Passwörter im Klartext in der settings.json abgelegt

kopfkratz
ich hab eben meine Passwörter, die ich im ganzen IPS-System verteilt hab, in der settings.json im Klartext wiedergefunden.
Ich war eigentlich der festen Überzeugung, das wäre Ende 2012 abgestellt worden?

@paresy: lässt sich das in den nächsten Releases ändern?

Hi, so kannst du Sie wenigstens nicht vergessen :slight_smile:

So etwas sollte nicht bei einem professionellen Produkt vorkommen und
baldigst geändert werden. :mad:

Ist das überhaupt schlimm?

Jetzt könnte jemand sagen MD5 Verschlüsselung.
Gibt aber Bruteforcemöglichkeiten… oder alternativ eine große MD5 Datenbank mit Wörtern… und dort werden die MD5 Hashes mit verglichen… da gibts sicherlich schon „illegale“ DB Bestände + Cloud Services um den gesammelten MD5 Hash mit bekannten zu vergleichen…

Und selbst wenn das nicht genützt wird… wie verhält es sich mit Netzwerksniffer… Wird das Passwort evtl. letztlich durch IPS wieder unverschlüsselt im Netz übertragen???

Falls jemand Zugriff auf die Settings Datei hat… muss er ja schon im Netz sein? Oder hab ich das falsch verstanden?

Oder lässt sich die settings Datei mittels EFS Bordmitteln verschlüsseln und über IPS dann noch benützen?

Ich denke so richtig sicher wirds niemals geben…

Frage:

[ul]
[li]warum sollte man Web-Accounts/passwörter niemals mehrfach verwenden?[/li][li]warum sollte man seine Passwörter nicht im Klartext unter die tastatur kleben?[/li][li]warum sollten Bank-Zugangsdaten nicht im Klartext auf dem rechner gespeichert werden?[/li][li]Warum brauch ich überhaupt passwörter?[/li][li]Warum habe ich ein Sicherheitsschloß in der Wohnungstür?[/li][/ul]

Antwort: weil immer irgend ein Heini irgendwann da ran kommt (ich hab auch schon reichlich Settings hier im Forum als Anhang gesehen).

Ich wunder mich eher, dass solche Fragen noch immer diskutiert werden müssen.
Natürlich wird eine Applikation nicht totsicher. Schon gar nicht, wenn die Passwörter verschlüsselt auf der HDD gespeichert, aber über das Netz im Klartext übertragen werden.

Aber eine Applikation wird sicherer, wenn möglichst jeder dieser Angriffspunkte abgesichert wird. Und dazu gehört nunmal auch die verschlüsselte Ablage von Passwörtern auf der Platte (als eine mögliche Fehlerquelle). Und genau nur darum geht es hier.

Das sollte kein „Angriff“ werden…:smiley:

Ich arbeite selbst in der IT… von daher bekommt man halt leider sehr häufig mit, wie das Thema Sicherheit durch Hintertürchen - mit einfachsten Mitteln - wieder ausgehebelt oder vom User selbst bewusst umgangen wird.

Das ganze macht es einem „angreifer“ halt ein wenig schwieriger… Die frage ist halt grundsätzlich…
Was ist wenn ich erst gar niemand in mein Netz reinlasse ?

Wenn ich hier so lese, das manche per Portforwarding die Konsole nach draussen weiterleiten…
Dann denke ich, ist das Thema verschlüsselte Konfigdatei - weniger das Problem…:stuck_out_tongue:

Wenn das natürlich mal ein IPS eigenes Sicherheitsfeature war, gehört es natürlich wieder rein…

Wenn ich in den Rechner eingebrochen bin - und das müsste ich ja wohl geschafft haben um an die Settings ran zu kommen - habe ich unter anderem auch sehr wahrscheinlich Zugang zu dem Skriptordner.

Mit der selben Argumentation müssten dann also auch sämtliche Skripte in denen Passwörter, Usernamen, API-Keys, Geräte-IDs usw. im Klartext stehen noch verschlüsselt abgelegt werden.

Eine reine Verschlüsselung der Settings ist bei einer so engen Auslegung des Sicherheitsaspektes IPS daher eigentlich zu kurz gesprungen.

exakt, deswegen Stückchen für Stückchen.:

…Und dazu gehört nunmal auch die verschlüsselte Ablage von Passwörtern auf der Platte (als eine mögliche Fehlerquelle). Und genau nur darum geht es hier…

Alles gleichzeitig zu lösen wäre wohl selbst für IP-Symcon eine etwas überzogene Erwartungshaltung.

PS: es muss nicht immer der Einverbrecher sein, der sich auf die Settings zubewegt. es geht auch andersrum (siehe Forum) :wink: