Naps: Dateien auf Server verschlüsseln

Beitrag lesen

SELF-Forum

Dateien auf Server verschlüsseln

Naps
Informationen zu den Bewertungsregeln

Tach!

Ich habe eine Website auf der sich verschiedene User einloggen können (Das Passwort ist als Sha-512 Hash in der DB gespeichert).

Auch gesalzt?

Ja, ich hab in der DB für jeden User bei der Registrierung einen Salt erstellt und zusätzlich einer der für alle gleich ist. Schaut dann so aus: sha-512($userPass.$dbSalt.$staticSalt)

Ich habe mir überlegt, dass ich die Datei mit dem User Passwort, mit dem er sich auch auf der Website einloggen kann, verschlüsseln könnte und wenn der User eingeloggt ist, sozusagen im Hintergrund die Dateien entschlüssel, damit der User das gar nicht mitbekommt.
Das Problem ist hier aber, dass ich das Passwort beim Login Vorgang in einer Session abspeichern müsste, da das Passwort in der DB ja nur als Hash abgespeichert ist.

Es bestünde auch noch die Möglichkeit, HTTP-Authentifikation zu verwenden, dann sendet der Client das Passwort immer wieder mit. Das kannst du dann verwenden und nach dem Request wieder vergessen. Selbstredend wäre spätestens dann HTTPS angebracht. Aber auch bei Passworteingabe über Formular wäre eine verschlüsselte Verbindung sinnvoll.

Meine Frage hier wäre, wie sicher ist das?

Das ganze System nützt dir wenig, wenn der Server kompromittiert werden kann. Eine Unterwegs-Verschlüsslung ist dann sinnlos, weil man ja gleich an der Quelle mitschneiden kann. Weiter wäre bei deiner Idee zu untersuchen, wer die Session-Daten lesen kann. Das setzt sich zum einen zusammen aus den Zugriffsbedingungen (Rechte) auf die Dateien auf deinem Server (die Session-Dateien und auch die mit deinem PHP-Code). Zum anderen muss das problem gekaperter Sessions beleuchtet werden. Über die Session-ID - auf welchem Wege auch immer sie ein Dritter in die Finger bekommt - kann man eine Session wiederaufnehmen, besonders dann, wenn der Nutzer einfach weggeht, sie nicht ordentlich schließt und ihre Daten bis zur nächsten Garbage Collection liegenbleiben, was durchaus länger als der eingestellte Timeout sein kann.

dedlfix.

Danke erstmals. Die Problematik ist also doch umfangreicher als ich dachte! Ich werde mir mal was überlegen und dann hier noch mal posten!

MFG
Naps

Beitrag melden
Informationen zu den Bewertungsregeln