Quanto è sicuro conservare le password in un file non accessibile?

Question

Quanto è sicuro conservare le password in un file non accessibile?

#1 da (3 voti)

1

Quindi, stavo pensando a soluzioni alternative per salvare le password in file di testo (solo perché sono curioso), e ho pensato, e se avessi salvato il mio file da qualche parte che non è accessibile? Il mio server ha una cartella public_html in cui si trova tutto il codice, tuttavia, ho creato un file di testo della password sullo stesso livello di quello (e non nella cartella attuale).

In questo momento, penso che questo sia sicuro perché non è possibile accedervi tramite il sito Web effettivo eppure il mio codice può ancora ottenere informazioni da esso. Tuttavia, quanto è sicuro questo davvero? È davvero un passo avanti conservandolo nel file public_html? Quali sono alcuni modi (purtroppo, per gli hacker, dove c'è una volontà, c'è un modo) qualcuno potrebbe sfruttare un file che non è pubblicamente accessibile?

php passwords webserver file-system file-access

posta Joshua Sparkel 19.03.2018 - 01:21

fonte

1 risposta

Leggi altre domande sui tag php passwords webserver file-system file-access

Può un'applicazione modificare i file che si trovano in una cartella protetta da password? Autenticazione servizio Web Utilizzo di PBKDF2 e di un sistema di distribuzione pubblico: il sale deve essere modificato a ogni richiesta?

score 3 · Accepted Answer

Dipende da quali password stai parlando. Usando Wordpress come esempio, wp-config.php contiene il nome utente e la password del DB.

È generalmente accettata la buona prassi di spostare il file in una cartella non accessibile al Web (ad esempio all'esterno di public_html). In questo modo, un errore php catastrofico, non porterà nessuno a vedere la tua password semplicemente visitando yoursite.com/wp-config.php

Tuttavia, questi sono nomi utente e password DB, non nomi utente e password di Wordpress. Le credenziali dell'utente di Wordpress sono archiviate nel database (e sono sottoposte a hash). Wordpress ha bisogno di memorizzare queste credenziali del DB da qualche parte, e per definizione non può essere nel DB (non è possibile memorizzare qualcosa finché non ci si connette ad esso).

Se un hacker è riuscito a ottenere l'esecuzione del codice nella casella di Wordpress (purtroppo non è così raro come si pensa). Quindi l'hacker potrebbe semplicemente sfogliare qualsiasi cartella visualizzabile e visualizzare i file con le password (sia in Public_HTML che altrove), accedere al DB e ottenere gli hash. Poi è riuscita a trovare la password in chiaro in brute, forzandola sul suo computer locale o semplicemente aggiornare l'hash nel DB a qualcosa che conosce.

In breve, tuttavia, la memorizzazione delle credenziali di DB nei file su un server, in una cartella non accessibile al Web (all'esterno di public_html) è OK. Non dovresti memorizzare le credenziali dell'applicazione (o altre credenziali) su nessuna cartella sul server.