In Sachen Security-Skript

Was sollte alles noch in XAMPP rein? Was kommt definitiv bald? Was kommt so bald wie möglich, dauert nur noch etwas? Was kommt wahrscheinlich nicht rein?

In Sachen Security-Skript

Postby achim » 03. April 2004 17:29

Hallo, Apachefriends!

Ich hätte da noch einen kleinen Wunsch, der das Problem von vielen Apachefriends löst, denn schaut man sich hier im Formum um, dann wird dieses Problem immer wieder angesprochen.

Nachdem man das Security-Skript startet, geht die Kommunikations mit mySQL nicht mehr! Man muss erst mal wieder manuell nachbessern und Einstellungen überarbeiten, zumindest, wenn man XAMPP neu installiert.

Ich würde mir wünschen, dass das Security-Skript ALLE Passörter setzt, die erforderlich sind, damit die Kommunikation mit ALLEN Anwendungen funktioniert, und man nicht hinterher noch irgendwo rumfummeln muss. Das Skript setzt so viele Passwörter, warum nicht auch das für mySQL und phpmyadmin?

Ich habe mir das neueste XAMPP installiert und anschließend das Security-Skript gestartet. Ergebnis: Kein Zugriff auf den mySQL-Server und komme jetzt nicht weiter, weil ich nicht weiß was ich tun muss.

Jetzt muss ich mich erst mühselig durch die ganze Dokumentation und durch das Forum wühlen, um einen Lösungsvorschlag zu finden, aber wo? Das dauert sicherlich wieder Stunden, die ich viel sinnvoller mit dem Lernen von XAMPP und dessen Software-Komponenten verbringen könnte.

Überigens, wer einen Tipp hat, wie ich jetzt wo welches Passwort setzen muss, damit ich weiter komme, den bitte ich um Hilfe. Danke!

Gruss, Achim
achim
 
Posts: 85
Joined: 27. March 2004 08:48
Location: Berlin

Postby Kristian Marcroft » 04. April 2004 09:08

Hi,

schau mal unter /opt/lampp/phpmyadmin

Da findest du eine datei namens: config.inc.php
Dort wird der User und das Passwd für mysql hinterlegt.

Das es "Standardmässig" durch das Security Script umgestellt werden soll ist ein Sicherheitsrisiko.

Man sollte eher in der config.inc.php den AuthType von config auf cookie oder http setzen. erst dann ist phpMyAdmin wieder sicherer.

Aber die Lösung hast du ja jetzt.
Wird aber definitiv nicht ins security script mit aufgenommen.

So long
KriS
User avatar
Kristian Marcroft
AF Moderator
 
Posts: 2962
Joined: 03. January 2003 12:08
Location: Diedorf

Postby achim » 04. April 2004 09:45

Hallo, KriS!

Danke für deinen Tipp.

Ich stehe weiterhin zu meinem Hinweis. Mit dem Security-Script werden mehrere Passwörter abgefragt und gesetzt. Es wäre konsequent, ALLE erforderlichen Passwörter durch das Security-Skript setzen zu lassen. So hätte man dann schon einmal Sicherheit aktiviert und alles läuft. Das wäre doch zumindest eine gute Ausgangsbasis. Sonst wird es immer wieder Frust bei vielen Apacheriends geben!

Übrigens, dass Security-Script halte ich überhaupt für ein gutes Tool, um Passwörter regelmäßig neu zu setzten! Wo durch dieses Script ein Sicherheitsrisiko entstehen soll, kann ich nicht erkennen, zudem das Skript die Passwörter nirgendwo zwischenspeichert.

Im Gegenteil, viele Anwender meiden die Passwortverwaltung und -aktualisierung, weil sie befürchten, dass hinterher nichts mehr geht, und sie keinen Zugriff mehr auf ihrem System haben. Ein erweitetes Securty-Skript halte ich deswegen für ein Sicherheitsplus!

Gruss, Achim
achim
 
Posts: 85
Joined: 27. March 2004 08:48
Location: Berlin

Postby Kristian Marcroft » 04. April 2004 09:52

Hi,

mit dem sicherheitsscript setzt du ein ein root Passwd für mysql.
Das Script an sich ist nicht die sicehrheitslücke.
Die sicherheitslücke liegt darin, das ein User sich Sicher fühlt, wenn er das sicherheitsscript ausgeführt hat.
Wird allerdings das Passwort in der config.inc.php mit geändert, hat jeder vom internet vollen zugriff auf deine mysql Datenbanken, da phpmyadmin das rootpasswort von mysql verwendet.

