Mod Auth Mysql und Passwortverschlüsselung

Alles, was den Apache betrifft, kann hier besprochen werden.

Mod Auth Mysql und Passwortverschlüsselung

Postby Heini_net » 12. May 2008 16:54

Hi Ihrs,

da das eingegebene Kennwort mit mehreren Salt-Prozeduren verschlüsselt wird, reicht es nicht aus, wenn ich das Verschlüsselungsparameter in der Apache-Konfiguration für Mod Auth Mysql auf SHA1 setze.

Weiss einer ob die Möglichkeit besteht eine SQL Script auszuführen, um das verschlüsselte Passwort vergleichen zu können?
User avatar
Heini_net
 
Posts: 520
Joined: 25. July 2003 15:43
Location: hier

Postby Nobbie » 12. May 2008 18:28

>da das eingegebene Kennwort mit mehreren Salt-Prozeduren verschlüsselt wird

Von wem und warum?

>Weiss einer ob die Möglichkeit besteht eine SQL Script auszuführen, um das verschlüsselte Passwort vergleichen zu können?

Stellt sich die Frage, wieso Du dann nicht gleich ein eigenes PHP-Script für die Authorisierung benutzt? Da könntest Du frei programmieren.

Ob mod_auth MySQL ggf. mit einem Trigger o.ä. zu überlisten wäre, weiß ich nicht (auch mangels exakter Kenntnisse des Umfelds). Aber wenn sowieso schon ein solcher Aufwand betrieben wird, scheint mir ein PHP Script die einfachere Lösung zu sein.
Nobbie
 
Posts: 8772
Joined: 09. March 2008 13:04

Postby Heini_net » 12. May 2008 19:28

Ich benutze Mod_Auth_Mysql um Ordner zu verschlüsseln. Dazu eignet sich dies optimal. Kenne übrigens auch keine PHP-Lösung mit der sich Ordner schützen lassen.

Ich verwende die Benutzerdatenbank vom einem Forum, um einheitliche Benutzeranmeldungen zu verwenden, in der die die Verschlüsselungsprozedur mehrmals hintereinander mit einem Salt-Wert durchgeführt wird.

in ModAuth Mysql könnte man höhstens die crypt() Methode verwenden. jedoch reicht diese nicht aus.

Es müsste daher, wenns geht eine Möglichkeit über individuelle SQL-Statements mit Variablen oder direkt mittels PHP geben.
User avatar
Heini_net
 
Posts: 520
Joined: 25. July 2003 15:43
Location: hier

Postby Nobbie » 12. May 2008 21:03

>Ich benutze Mod_Auth_Mysql um Ordner zu verschlüsseln

Was heißt "verschlüsseln"?? Oder meinst Du einfach nur einen Zugriffsschutz?

>Kenne übrigens auch keine PHP-Lösung mit der sich Ordner schützen lassen.

Mit PHP kann man alles schützen - man muss es nur programmieren. So funktionieren fast alle Forenscripts (beispielsweise).

>in ModAuth Mysql könnte man höhstens die crypt() Methode verwenden. jedoch reicht diese nicht aus.

Warum nicht?
Nobbie
 
Posts: 8772
Joined: 09. March 2008 13:04

Postby Heini_net » 12. May 2008 21:10

Nobbie wrote:>Was heißt "verschlüsseln"?? Oder meinst Du einfach nur einen Zugriffsschutz?

richtig. hatte mich vertan. meinte natürlich nur nen Zugriffschutz.
Nobbie wrote:>Mit PHP kann man alles schützen - man muss es nur programmieren. So funktionieren fast alle Forenscripts (beispielsweise).


Echt ? Dann nenn mir mal eine alternative zu htaccess, mit der man Ordner schützen kann?.

Nobbie wrote:Warum nicht?


