E-Mail Passworte in der Datenbank

Startseite Foren Entwicklung: Wünsche und Anregungen E-Mail Passworte in der Datenbank

Verschlagwortet: , ,

2 Beiträge anzeigen - 1 bis 2 (von insgesamt 2)
  • Autor
    Beiträge
  • 25. November 2014 um 14:22 #887
    krueschi
    Teilnehmer

    Hallo,

    vorweg: Zwar teste ich erst seit ein paar Tagen, finde das Programm aber schon ziemlich gut. Zumindest vorerst als Parallel-Lösung neben meiner eigenen file-basierten Lösung werde ich ab 2015 einen Feldtest starten.

    Aber: Ich habe festgestellt, dass nicht nur das in der Installationsanleitung beschriebene MySQL Passwort in der Konfigurationsdatei unverschlüsselt steht, sondern auch das Passwort / die Zugangsdaten für den E-Mail Account, der im Client konfiguriert werden kann.
    Wäre es möglich, das DB-Feld zumindest mit mcrypt oder bcrypt vor „neugierigen“ Blicken zu schützen?

    Andernfalls ist die – sonst sehr nützliche – E-Mail Funktion leider praxisuntauglich.

    Gruß
    Christian

    25. November 2014 um 20:30 #890
    j-lawyer.org
    Administrator

    Hallo Christian, danke für das Feedback!

    Eine Verschlüsselung der Passwörter in der Datenbank wird es mit Version 1.7 geben (die stehen in keiner Konfigurationsdatei).

    Eine Verschlüsselung des Datenbankpasswortes ist mit „Bordmitteln“ machbar, aber nicht ganz trivial. Ich suche hier noch nach einer EINFACHEN Möglichkeit, die die Komplexität vor dem Anwender „versteckt“. Bei Interesse kann ich einen Link mit Anleitung zur Verfügung stellen.

    Ich verstehe die Bedenken voll und ganz, möchte aber die Einschätzung „praxisuntauglich“ nicht teilen. Grundsätzlich sollte der Server, d.h. das physische Gerät, auf welchem der j-lawyer Server läuft, abgesichert sein. Sobald ein nicht authorisierter Nutzer dort Zugriff hat, gibt es eine ganze Palette an Angriffspunkten auch jenseits vom darauf installierten j-lawyer (Dateisystem, Ausführen von Skripten oder Installation von Software, …). Wer – auf welchem Weg auch immer – sich auf einem Gerät einloggen kann, kann Dateien kopieren und hat dann alle Zeit der Welt, die Daten auszuwerten / zu entschlüsseln, …
    Ein gut abgesichertes Betriebssystem ist daher die allererste und wichtigste „Verteidigungslinie“.

    Beste Grüße,
    Jens
    (j-lawyer.org)

  • Autor
    Beiträge
2 Beiträge anzeigen - 1 bis 2 (von insgesamt 2)
  • Du musst angemeldet sein, um zu diesem Thema eine Antwort verfassen zu können.