Toll jetzt funktioniert zwar wieder phpmyadmin, allerdings war/ist das Passwort das ich gesetzt habe völlig sinnlos, da jeder über phpmyadmin OHNE passwortabfrage in die mysql DBs reinschaun kann, löschen kann verändern kann etc. pp.

Also wo hier sicherheit sein soll? KA.
Wenn der User selbst erstmal was einstellen muss, weiss er 1. was er eingestellt hat. 2. weiss er das es nun sicher ist.

Ein Passwort setzen und es dann in einem Script hinterlegen, mit dem ich mysql Administriere ohne Passwort abfrage, ist genau so gut wie kein Passwort setzen.

So long
KriS
User avatar
Kristian Marcroft
AF Moderator
 
Posts: 2962
Joined: 03. January 2003 12:08
Location: Diedorf

Postby achim » 04. April 2004 10:38

Hallo, KriS!

Wenn man das Security-Skript startet, ist mam sowieso als admin unterwegs. Während das Skript durchläuft, notiert man sich hoffentlich die Passwörter, die man vergibt.

Aber das eigentliche "Problem" scheint mir, Du siehst das Skript aus Admin-Sicht und ich eben eher aus Anwendersicht, der Furcht, dass ich möchlicherweise mal wieder keinen Zugriff habe, nur weil es mit der Passwortvergabe und -aktualisierung irgendwelche Probleme gab.

Ich danke Dir für deine Ausführungen und weiß jetzt, dass es keine Skript-Erweiterung gibt. Eigentlich schade. Das Skript könnte ohne großen Aufwand so toll sein.

Gruss, Achim
achim
 
Posts: 85
Joined: 27. March 2004 08:48
Location: Berlin

Postby Kristian Marcroft » 04. April 2004 10:56

Hi Achim,

das mit der Admin sicht kommt wohl daher, das wir uns ja egdanken machen müssen wie wir den Usern also auch dir einem möglichst geringem Risiko aussetzen.

Sicherheit geht nunmal vor.
Was bringt es dir ein Forum oder ähnliches zu installieren und du meinst alles ist sicher weil du das "security" Script ausgeführt hast, und hinten rum kommt ein kleines Kind und macht dir alles kaputt?

Weil selbst kleine Script-Kiddies kommen auf solche ideen.
Ich bin jetzt mal zu google.de habe xampp und phpmyadmin als Suchwort angegeben und folgendes gefunden:
http://pph103.uni-muenster.de/xampp/phpmyadmin.html
So würden wir z.B. via security script in phpmyadmin das passwort ändern, hätte ich nun vollen zugriff auf seine mysql Datenbanken. OHNE Passwort abfrage. ist das Sinnvoll? Würdest du es gut finden wenn du davon keine Ahnung hast? das jemand in deinen Datenbanken rumschnüffelt? Vielleicht hast du 1 Master passwort das du für alles verwendet (es gibt solche Leute) dann habe ich für sämtliche logins von dir ein Passwort.

Also sicherheit gleich null.
Ich hoffe du verstehst das? mir gehen langsam die erklärungen aus :)

So long
KriS
User avatar
Kristian Marcroft
AF Moderator
 
Posts: 2962
Joined: 03. January 2003 12:08
Location: Diedorf

Postby quizzmaster » 17. May 2004 19:52

Ich sag dazu jetzt auch mal was:

Wenn man dort ein Passwort für den Xampp ordner vergibt wird phpmyadmin auch gesichert, also wo ist da das Risiko?

Vielleicht ist das bei der Windowsversion nicht der Fall, aber bei Linux.

und da ich nicht den Bildschirm umstäpseln konnte musste ich per Shell und vi (mit dem ich mus überhaupt nicht auskannte) die Dateien selber nachbessern.

Da hatte ich viel mehr Frust dabei.
greetz
quizzmaster

"Ich weiss, dass ich nichts weiss, aber ich weiss mehr als die, die nicht wissen, dass sie nichts wissen." Sokrates
quizzmaster
 
Posts: 28
Joined: 06. February 2004 15:06


Return to XAMPP-Wunschzettel

Who is online

Users browsing this forum: No registered users and 5 guests