|
|
|
|
|
|
Nagetier
Registrierungsdatum: Jan 2007
Beiträge: 761
|
phpbb db weitergeben, unbedenklich?
Da ich ein privates Forum mit einem Forum einer anderen Person kombinieren möchte, sollte ich ihm doch die DB weitergeben, also komplettes DB-Backup.
Könnte man aus der DB Passwörter oder ähnliches vertrauliches auslesen?
Oder könnte man die so definitiv nicht rekonstruieren...?
Vertrauen ist nämlich gut, aber Kontrolle besser 
Danke im Vorraus
|
02. 08. 2007, 19:42
|
#1
|
|
PITA
Registrierungsdatum: Jan 2003
Beiträge: 4.574
|
Re: phpbb db weitergeben, unbedenklich?
Es werden bei phpBB "nur" die MD5-Summen der Passwörter in der Datenbank gespeichert. Diese sind im Moment als ziemlich sicher anzusehen ( http://de.wikipedia.org/wiki/Message-Digest_Algorithm_5).
Leichter wäre es da schon, die vorhandenen MD5-Summen gegen eine MD5-Summe eines bekannten Passwortes auszutauschen und somit Zugriff auf die jeweiligen Accounts zu erhalten.
cu
mathmos
|
|
02. 08. 2007, 21:14
|
#2
|
|
originell
Registrierungsdatum: Jan 2007
Ort: Megadrome 2000
Beiträge: 1.253
|
Re: phpbb db weitergeben, unbedenklich?
Zitat:
|
Zitat von mathmos
Leichter wäre es da schon, die vorhandenen MD5-Summen gegen eine MD5-Summe eines bekannten Passwortes auszutauschen und somit Zugriff auf die jeweiligen Accounts zu erhalten.
|
Zugriff auf die Accounts wird der andere sowieso bekommen, denn ich nehmen mal an er ist auch Admin. Passwort ändern etc. wäre ja dann kein Problem. Aber es geht vornehmlich um die Passwörter der User, und die kann man eher nicht auslesen.
|
|
02. 08. 2007, 21:21
|
#3
|
|
oh?
Registrierungsdatum: Oct 2004
Beiträge: 203
|
Re: phpbb db weitergeben, unbedenklich?
Och, kommt drauf an wie lang das Passwort ist.
Mit 2x Quad-cores geht das Bruteforcen ruckzuck.
|
|
03. 08. 2007, 00:02
|
#4
|
|
gedankenverloren
Registrierungsdatum: May 2003
Ort: wo basecap hängt
Beiträge: 724
|
Re: phpbb db weitergeben, unbedenklich?
personal messages stehen im klartext im dump.
|
|
03. 08. 2007, 00:20
|
#5
|
|
Nagetier
(Threadstarter)
Registrierungsdatum: Jan 2007
Beiträge: 761
|
Re: phpbb db weitergeben, unbedenklich?
Ok, wie kann ich eventuelle PN's schnell aus dem Backup entfernen? Wüsste da jemand ne einfache Methode?
Dass derjenige Zugriff hat auf alle Nutzer usw. ist mir klar. Geht nur darum, dass die Passwörter der jeweiligen User nicht bekannt werden.
|
|
03. 08. 2007, 12:49
|
#6
|
|
Techmin
Registrierungsdatum: Sep 2003
Ort: K-Pax
Beiträge: 5.402
|
Re: phpbb db weitergeben, unbedenklich?
Wenn du einen db dump zb über phpmyadmin ziehst, kannst du bestimmte Tabellen vom Export ausschließen. So könntest du zB die Struktur der pn tabelle übergeben aber eben keine Inhalte.
Evtl hast du ja auch ein "verstecktes" bzw. einem gewissen benutzerkreis vorbehaltenes Forum - dessen Inhalte wären ja dann auch für den anderen Sichtbar.
|
|
03. 08. 2007, 12:55
|
#7
|
|
Mitglied
Registrierungsdatum: Jun 2007
Beiträge: 3
|
Re: phpbb db weitergeben, unbedenklich?
ähm, wie kommt ihr darauf dass md5 sicher sei? viele passwörter kann man mit rainbow tabellen rauskriegen.... ich würd lieber vorher alle md5summen unbrauchbar machen...
|
|
04. 08. 2007, 14:14
|
#8
|
|
PITA
Registrierungsdatum: Jan 2003
Beiträge: 4.574
|
Re: phpbb db weitergeben, unbedenklich?
Mit den Rainbow Tables hast du technisch gesehen Recht. Nur wer besorgt sich solche x Gigabyte große Klötze, wenn er eh schon Vollzugriff auf die ganze Datenbank hat?
Ein Entfernen der Hashwerte bringt in dem Fall doch nichts. Denn was passiert dann? Die Benutzer müssen sich ein neues Passwort zuschicken lassen. So könnte derjenige, der für DerBiber die Arbeiten an der Datenbank und am Board macht, doch einfach die Funktion so umschreiben, dass jedem das selbe Passwort zugeschickt wird. Oder er setzt einen Rainbow Table auf die Datenbank an, nachdem das Board wieder läuft und die Passwörter geändert wurden. Oder er verwendet das Backend von phpBB. Oder verwendet SQL-Statements.
Ich würde sagen eine sichere Lösung für alle Beteiligen kann es in dem Fall nicht geben.
cu
mathmos
|
|
04. 08. 2007, 15:20
|
#9
|
|
oh?
Registrierungsdatum: Oct 2004
Beiträge: 203
|
Re: phpbb db weitergeben, unbedenklich?
Zitat:
|
Zitat von mathmos
Nur wer besorgt sich solche x Gigabyte große Klötze, wenn er eh schon Vollzugriff auf die ganze Datenbank hat?
|
Wieso besorgen? Sowas hat man! 
|
|
04. 08. 2007, 15:47
|
#10
|
|
(Threadersteller)
Registrierungsdatum: Jun 2007
Beiträge: 61
|
Re: phpbb db weitergeben, unbedenklich?
es gibt auch websites die das abgleichen mit rainbowtabels übernehmen... einfach md5 hash rein und man sieht das passwort...
und ein backup der user pass hashes zu machen und die in der DB die man weitergibt auszunullen ist wohl kaum ein problem. phpmysql vereinfacht die sache nochmals...
|
|
09. 08. 2007, 12:19
|
#11
|
|
PITA
Registrierungsdatum: Jan 2003
Beiträge: 4.574
|
Re: phpbb db weitergeben, unbedenklich?
Zitat:
|
Zitat von Wasserablauf
und ein backup der user pass hashes zu machen und die in der DB die man weitergibt auszunullen ist wohl kaum ein problem. phpmysql vereinfacht die sache nochmals...
|
Nochmal. Was bringt das im dem Fall außer einem unnötigen Mehraufwand?
cu
mathmos
|
|
09. 08. 2007, 14:24
|
#12
|
|
|
Alle Zeitangaben in UTC +1. Es ist jetzt 07:52 Uhr.
|
|
