Dateien ver- und entschlüsseln

[ksticker]

Hy, ich Programmiere gerade mit XML, un gibt es dort jedoch ein schwerwiegendes Problem, das die Dateien per direktzugriff einfach geöffnet werden können.
Wie kann ich die Dateien nun wirkungsvol verschlüsseln, so das diese von außen nicht mehr lesbar sind?

[Domi]

Dafür verwendest du am besten mcrypt.

Siehe dazu:

http://selfphp.de/kochbuch/kochbuch.php?code=80
http://selfphp.de/kochbuch/kochbuch.php?code=81


Aber vielleicht es einfach sinnvoller die Dateien dort abzulegen, wo sie von außen gar nicht erreichbar sind. Zum Beispiel ein Verzeichnis "höher" wie das "htdocs" oder einfach in einem Verzeichnis, welches du per htaccess schützt.

Gruß
Domi

[doppelklick]

Ich habe so was auch schon mit Benutzerrechten gelöst. Die Datei bekommt einfach nur Lese- und Schreibberechtigung für den Besitzer (600). Alle anderen dürfen nichts.

doppelklick

[defabricator]

Genau. Warum haben Benutzer Zugriff auf Dateien, auf die sie keinen Zugriff haben dürfen?
Das muss man nicht durch noch-mehr-Technik(tm) lösen sondern durch Administration.

[Damir]

Zitat:

Zitat von defabricator

Genau. Warum haben Benutzer Zugriff auf Dateien, auf die sie keinen Zugriff haben dürfen?
Das muss man nicht durch noch-mehr-Technik(tm) lösen sondern durch Administration.

Aber auch das bietet nicht die 100% Sicherheit - Schlupflöcher hat es immer gegeben und wird es auch immer geben. Also wenn die Daten wirklich sicher sein sollen weil sie kritische Daten enthalten dann kommt man nicht um eine "richtige" Verschlüsselung umher.

Damir

[defabricator]

Damit das sicher ist muss der Schlüssel an einem anderen, relativ sicheren Ort (zum Beispiel im Kopf eines Menschen) liegen. Wenn es im Skript gespeichert ist, spielt einem die Lücke, die das Auslesen der Datendatei ermöglicht, auch gleich das dazugehörige Passwort zu.

[Damir]

Da hast Du recht und deswegen speichert man ja auch das Passwort nicht - die Frage ist ja auch was er genau bezwecken möchte. Wenn sich z.B. ein User mit Passwort anmeldet dann kann dieses Passwort ja auch die Türen öffnen - ich vergleiche das jetzt mal mit einem Login bei meinem Online-Banking.

Damir

[defabricator]

Naja, ich habe gerade ein paar Fragen von ksticker zur xml Verrarbeitung in php(4) gefunden. Deshalb gehe ich mal davon aus, dass php Zugriff auf die (dann verschlüsselten) Daten braucht. Und das stinkt für mich einfach nach Administrationsfehler bzw. nach "Wir brauchen hohe Sicherheit aber haben nur einen 1.95€ Webaccount" ;)

[Damir]

Zitat:

Zitat von defabricator

Naja, ich habe gerade ein paar Fragen von ksticker zur xml Verrarbeitung in php(4) gefunden. Deshalb gehe ich mal davon aus, dass php Zugriff auf die (dann verschlüsselten) Daten braucht. Und das stinkt für mich einfach nach Administrationsfehler bzw. nach "Wir brauchen hohe Sicherheit aber haben nur einen 1.95€ Webaccount" ;)

Alles kann man auch nicht haben;-)) Wie gesagt, die Frage ist wofür er es genau braucht...

Damir

[ksticker]

Zitat:

Zitat von Damir

Alles kann man auch nicht haben;-)) Wie gesagt, die Frage ist wofür er es genau braucht...

Damir

... ich schreibe zur zeit ein kleines CMS, und die Verschlüsselung sollte daher auch so sein, dass sie mit anderen Systemen kompatibel ist, da das CMS ja bei dem Kunden installiert wird.

Ein ersten eindruck gibt es hier: http://www.hesa-baederatelier.de/neu/admin/
Passwort: 0000.

Naja Gut ich könnte das Passwort ja mit MD5 verschlüssel, das funktioniert aber auch leider nur bei Daten wo ich die Antwort weiß bsp: die Version wäre ein bisschen blöd zu verschlüsseln, das müsste man dann alle durchprobieren xD