Database Senza Password

Printable View

19-06-2016, 19.17.37
bestdirectory

Database Senza Password

Salve,
ho appena attivato un database ma mi ci fa entrare senza password..!
Mi dice:
Password: Facoltativa (puoi lasciare il campo vuoto)

Ma io voglio inserirla, come faccio?
19-06-2016, 19.56.25
mzanella

La password della base di dati è la stessa del pannello di controllo.
Su AlterVista è possibile omettere il campo password durante la connessione alla base di dati in modo che questa non debba essere memorizzata in chiaro nei file sorgenti o in altri file di configurazione.

Cambiando la password del pannello di controllo, quella della base di dati viene modificata di conseguenza.
19-06-2016, 22.30.24
bestdirectory

E non è rischiosa questa cosa..?
19-06-2016, 22.49.13
mzanella
In breve, direi di no.

L'unico possibile rischio si avrebbe quando un attaccante fosse in grado di forgiare uno script PHP ed eseguirlo nel server. Questo può avvenire in tre modi:
1. l'attaccante ha accesso al file system
2. nel server viene usata una funzione eval che permette di eseguire codice fornito dall'utente
3. il server consente di caricare script PHP
I casi 2 e 3 sono problemi di sicurezza piuttosto ovvi. Se un amministratore prevede di usare indiscriminatamente eval e caricamento di file in questo modo, si merita di subire un attacco http://forum.it.altervista.org/image...e/icon_lol.gif!

Il caso 1 è più interessante. Un attaccante che ha accesso al file system ha automaticamente accesso anche a tutti i suoi contenuti, tra cui:
1. la base di dati stessa
2. gli script PHP e i file di configurazione in cui la password della base di dati è memorizzata in chiaro
In entrambe le situazioni l'attaccante può accedere alla base di dati, a prescindere dal fatto che la password sia un campo opzionale negli script (anzi, il non averla in chiaro evita il caso 1.b).

PS: La password è opzionale solo quando la connessione proviene da localhost (connessioni da host diversi non sono accettate, con o senza password).
20-06-2016, 01.51.06
bestdirectory
Citazione:
Originalmente inviato da mzanella

In breve, direi di no.

L'unico possibile rischio si avrebbe quando un attaccante fosse in grado di forgiare uno script PHP ed eseguirlo nel server. Questo può avvenire in tre modi:

l'attaccante ha accesso al file system
nel server viene usata una funzione eval che permette di eseguire codice fornito dall'utente
il server consente di caricare script PHP

I casi 2 e 3 sono problemi di sicurezza piuttosto ovvi. Se un amministratore prevede di usare indiscriminatamente eval e caricamento di file in questo modo, si merita di subire un attacco http://forum.it.altervista.org/image...e/icon_lol.gif!

Il caso 1 è più interessante. Un attaccante che ha accesso al file system ha automaticamente accesso anche a tutti i suoi contenuti, tra cui:

la base di dati stessa
gli script PHP e i file di configurazione in cui la password della base di dati è memorizzata in chiaro

In entrambe le situazioni l'attaccante può accedere alla base di dati, a prescindere dal fatto che la password sia un campo opzionale negli script (anzi, il non averla in chiaro evita il caso 1.b).

PS: La password è opzionale solo quando la connessione proviene da localhost (connessioni da host diversi non sono accettate, con o senza password).
Capisco.. Grazie per la spiegazione, molto esauriente ;)