• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Es regnet, ist neblig und kalt, alle sind krank und der Chef wird zunehmend cholerisch. Das Thema des Monats ist also folgerichtig --> Das Grau(en)
    Wir sind gespannt, war Euch dazu einfällt! Zum Wettbewerb --> Klick

PHP-Passwortverwaltung

tjp

Altgelds Küchenapfel
Registriert
07.07.04
Beiträge
4.060
Auch nicht, wenn die Passwörter in der Datenbank verschlüsselt liegen?
Wenn Du die Passwörtern verwenden willst, dann müssen sie mit mit einem Zweiwegekryptoschema verschlüsselt sein, so daß man wieder den ursprünglichen Schlüssel wiederherstellen kann. Damit dies sicher ist, muß ein ziemlich großer Aufwand betrieben werden. Wirklich sicher sind nur Systeme bei denen externe Kryptohardware in Form eines USB-Devices o.ä. zum Einsatz kommt. Da kommen dann so Dinge wie Softwareschnittstellen zum Tragen (funktioniert dieses Gerät auch mit dem Webbrowser etc. pp.) Preis der Hardware und anderes. Für private Zwecke ist das einfach viel zu teuer und aufwendig.

Es stellt sich also die Frage was man als Privatperson machen kann. Wenn Du zu Hause bist ist der sicherste Aufbewahrungsort sicherlich das Heft auf dem Schreibtisch, da kommt kein Trojaner ran. Da es sich meist um Passwörter für den Gebrauch mit dem Webbrowser handelt. Empfiehlt es sich den Webbrowser so zu konfigurieren, daß er beim Beenden alle wichtigen privaten Daten löscht. Vor einer wichtigen Verbindung Browser beenden und neustarten Session starten (auf keinen Fall Passworte speichern lassen!) das tun was man will und anschließend Webbrowser gleich beenden.

Wenn Du unterwegs bist, gibt es nur einen sicheren Umgang mit Passwörtern: auswendig lernen. Klingt häßlich, läßt sich aber für wirklich wichtige Dinge nicht vermeiden. Wenn es nicht so wichtig ist, dann kann man die Passworte auf dem Rechner hinterlegen. Leider fehlen MacOS X Features wie sie etwa Solaris Trusted Extension oder SE Linux bieten. Nicht über die NSA wundern, denen war Linux zu unsicher. Daher entwickeln sie ein spezielles Linux, welches frei erhältlich ist und Sicherheitserweiterungen beinhaltet.

Mit diesen NSA zertifizierten OS kann man verhindern, daß z.B. der Webbrowser auf bestimmte Daten zugreifen kann, die er zum normalen Betrieb gar nicht benötigt. Das könnte etwa die Datenbank des Passwortverwaltungsprogramms sein. Wenn das richtig konfiguriert ist, nimmt die Wahrscheinlichkeit erfolgreicher Trojaner Angriffe bedeutend ab.

Da es da wie gesagt für MacOS X nicht gibt, muß man sich um andere Lösungen bemühen.
Was sind da die Schwachstellen (vielleicht versteh ich es ja sogar - habe nämlich nicht den großen Plan von PHP & Sicherheit)?
PHP läuft fast immer nur als apache PlugIn. D.h. um PHP-Anwendungen zu nutzen muß der Webserver laufen. Wenn Du nur die Standard Installation auf Deinem Mac nutzt, dann ist der Webserver auch aus dem Internet erreichbar. Daher muß erstmal die Firewall gestartet werden, der Webserver umkonfiguriert werden usw. PHP Anwendungen haben aber meist viele Sicherheitslücken, weil es PHP einem sehr leicht macht Fehler in Programme einzubauen, die fatale Auswirkungen haben. Sprich mit PHP eröffnest Du dem potentiellen Angreifer Möglichkeiten, die ohne PHP gar nicht vorhanden wären. Wenn Du PHP oder den Webserver nicht für andere Dinge brauchst, auf keinen Fall aktivieren.

Maximal bietet Dir dieses PHP Programm eine Lösung an, bei der unter einem anderem Account auf Deinem Rechner die Passwörter liegen. Schlimmstenfalls entstehen neue Sicherheitslücken. Etwas zugespitzt formuliert, eine Textdatei (nur von diesem Account zu lesen/schreiben) in der die Passwörter in Klartext stehen unter einem anderem Account ist mindestens genauso sicher wie eine PHP Anwendung. Zugriff darauf nimmt man dann per Terminal und einem Texteditor für das Terminal. Der Webbrowser hat darauf auch keinen Zugriff.