verschlüsseln, da leider auch i-mscp nicht vor XSS und Injections befreit ist. Klar der PDO nimmt schon vieles wech, leider ist es mir gelungen trotz PDO ein Dump der i-mscp zu bekommen und dann wären verschlüsselte Passwörter echt von Vorteil. Gerade wenn man in DE an den BDSG denkt und die damit verbunden schmerzlichen Strafen.
Aber Gut die Eingangsfrage:
@TO
Versuch doch mal das Passwort zu verschlüsseln oder auf einer Testumgebung scherzhalber die die RAW Spalte zu löschen. ja ich weis die Abfrage muss angepasst werden
und vom rest lass dich überraschen.l.G.
-
Moin Cry,naja Sinn macht es schon alle Passwörter zu verschlüsseln, da leider auch i-mscp nicht vor XSS und Injections befreit ist. Klar der PDO nimmt schon vieles wech, leider ist es mir gelungen trotz PDO ein Dump der i-mscp zu bekommen und dann wären verschlüsselte Passwörter echt von Vorteil. Gerade wenn man in DE an den BDSG denkt und die damit verbunden schmerzlichen Strafen.
Na wenn Du schon solch eine Aussage machst, dann liefere mir mal bitte eine solche Injection um das zu testen.
Ich will nicht behaupten das es befreit ist, aber bis heute habe ich noch keine Informationen darüber bekommen, das so eine Lücke existiert. Und glaub mir das würde im Internet ganz schnell die Runde machen! -