1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Sicherheitslücke: Admin-Passwort für…

Passwort im Klartext in ini Datei?

  1. Thema

Neues Thema Ansicht wechseln


  1. Passwort im Klartext in ini Datei?

    Autor: jankapunkt 06.11.20 - 13:01

    > Dort entdeckte ein Leser des Computermagazins C't eine Ini-Datei, die neben einigen Einstellungen einen Benutzernamen und ein Passwort enthielt.

    Muss man wirklich beim Apache das so machen?

    > Laut Kommentaren war dies für eine Entwicklungsinstanz von Ivena gedacht

    Kann man so etwas nicht auslagern oder anders lösen? Ist das nicht Aufgabe der jew. Anwendung dies zu verwalten?

  2. Re: Passwort im Klartext in ini Datei?

    Autor: trinkhorn 06.11.20 - 13:06

    Mit Sicherheit kann man das anders machen und macht es auch nicht standardmäßig so, desshalb konnte es auch so schnell gefixt werden.
    Von Apache habe ich 0 Ahnung, aber grundsätzlich kenne ich ähnliche Dinge, wenn es zum schnellen testen der Datei über die Datei eingegeben wurde statt übers Frontend, und dann zwischen den Tests nur auskommentiert und am ende so gelassen wurde.

  3. Re: Passwort im Klartext in ini Datei?

    Autor: TheUnichi 06.11.20 - 13:37

    jankapunkt schrieb:
    --------------------------------------------------------------------------------
    > > Dort entdeckte ein Leser des Computermagazins C't eine Ini-Datei, die
    > neben einigen Einstellungen einen Benutzernamen und ein Passwort enthielt.
    >
    > Muss man wirklich beim Apache das so machen?

    Nein, und macht man auch nicht wenn man nur _etwas_ Ahnung besitzt.

    In den Document Root gehören Assets und maximal ein Einstiegspunkt (selbst den kann man sich meistens sparen), von da an überlässt man der App das Routing.

    > > Laut Kommentaren war dies für eine Entwicklungsinstanz von Ivena gedacht
    >
    > Kann man so etwas nicht auslagern oder anders lösen? Ist das nicht Aufgabe
    > der jew. Anwendung dies zu verwalten?

    Hashing ist nicht immer möglich (Beispielsweise hilft es nichts, das Passwort zu deiner Datenbank zu hashen, da die App ja damit verbinden muss), aber mindestens dürfen sensible Daten nicht in Konfigurationsdateien, sondern sollten (in moderner Form) entweder über Environment-Variablen in Containern oder über Passwort-Dienste/Auth-Broker verteilt werden

  4. Re: Passwort im Klartext in ini Datei?

    Autor: xUser 06.11.20 - 17:26

    TheUnichi schrieb:
    --------------------------------------------------------------------------------
    > Hashing ist nicht immer möglich (Beispielsweise hilft es nichts, das
    > Passwort zu deiner Datenbank zu hashen, da die App ja damit verbinden
    > muss), aber mindestens dürfen sensible Daten nicht in
    > Konfigurationsdateien, sondern sollten (in moderner Form) entweder über
    > Environment-Variablen in Containern oder über Passwort-Dienste/Auth-Broker
    > verteilt werden

    Bitte nie über ENV Variablen! Wenn schon, dann als (dynamische) Datei bereitgestellt (Secret). ENV Variablen tauchen gerne mal in Debug/Error Pages sowie in Protokollen auf.

  5. Re: Passwort im Klartext in ini Datei?

    Autor: TheUnichi 08.11.20 - 20:30

    xUser schrieb:
    --------------------------------------------------------------------------------
    > TheUnichi schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Hashing ist nicht immer möglich (Beispielsweise hilft es nichts, das
    > > Passwort zu deiner Datenbank zu hashen, da die App ja damit verbinden
    > > muss), aber mindestens dürfen sensible Daten nicht in
    > > Konfigurationsdateien, sondern sollten (in moderner Form) entweder über
    > > Environment-Variablen in Containern oder über
    > Passwort-Dienste/Auth-Broker
    > > verteilt werden
    >
    > Bitte nie über ENV Variablen! Wenn schon, dann als (dynamische) Datei
    > bereitgestellt (Secret). ENV Variablen tauchen gerne mal in Debug/Error
    > Pages sowie in Protokollen auf.