Weil die Passwortverschlüsselung in mehreren Schritten geschieht.

beispiel:

Pass = SHA1(Kennwort)
SHAPass1 = Salt+Pass
SHAPass2 = SHA1(SHAPass1)

und dem entsprechen muss diese Prozedur entweder mittels SQL oder PHP gelöst werden, die jedoch von ModAuth MYSQL unterstützt werden muss.
User avatar
Heini_net
 
Posts: 520
Joined: 25. July 2003 15:43
Location: hier

Postby Nobbie » 12. May 2008 21:19

>Echt ? Dann nenn mir mal eine alternative zu htaccess, mit der man Ordner schützen kann?.

Es gibt zig Möglichkeiten. Beispielsweise den zu schützenden Ordner einfach außerhalb von DocumentRoot legen und den Zugriff darauf ohnehin nur mit Hilfe von PHP ermöglichen.

Oder mittels mod_rewrite alle Zugriffe auf einen Ordner auf ein zentrales PHP Script umlenken.

oder oder oder - man kann alles machen, man muss lediglich erreichen, dass PHP die Zugriffskontrolle hat.

>Weil die Passwortverschlüsselung in mehreren Schritten geschieht.

Und warum? Dann ändere das doch auf crypt(), wenn nur diese Methode von mod_auth MySQL unterstützt wird. Wo ist denn das Problem?
Nobbie
 
Posts: 8772
Joined: 09. March 2008 13:04

Postby Heini_net » 13. May 2008 17:28

Das Problem ist ja gerade, dass ich die Datenbankstruktur und Inhalte nicht ändern kann, da dies von einem Forum festgelegt wurde, und die Modifikationen am Forum bei einem Update wieder flöten gehen. Habe aber eine Lösung gefunden. Denn es gibt nämlich die Sourcecodes von Mod Auth Mysql.
User avatar
Heini_net
 
Posts: 520
Joined: 25. July 2003 15:43
Location: hier

Postby Nobbie » 13. May 2008 17:48

>Denn es gibt nämlich die Sourcecodes von Mod Auth Mysql

Womit Du dann auf den aktuellen Apache-Stand festgefroren bist, da Deine Änderungen sicher nicht im Release aufgenommen werden und Du bei jedem Upgrade wieder neu anpassen müßtest

Zudem bist Du dann auch nicht mehr frei in der Wahl des Webservers. Eine reine PHP Lösung wäre um Welten portabler.

Ob das nun die bessere Lösung ist...
Nobbie
 
Posts: 8772
Joined: 09. March 2008 13:04

Postby Heini_net » 13. May 2008 19:26

Die PHP Lösung bringt aber n enormen Aufwand mit sich, da ich einen PHP-Browser entwickeln müsste um mir die Ordner-Inhalte anzeigen zu lasssen.

wozu also PHP verwenden, wenn modAuth Mysql all meine Probleme löst.
User avatar
Heini_net
 
Posts: 520
Joined: 25. July 2003 15:43
Location: hier

Postby Xardas der Dunkle » 13. May 2008 21:01

PHP Browser WTF?
Du blockierst doch nur den Zugriff auf den autoIndex von Apache. Und das der viel kann, kann man ja wohl nicht behaupten.

Er listet nur die Dateien in einem Ordner auf, das ist eine kleine Schleife + Formatierte Ausgabe. Da ist imo das umschreiben von mod_auth_mysql schwerer ... :roll:
User avatar
Xardas der Dunkle
 
Posts: 482
Joined: 09. March 2008 19:40
Location: /var/www

Postby Heini_net » 14. May 2008 05:15

Xardas der Dunkle wrote:PHP Browser WTF?
Du blockierst doch nur den Zugriff auf den autoIndex von Apache. Und das der viel kann, kann man ja wohl nicht behaupten.

