mySQL - funktionen PASSWORD()

[TicoRoman]

Angående funktionen PASSWORD() i mySQL:

 

1. Tycker ni att den ska användas?

2. Hur fungerar krypteringen? Verkar vara någon form av black-box, som md5?

3. Antar att man inte kan få tillbaka lösenordet i klartext, om påståendet i fråga 2 stämmer?

 

4. Vad är det för mening med att lagra krypterade lösenord i databasen? Om någon kommer åt innehållet i databasen så har han ändå tillgång till allt oavsett om han kan se lösenordet i klartext eller inte.

 

 

 

Almir - ...

____________________________________________________________

-Läser Programmet för Informatik med Systemvetenskap på MDH, Västerås.-

 

[inlägget ändrat 2002-12-28 08:11:21 av TicoRoman]

[Gunnar Dahlström]

En del svar:

 

1) Varför inte, om man behöver lagra lösenord i databasen så bör man nog kryptera dessa på något sätt.

 

2, 3) Vet inte vilket system dom använder för att kryptera, titta på www.mysql.com och se om du kan hitta något.

 

4) En motfråga: "vad är det för mening med att kryptera lösenorden i windows/unix har man väl kommit in så kan man se allt ändå"?

 

Nej, man kommer inte åt allt OM hela säkerhetstänkandet är riktigt. En bra början är att kryptera lösenord, men sedan måste man sätta rättigheter på användarnivå också på databaserna så att endast specifika användare kommer åt resp. databas.

 

/red: varför följer inte "rubriken" med när man besvarar en fråga?

[inlägget ändrat 2002-12-28 10:27:12 av Gunnar Dahlström]

[TicoRoman]

2, 3) Vet inte vilket system dom använder för att kryptera, titta på www.mysql.com och se om du kan hitta något.

Kunde inte hitta något där.

Nej, man kommer inte åt allt OM hela säkerhetstänkandet är riktigt...

I det här fallet handlar det om ett community och lösenorden som ska sparas är inloggningslösenord till denna.

 

Vad jag menade med om man kommer åt de krypterade lösenordet så kommer man ändå åt allt, är att alla ändringar en inloggad användare kan göra sparas i databasen (tex gästboksinlägg, dagboksinlägg osv...).

 

Så har man väl kommit åt tabellerna så kan man ju därifrån lägga in diverse inlägg, utan att behöva logga in via webbgränssnitt som en vanlig användare.

 

Vad gäller säkerhetstänkandet, så är det något som webbhotellet står för.

 

 

Almir - ...

____________________________________________________________

-Läser Programmet för Informatik med Systemvetenskap på MDH, Västerås.-

 

[Thomas Tydal]

> 1. Tycker ni att den ska användas?

 

Inte i andra applikationer. Den används ju internt av Mysql.

 

 

> 4. Vad är det för mening med att

> lagra krypterade lösenord i

> databasen?

 

Många användare har samma namn och lösenord på flera olika ställen. Skulle du lagra lösenorden i klartext och ha många användare så skulle det bli bingo för personen som får tag i dem, om man så säger.

 

 

[TicoRoman]

Många användare har samma namn och lösenord på flera olika ställen. Skulle du lagra lösenorden i klartext och ha många användare så skulle det bli bingo för personen som får tag i dem, om man så säger.

Så långt tänkte inte jag. Poäng för det!

 

 

Almir - ...

____________________________________________________________

-Läser Programmet för Informatik med Systemvetenskap på MDH, Västerås.-

 

[Gunnar Dahlström]

Jo, men då ser dom lösenorden och kan posta inlägg som andra användare än sig själv.

 

Sedan är det precis sim Thomas Tydal skriver många använder samma lösenord på flera ställen.

 

När det gäller säkerhetstänkandet så bör du inte lita på någon annan, du bör tänka igenom det själv också. Speciellt hur du har det i dina databaser/script/program, det är inget som din ISP har tid med att sitta och gå igenom, däremot om du byggt det utan säkerhet så att det missbrukas så brukar ISP'n ha sådana avtal så att dom kan spärra dina sidor/databaser.