Mailinglisten-Archive |
Hi, > Zum Thema Sicherheit wuerde ich gern noch andere Meinungen > hoeren. Ja, ich auch. > Ist es nicht so, dass man mit automatisierter Verschluesselung, > wie von Dir beschrieben, das Sicherheitsproblem zumindest vom > Uebertragungsweg auf den Server verlagert und damit begrenzt? Was ich damit ausdrücken wollte, ist ungefähr folgende Situation: Webhoster: "Hey Kunde, wir können deine E-Mail prima verschlüsseln, weil wir setzen PGP ein, das ist unangreifbar!" Kunde: "Klasse *umdenhalsfallundabknutsch* die Bestelldaten sind sicher, prima". [2 Wochen später] C00ler Cr4cKeR macht mal kurz nen Slalom um die Firewalls, entdeckt eine kleine Sicherheitslücke im Webserver, bekommt das r00t-Passwort heraus, loggt sich auf der Kiste ein und schnüffelt rum. "Hum, was sind denn das für tolle Umgebungsvariablen? Oih, ein PGP-Mantra. Man, wie doof kann man nur sein. *zehnsekundenspäter* Aha, der benutzt das PGP um Bestelldaten zu verschlüsseln. *tipperditipp* mal den secret key kopieren ..." Und dann hat man halt verloren. Deswegen ist's halt blöd, das Mantra in einer Umgebungsvariablen abzusichern. Hm, eine andere Lösung wie du sie vorschlugst (SSL geschützte Verbindung, durch die der Kunde die Datenbank abfragen kann) fällt mir jetzt grad auch nicht ein. Anyone? -- Björn Schotte 09364/810492 PHP-Center -> <http://www.php-center.de/> Virtuelle Postkartengrüsse -> <http://www.web-cards.de/>
php::bar PHP Wiki - Listenarchive