Sicherheit von PHPmyAdmin

[dragon001]

Auf welchem User Autorisations Modus sollte phpMyAdmin gestellt sein?

Ich hab ja die Wahl http & cookie?
Ist Cookie sicher oder sollte lieber http verwendet werden?
Ich arbeite manchmals als System verwalter um die User Tabelle zu bearbeiten und so.
Daher ist, denk ich, die Frage berechtigt.
Wie sicher ist eigentlich PHPmyAdmin wirklich?

Wollte einfach mal eure Meinung dazu hören.

MFG
draco

 

[Guin]

Hallo,
ich nutze die cookie Methode.
Ob nun http oder cookie ist eigentlich Geschmackssache.

Bei http gibt (oder gab?) es das Problem, dass wenn man sich ausgeloggt hat, man sich nicht wieder einloggen kann, ohne den kompletten Browser zuschliessen.

Solange du nicht config fuer die Autorisation nutzt, ist das schon okay.

PHYMaAdmin ist eigentlich sicher. Luecken kann man meistens nur nutzen, wenn man einen Zugang hat. Man muss sich also einloggen koennen.
Da die Leute beim PHPMyAdmin Projekt recht fix sind, werden entdeckte Luecken sehr schnell geschlossen. Somit ist es sicher. Das setzt allerdins auch voraus, dass man oefter mal nachschaut, ob eine neuere Version vorhanden ist und diese dann auch installiert.

 

[dragon001]

Ich frag eigentlich, weil mir früher mal mein DB Server auf diesem Weg gehackt wurde.
Es fehlten hinterher alle DB zugänge und dank des Confix Counter scripts dann auch die Zugänge zum Server (nachdem er das angepaßt hatte).
Ist aber schon länger her
^^

draco

 

[Guin]

Ich frag eigentlich, weil mir früher mal mein DB Server auf diesem Weg gehackt wurde.

Bleibt noch die Frage, -wie- das geschehen ist.

Wurde dein root Passwort per BruteForce geknackt, oder wurde ein web Kundenzugang gehackt und von dort aus gearbeitet?
Wie weit hing deine PMA Version hinter der aktuellen Version her?
Wie war dein Server konfiguriert? Auch da gibt es Luecken.

Das waren jetzt nur retorische Fragen zum Nachdenken. Es spielt einfach viel mit rein.
Gerade die bekannten Luecken werden von anderen gehackten Servern aus gescannt und ausgenutzt. In deinen Logfiles wirst du sicherlich die pmafind Schnueffler oefter mal gesehen haben.

 

[dragon001]

soweit ich weiß, verwendete ich die standart config von strato mit suse 9.x

ich weiß leider nicht mehr wie er reingekommen ist.
Allerdings funktionierte da phpmyadmin noch nicht via https sondern nur über http

denk das war auch ein ausschlag gebender faktor.
^^

 

[Darkdream]

Das glaube ich eher nicht. Hast du den Einbruch nie rekonstruiert? Durch die Aktivierung von HTTPS hast du einen erneuten Einbruch bei der gleichen Config des Systems nicht vorgebeugt.

 

[dragon001]

Hmm, mag stimmen, jedoch ist es nicht mehr ganz so leicht, da die Kommunikation zwischen Client und Server verschlüsselt läuft,
und zwar auf 128bit Ebene oder etwa nicht?
Das war doch die definition von HTTPS oder?

=> Dibstahl von Session Cookies und Autentifikations Cookies ist doch dann eigentlich nicht mehr so einfach oder?

 

[Guin]

Der Hacker wird kaum deine Session geklaut haben.

Das ging wohl eher ueber cross-side-scripting oder einfach PW rausgefunden.
https bietet da null extra Schutz. Das darf man nicht vergessen.
Ob deine Daten nun verschluesselt oder unverschluesselt uebers Netz jagen, ist in erster Linie nur Wichtig, wenn es auch wirklich wichtige Daten sind. Ansonsten macht sich niemand die Muehe solche Daten abzufangen. Das ist naemlich nicht so ganz ohne (die Daten existieren nur sehr kurz).
Was du vielleicht noch meinst, ist ein Zertifikat fuer https. Damit soll sichergestellt werden, dass die angezeigte Seite auch die Seite ist, die man eigentlich ansurfen wollte.

Schlussendlich ist gar nicht klar, ob phpmyadmin die Sicherheitsluecke war. Nur weil die DB geloescht wurden, muss es nicht PMA gewesen sein.
Das kann man auch mit jedem beliebigen php Skript machen (etwas ueberspitzt).