Er listet nur die Dateien in einem Ordner auf, das ist eine kleine Schleife + Formatierte Ausgabe. Da ist imo das umschreiben von mod_auth_mysql schwerer ... :roll:


wozu autoindex, wenn der Ordner ausserhalb des öffentlichen Bereichs ist ?

allein mit entferntem AutoIndex und verzeichnis einlesen und 1:1 wiedergeben, macht nicht viel sinn, da man den Link sonst veröffentlichen könnte und von überall zugegriffen werden kann.

Also muss ich den Dateizugriff komplett mit PHP lösen.

und mein Verzeichnis hat mehrere Unterordner. somit reicht eine einfache Liste nicht.

in diesem Falle ist eine gepatchte mod_auth_mysql file wesentlich einfacher.
User avatar
Heini_net
 
Posts: 520
Joined: 25. July 2003 15:43
Location: hier

Postby Nobbie » 14. May 2008 13:12

Heini_net wrote:in diesem Falle ist eine gepatchte mod_auth_mysql file wesentlich einfacher.


Ne. Das ganz sicher nicht. Und Du hampelst ja jetzt schon herum, nur die Windows Version anzupassen.

Was machst Du denn, wenn das Forum mal auf einen öffentlichen Hoster umziehen soll und dann auch noch mit Linux und anderem Apache Stand?

Deine Lösung ist keine Lösung, sondern ein Hack. Damit wirst auf Dauer nicht glücklich, wenn Du es überhaupt jemals schaffst.

Was ich am ganzen Projekt nicht verstehe, offensichtlich wollt Ihr HTTP als schlechten Ersatz für FTP benutzen?! Das ist doch schon schräg.
Nobbie
 
Posts: 8772
Joined: 09. March 2008 13:04

Postby Heini_net » 14. May 2008 13:54

ne allein für Dateidienste wird htaccess nicht verwendet.

Ich verwende htaccess z.b. auch zum Zugriffsschutz für webalizer oder Phpmyadmin. dies lässt sich z.b. schlecht in PHP realisieren.. oder soll ich etwa PHP als Proxy verwenden ??? :roll:
User avatar
Heini_net
 
Posts: 520
Joined: 25. July 2003 15:43
Location: hier

Postby Xardas der Dunkle » 14. May 2008 14:35

Da stellt sich die Frage, was haben die Forennutzer auf dem Webalizer und PHPMyAdmin zu suchen?

Zudem ist PHPMyAdmin bereits über PHP und MySQL gesichert x_X. Und wenn nun die Benutzer dort Zugänge haben sollen, würde ich es eh eher so machen, das ich für jeden Benutzer einen MySQL-Acc anlege, das hat den Vorteil, das nicht alle gleich volle root-Rechte haben.
User avatar
Xardas der Dunkle
 
Posts: 482
Joined: 09. March 2008 19:40
Location: /var/www

Postby Heini_net » 14. May 2008 15:18

Xardas der Dunkle wrote:Da stellt sich die Frage, was haben die Forennutzer auf dem Webalizer und PHPMyAdmin zu suchen?

Zudem ist PHPMyAdmin bereits über PHP und MySQL gesichert x_X. Und wenn nun die Benutzer dort Zugänge haben sollen, würde ich es eh eher so machen, das ich für jeden Benutzer einen MySQL-Acc anlege, das hat den Vorteil, das nicht alle gleich volle root-Rechte haben.


Ist natürlich selbstverständlich, dass die Forennutzer, die der Gruppe "Administratoren" angehören zugriff auf Phmyadmin und Webalizer haben. Da ich im Internet öfters über Schwachstellen und Angriffe auf PhpMyAdmin gelesen habe, lasse ich lieber gleich den ganzen Ordner mit schützen. Des weiteren nutze ich noch weitere Dienste / Ordner, die geschützt werden sollen und dies nicht mit Php so pauschal gelöst werden kann.
User avatar
Heini_net
 
Posts: 520
Joined: 25. July 2003 15:43
Location: hier

Next

Return to Apache

Who is online

Users browsing this forum: No registered users and 3 guests