    In Containern werden nicht einfach so Protokolle geschrieben. Vor allem nicht in der Produktiv-Umgebung.

    Deine Ängste sind recht unbegründet. Eine Datei ist viel anfälliger. Um Leaks muss man sich schon selbst kümmern. Symfony/PHP zeigt z.B. standardmässig im Profiler alle Env-Variablen an. Aber wer hat den Profiler schon auf Prod laufen oder seine anderen Envs nicht hinter einer weiteren Authorisierung? Da wäre der Fehlerpunkt, nicht bei Env-Variablen.

    In containersierten Umgebungen sind Env-Vars oder eben Kubernetes-Secrets (die dann wieder als Env-Vars in den Container gemappt werden) gang und gebe und solange man nicht irgendwo `env` leakt, ist das auch gar kein Problem.

    Rede natürlich auch nicht von globalen, systemweiten Environment-Variablen sondern rein in container-basierten umgebungen, dachte das versteht sich. Diese sind auch auf den Container und dessen _einen_ Vordergrunddienst beschränkt.



    1 mal bearbeitet, zuletzt am 08.11.20 20:31 durch TheUnichi.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Vinci Energies Deutschland ICT GmbH, Münster
  2. über duerenhoff GmbH, Marburg
  3. Hessisches Ministerium der Finanzen, Wiesbaden
  4. über duerenhoff GmbH, Schwalmstadt

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Mobile-Angebote
  1. 819€ (Ebay Plus - Bestpreis)
  2. (u. a. Galaxy S21 mit Galaxy Buds Pro In-Ears und Galaxy Smart Tag für 849€)
  3. 189€ (Bestpreis)
  4. 189,99€ (Bestpreis)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Star Wars und Star Trek: Was The Mandalorian besser macht als Discovery
Star Wars und Star Trek
Was The Mandalorian besser macht als Discovery

Unabhängig von der Story und davon, ob man Star Trek oder Star Wars lieber mag - nach den jüngsten Staffeln wird deutlich: Discovery kann handwerklich nicht mit The Mandalorian mithalten. Achtung, Spoiler!
Ein IMHO von Tobias Költzsch

  1. Lucasfilm Games Ubisoft entwickelt Open World mit Star Wars
  2. Krieg der Sterne Star Wars spielt unter dem Logo von Lucasfilm Games
  3. Star Wars chronologisch Über 150 Stunden Krieg der Sterne

Westküste 100: Wie die Energiewende an der Küste aussehen soll
Westküste 100
Wie die Energiewende an der Küste aussehen soll

An der Nordseeküste stehen die Windräder auch bei einer frischen Brise oft still. Besser ist, mit dem Strom Wasserstoff zu erzeugen. Das Reallabor Westküste 100 testet das.
Ein Bericht von Werner Pluta

  1. 450 MHz Energiewirtschaft gewinnt Streit um Funkfrequenzen
  2. Energiewende Statkraft baut Schwungradspeicher in Schottland

Boeing 737 Max: Neustart mit Hindernissen
Boeing 737 Max
Neustart mit Hindernissen

Die Boeing 737 ist nach dem Flugzeugabsturz in Indonesien wieder in den Schlagzeilen. Die Version Max darf seit Dezember wieder fliegen - doch Kritiker halten die Verbesserungen für unzureichend.
Ein Bericht von Friedrich List

  1. Flugzeug Boeing erhält den letzten Auftrag für den Bau der 747
  2. Boeing 737 Max Boeing-Strafverfahren gegen hohe Geldstrafe eingestellt
  3. Zunum Luftfahrt-Startup verklagt Boeing