LinkBack URL
About LinkBacksSalve,
ho appena attivato un database ma mi ci fa entrare senza password..!
Mi dice:
Password: Facoltativa (puoi lasciare il campo vuoto)
Ma io voglio inserirla, come faccio?
Visualizzazione risultati 1 fino 5 di 5
Discussione: Database Senza Password
-
19-06-2016, 19.17.37 #1
Utente AlterBlog
- Data registrazione
- 02-02-2016
- Messaggi
- 7
Database Senza Password
-
19-06-2016, 19.56.25 #2
AlterGuru
- Data registrazione
- 29-12-2015
- Messaggi
- 1,954
La password della base di dati è la stessa del pannello di controllo.
Su AlterVista è possibile omettere il campo password durante la connessione alla base di dati in modo che questa non debba essere memorizzata in chiaro nei file sorgenti o in altri file di configurazione.
Cambiando la password del pannello di controllo, quella della base di dati viene modificata di conseguenza.
-
19-06-2016, 22.30.24 #3
Utente AlterBlog
- Data registrazione
- 02-02-2016
- Messaggi
- 7
-
19-06-2016, 22.49.13 #4
AlterGuru
- Data registrazione
- 29-12-2015
- Messaggi
- 1,954
In breve, direi di no.
L'unico possibile rischio si avrebbe quando un attaccante fosse in grado di forgiare uno script PHP ed eseguirlo nel server. Questo può avvenire in tre modi:
- l'attaccante ha accesso al file system
- nel server viene usata una funzione eval che permette di eseguire codice fornito dall'utente
- il server consente di caricare script PHP
I casi 2 e 3 sono problemi di sicurezza piuttosto ovvi. Se un amministratore prevede di usare indiscriminatamente eval e caricamento di file in questo modo, si merita di subire un attacco
!
Il caso 1 è più interessante. Un attaccante che ha accesso al file system ha automaticamente accesso anche a tutti i suoi contenuti, tra cui:
- la base di dati stessa
- gli script PHP e i file di configurazione in cui la password della base di dati è memorizzata in chiaro
In entrambe le situazioni l'attaccante può accedere alla base di dati, a prescindere dal fatto che la password sia un campo opzionale negli script (anzi, il non averla in chiaro evita il caso 1.b).
PS: La password è opzionale solo quando la connessione proviene da localhost (connessioni da host diversi non sono accettate, con o senza password).Ultima modifica di mzanella : 19-06-2016 alle ore 22.55.09 Motivo: Chiarimento
-
20-06-2016, 01.51.06 #5
Utente AlterBlog
- Data registrazione
- 02-02-2016
- Messaggi
- 7
Capisco.. Grazie per la spiegazione, molto esauriente ;)
Originalmente inviato da mzanella
In breve, direi di no.
L'unico possibile rischio si avrebbe quando un attaccante fosse in grado di forgiare uno script PHP ed eseguirlo nel server. Questo può avvenire in tre modi:
- l'attaccante ha accesso al file system
- nel server viene usata una funzione eval che permette di eseguire codice fornito dall'utente
- il server consente di caricare script PHP
I casi 2 e 3 sono problemi di sicurezza piuttosto ovvi. Se un amministratore prevede di usare indiscriminatamente eval e caricamento di file in questo modo, si merita di subire un attacco!
Il caso 1 è più interessante. Un attaccante che ha accesso al file system ha automaticamente accesso anche a tutti i suoi contenuti, tra cui:
- la base di dati stessa
- gli script PHP e i file di configurazione in cui la password della base di dati è memorizzata in chiaro
In entrambe le situazioni l'attaccante può accedere alla base di dati, a prescindere dal fatto che la password sia un campo opzionale negli script (anzi, il non averla in chiaro evita il caso 1.b).
PS: La password è opzionale solo quando la connessione proviene da localhost (connessioni da host diversi non sono accettate, con o senza password).
