Per PHP Ubuntu-Befehl ausführen?
lima-city → Forum → Programmiersprachen → PHP, MySQL & .htaccess
beispiel
benutzer
code
datei
grund
http
idee
jemand
laufen
leute
programm
sagen
server
speichern
sprache
starten
system
url
verbindung
verstecken
-
hackyourlife schrieb:
verstecken ist nicht immer die beste methode. ich verwalte ein paar dutzend kundenserver (allersamt dedizierte) in deutschland und frankreich und ich kann dir sagen, auf keinem einzigen von denen ist irgendo ein passwort abgespeichert! so seltsam das für unerfahrene klingen mag, für eine exakte identifikation eines users brauchst du das passwort nicht so zu speichern wie es üblicher weise passiert! (und jetz mal tief nachdenken, wie sowas funktionieren kann ;)
... wie man was verstecken kann.
Ich bin hier aber von langsameren (unwissenden) Leuten ausgegangen, die warscheinlich eher zu Hardcodiertem neigen, deshalb die Warnung.
... langsamere leute ... hm ... ein bekannter von mir - jetzt spricht er 9 sprachen perfekt! - hat einmal bei der anmeldung an der sprachschule folgendes getan: er wurde befragt, ob er schon die sprache wenigstens ein bisschen spräche, da sagte er, nein. auf das hin wollte man ihn dem anfängerkurs zuweisen. er protestierte energisch mit dem argument, 'wenn ich einen fortschritt erzielen will, muss ich in die klasse für fortgeschrittene'. er hatte den kurs mit auszeichnung absolviert. ich mag solche menschen. und ich kann alle ausreden und herumgeschweife einfach nicht austehen. wiederlich. -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
jnuk schrieb:
Oh Oh! genau das habe ich gemeint, was man unterlassen sollte. nur ein beispiel:
Uh, Uh, *meld* Ich weiß es, ich weiß es!
Man speichert den Hash (md5)! *stolz-sei*
angezeigt wird dann 'e8636ea013e682faf61f56ce1cb1ab5c' no? nur anklicken ;)<?php exit(''.md5('geheim'));
solche wörterbücher gibt es im internet wie sand am meer, wo du md5 für alle sprachen der welt ablesen kannst.
weiters, md5 ist nicht der beste wahl. sha1 ist schon mal besser. und das ganze tust ein bisschen fantasievoller gestalten:
ergibt 'e659d41715da3b7cc6b97cb9ed6e74b6961994a2' schon viel besser. aber nicht einmal das speichere ich irgendwo!<?php $salt = 'loren ipsum dolor sit amet'; // das kannst du wählen wie's dir gefällt. $passwd = 'geheim'; // und das ist ein denkbar sehr schlechtes passwort! $hash = sha1($salt . sha1($passwd)); exit(''.$hash);
das wichtigere ist bei der sache aber, dass das passwort richtig gemacht ist: es sollten keine in nur irgeneiner sprache vorkommene worte drin sein und so fort ... (beschreibungen von so was stehen überall im internet). wer garantiert es aber, dass die user das wirklich auch machen? also ich garantiere es, dass sie es 99.9% nicht machen.
daher habe ich mir gedanken gemacht, wie man es vermeiden kann - egal in welcher form - das passwort zu speichern. wie ich es einmal hier schon gepostet habe, ich speicher sie nicht! jemand hat dann die bemerkung gemacht, 'es ist kein guter plan' ja sogar 'sinnfrei'. dass man nicht immer vordenken kann, passiert uns mal hie und da allen. aber dass man nicht einmal nachdenken ...
es gibt unzählige methoden das passwort NICHT zu speichern ;) manche sogar - bei der jetzigen technischen machbarkeit - sogar totsicher. das speichern ist für mich sinnfrei und kein guter plan (siehe sony musicportal, was ja gar nicht so lange her war.) -
hemiolos schrieb:
daher habe ich mir gedanken gemacht, wie man es vermeiden kann - egal in welcher form - das passwort zu speichern. wie ich es einmal hier schon gepostet habe, ich speicher sie nicht! jemand hat dann die bemerkung gemacht, 'es ist kein guter plan' ja sogar 'sinnfrei'. dass man nicht immer vordenken kann, passiert uns mal hie und da allen. aber dass man nicht einmal nachdenken ...
hemiolos schrieb:
Es geht hierbei nicht um die Speicherung eines Passwortes für die Identifikation eines Users sondern um ein SSH-Passwort. Du bist hier von SSH aus gesehen auf der Clientseite und nicht auf der Serverseite. Nenn mir mal ein Beispiel wo sich der User einen Hashwert merken muss!!!!
verstecken ist nicht immer die beste methode. ich verwalte ein paar dutzend kundenserver (allersamt dedizierte) in deutschland und frankreich und ich kann dir sagen, auf keinem einzigen von denen ist irgendo ein passwort abgespeichert! so seltsam das für unerfahrene klingen mag, für eine exakte identifikation eines users brauchst du das passwort nicht so zu speichern wie es üblicher weise passiert! (und jetz mal tief nachdenken, wie sowas funktionieren kann ;)
Natürlich wird warscheinlich die PublicKey-Authentifizierung verwendet werden, trotzdem liegt somit irgendwo ein für PHP lesbarer Zugangsschlüssel (Passwort, Public/Private Key) für den root-Account. Wenn jetzt irgendwer aus irgend einem Grund den Quellcode vom SSH-Script bekommt weiß er zumindest wo er als nächstes suchen muss um den root-Schlüssel zu finden.
Mit irgendwelchen Hashwerten wirst du dich wohl kaum bei SSH authentifizieren können (du könntest es aber gern mal versuchen ). -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage