Sorry…keine Lust mehr hier über etwas zu diskutieren wie bei einem Grundkurs in IT-Sicherheit… Aber um dich zu beruhigen, Ralf, alle von dir genannten Punkte und noch weitere sehe ich als selbstverständlich an Als ITler in einer großen Nachrichtenagentur bekommt man doch das ein oder andere zum Thema IT-Sicherheit mit
Außer mir kann niemand für Sicherheitsprobleme sorgen > Achsoooo, deshalb gibt es nur einmal in 5 Jahren ein kleines Update von Microsoft, Adobe, Router-Herstellern, … weil die Systeme von Natur aus alle ABSOLUT sicher sind. Verstehe Mein Fehler
Danke fürs Gespräch, ihr könnt gerne hier weiter diskutieren, aber ich beende das Abo auf diesen Thread. Weil SO ist es wirklich nicht zielführend und ich bastel mir selbst eine FÜR MICH (und sonst niemand g) zufriedenstellende Lösung und damit bin ICH happy
Die Sicherheit des Lan ist ja hier nicht das Problem, eher, wie im Eingangsthread die „übliche Praxis“ auch mal eine settings.json jemand geben (zu müssen) um einen Fehler nachzustellen.
etwas weiter unten für verschlüsseln und entschlüsseln und lege nur den verschlüsselten Wert in der Variablen ab und den benötigten Key „irgendwo anders“, also außerhalb der settings.json, und gut ist… man muss dann halt vor der Benutzung immer kurz den Entschlüsseln-Algorithmus bemühen.
Ja, ich bin kein Krypto-Profi wie du es ja einer zu sein scheinst, bin aber auch kein Total-Noob wie du es versuchst darzustellen
Nein ich habe nicht behauptet das du ein „Total-Noob“ bist. Da ich aber jeden Tag damit mein täglich Brot verdiene und ich regelmäßig Aufklärung leisten muss (Teil meines Berufs), tue ich das auch im privaten Bereich. Denn für normale Menschen bedeutet Verschlüsselung = Sicherheit und nicht Sichtschutz.
Das ist der wirklich einzige Grund denn ich nachvollziehen kann. Aber dann stellt sich mir die Frage, welche Werte müssen verschlüsselt werden. Woran erkenne ich ob die Zeichenkette sicherheitsrelevant ist? Der nächste möchte gerne die IP-Adressen verschlüsselt haben, der nächste eine Token und wieder ein anderer den Lizenzschlüssel…
Also wäre das Ergebnis eine Verschlüsselung der kompletten Datei, dass würde aber wieder nichts bringen, da man dann die Datei erst entschlüsseln und dann hochladen würde, was zum gleichen Problem wie vor der Verschlüsslung führen würde.
Da drin könnte man natürlich auch noch ein wenig Verschlüsselung zaubern. PW aus der settings.json auslagern wäre dann vielleicht doch ein sinnvoller Ansatz für das Lübecker Dreamteam .
Das ist hier schon eine merkwürdige Diskussion der „Experten“.
Mal abgesehen davon, das die vollständige Abschottung eines Systems vor Hackern eher ein Wunschtraum als Realität ist, dürfen Anwender die nach ISO27001 IT Grundschutz BSI (Regelungen für den Passwordgebrauch) zertifiziert sein wollen, nirgendwo Klartext-Passwörter verwenden. Auslagern in Includes ist da zu wenig.
Und was für Firmen gut ist, sollte für private User als Zusatzmaßnahme auch nicht falsch sein. Und wer kein Bedürfnis danach hat, den Level für Hacker höher zu legen lässt es halt sein. Aber zumindest die Option sollte da sein. Das ist jetzt auch nicht der riesen Aufwand. Ob nun Rot, XOR, RSA oder whatever , egal, Hauptsache es ist überhaupt verschlüsselt und nicht zu offensichtlich.
Wer möchte kann von mir für privat eine Lösung auf Basis RSA haben, bei der nur die Applikation mit einkompiliertem private Key die Passwörter entschlüsseln kann. Das reichte bisher auch für Audits.
Schön das du ISO27001 zitierst, dann sollte man diese Regeln auch verstehen. Da geht es um die Verifikation von hinterlegten Passwörter und das dazu notwendige Speichern, welches per Einwegverschlüsselung (Hash) zu erfolgen hat.
Da geht es um die Verifikation von hinterlegten Passwörter und das dazu notwendige Speichern, welches per Einwegverschlüsselung (Hash) zu erfolgen hat.
Das sehen die bei uns aufgetretenen Auditoren etwas weiter. Es geht denen nicht nur um Kundenpasswörter. Und aus einem Hash kann man keine Applikationspasswörter rückgewinnen.
Schön die Auditoren haben wir hier auch Regelmäßig hier Aber die Regeln auf die du Verwiesen hast bezogen sich halt darauf. Aber wir werden hier sehr Off-Topic.
Ich finde die Diskussion wieder einmal erhellend. Wie eine (für mein Empfinden) Selbstverständlichkeit zum Schauplatz der Selbstdarsteller verkommt, ist schon interessant. Bei mir wird IPS im Haus nie eine tragende Rolle erhalten und nach diesem Thread fühle ich mich bestätigt.
Dank an Chris für das Aufwerfen der Frage.
Übrigens: Neben der theoretischen Betrachtung stelle ich in der Praxis immer wieder fest, dass die Leute ein Passwort mehrfach in verschiedenen Systemen einsetzen und überwiegend die gleiche Schematik benutzen (Rudi07, Rudi08).
Solche Kommentare finde ich in letzter Zeit viel nerviger und mir stellt sich dann schon die Frage, wen der 6 Beteiligten in deisem Beitrag du damit meinst.
Das ist grundsätzlich richtig, aber es gibt halt die zwei Themenkomplexe „PWs möglichst nicht in der settings.json“, das ist relativ einfach lösbar.
„PWs verschlüsselt ablegen“, was das ganze deutlich schwieriger macht, da die Scripte je nach Anwendungsfall die PWs im Klartext benötigen. Es gibt auch dazu einige Möglichkeiten im PHP (z.B. encryptAES), die aber nicht auf jedem OS und jeder IPS Version gleich umsetzbar sind, z.B. da es aktuell in der V4 nicht möglich ist „beliebige“ PHP Erweiterungen zu integrieren.
Ja das kann wie gesagt tatsächlich sinnvoll sein, hier wieder die Frage wie definiere ich was auszulagern ist? Hier könnte ich mir gut vorstellen über eine Art TAG (z.B. %%SECRET_ABC%%) auf eine externe Datenbank zuverweisen.
@Boui
Mir ist es persönlich sch… egal was man von mir hält - falls du micht meinst.
Ich argumentiere mit Fakten und kann alles belegen. Und ich finde sogar die Frage von Bayaro absolut berechtigt. Dennoch sehe ich es als wichtig an, in solchen Themen aufzuklären, da ich seit Jahren in diesem Themenbereich arbeite und Verantwortung trage. Jeder kann soviel verschlüsseln wie er möchte. Aber ein professionelles Konzept ist immer noch besser als wahllos irgendetwas zu integrieren was nichts bringt. Und wir reden hier ja nicht mehr von einem Hobbyprojekt, sondern von einer doch professionellen Softwarelösung. So und nun halte ich mich aus der Diskussion raus und sage macht was Ihr wollt.
Als ITler in einer großen Nachrichtenagentur bekommt man doch das ein oder andere zum Thema IT-Sicherheit mit 
Mein Fehler 
.