A1: DomainFactory-Hacker hat die nächste Kunden-Datenbank erbeutet

Der Angreifer, der vor einigen Wochen den großen Webhoster DomainFactory bloßstellte, hat erneut zugeschlagen. Diesmal traf es den österreichischen Konzern A1 Telekom Austria. Auch bei diesem ist eine Kundendatenbank erbeutet worden und das ... mehr... Hacker, Tastatur, Maus Bildquelle: Davide Restivo / Flickr Hacker, Tastatur, Maus Hacker, Tastatur, Maus Davide Restivo / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Und täglich grüßt das Murmeltier. Falls hier btw. irgendjemand mitliest, der für die Anbindung von Nutzerdatenbanken an die Webanwendung zuständig ist:
(EDIT: Liebe Genossen, lasst euch nicht von Herrn Max Muster-Drop-Table (https://xkcd.com/327/) die Datenbanken löschen und verwendet Prepared Statements oder andere Datenbankabstraktionsebenen. Das folgende halbe Schnipsel dient lediglich der Veraunschaulichung.)
Überall dort, wo du "INSERT INTO users ... $pw ..."; hast, musst du "INSERT INTO users ... ".password_hash($pw)."..."; machen und überall, dort, wo du $pw==$pw_from_db hast, musst du password_verify($pw,$pw_from_db) machen. Die Defaults sind ok. Hash und Salt ablegen und beim lesen wieder auseinanderklamüsern macht PHP von alleine. Aufpassen, dass das Feld für Passwörter in der Datenbank breit genug ist.
Regelmäßige Softwareupdates nicht vergessen und ansonsten gerne weiterschlafen und die Gehaltszahlungen einstreichen.
 
@dpazra: die Passwörter sind nur selten dass Problem...
Adressen, Kreditkartendaten, persönliche Informationen...

aber jo, die Passwörter sind der mindeste Anfang!
 
@bear7: Die anderen Daten sind natürlich ebenfalls kritisch. Ich bin nur leicht getriggert, wenn ich in einem Artikel "Passwörter im Klartext" lese, denn dieses Problem ist nunmal wirklich sehr einfach zu lösen. Die Lösung wird praktisch in allen Werkzeugen (Programmiersprachen bzw. die Standardbibliotheken der Programmiersprachen, Frameworks, etc. die sich an Webbackendentwickler richten) installationsfertig mitgeliefert.

Und Klartextpasswörter sind ein großes Problem, da viele User ihre Passwörter mehrfach verwenden.
 
@dpazra: das würde ich so niemanden empfehlen, zum einen fehlen die Prepared Statements, zum anderen würde ich PDO empfehlen. password_hash und password_verify funktionieren auch erst ab PHP 5.5 - gibt noch immer genügend Hoster/Anbieter die ihre Versionen nicht updaten oder Kunden nicht zwingen auf aktuelle Versionen umzusteigen.
 
@Rumpelzahn: Ich habe die Formulierung gewählt um die Drop-In-Fähigkeit (Überall dort, wo ... steht) der PHP-Funktionen zu betonen und entsprechend die "Drop-In-Stelle" in einer Weise dargestellt, die jeder versteht, ich meine nicht, dass man seinen DBAL mit rohen Zugriffen ersetzen soll, die Gefahr von SQL Injections ist ja ähnlich lange bekannt, wie die Gefahren von Klartextpsaswörtern. Heutzuge wird auch generell mehr mit Framework und DBAL gearbeitet.

PHP 5.4 ist btw. auch schon seit einigen Jahren EOL, also das zu updaten sollte ebenfalls ein drängendes Problem sein, auch aus Hostersicht.
 
@dpazra: PHP 5 ist leider noch immer Spitzenreiter, wobei 5.6 immerhin rund 41 % eingesetzt wird (Quelle: https://w3techs.com/technologies/details/pl-php/all/all).

Der Text oben bleibt trotzdem murks, weil es genug unerfahrene gibt, die das auch noch so abschreiben.

DBAL und Frameworks schön und gut, für eine Micro-Anwendung (Landing page, Formular, etc.) ist das zu viel ballast und overpowered. Da reichen auch korrekt implementiere Individuallösungen.
 
@Rumpelzahn: Daran will ich natürlich auf keinen Fall Schuld sein, ich habe einen Warnhinweis eingefügt, damit sich niemand die Finger verbrennt.
 
@dpazra: das sind absolute Grundlagen. Salt und Pepper sollte in dem Zusammenhang auch erwähnt werden. Wer das nicht beherrscht sollte ein Verbot bekommen an IT-Systemen zu arbeiten! Und PHP sollte bei professioneller Softwareentwicklung gemieden werden.
 
@Sprachtot47: Salt ist bei der Funktion schon mit drin. Eine sicher gewählte Hashfunktion auch.

PHP in der Webentwicklung zu meiden ist schwierig, vor allem, wenn man nicht alles selber entwickeln will (was für die Machbarkeit und Finanzierbarkeit von Projekten eine Rolle spielt). Ich verstehe sowohl den Appeal von als auch die Kritik an PHP, an dieser Stelle sollte gesagt werden, dass sich da in den letzten Jahren viel getan hat, vor allem im Bezug auf Typsystem, Errorhandling, Performance, Vereinheitlichung, Konsistenz usw.
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen