Hibiscus + MySQL, wofür das "Master-Passwort"?

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 2
Dabei seit: 07 / 2007
Betreff:

Hibiscus + MySQL, wofür das "Master-Passwort"?

 · 
Gepostet: 01.08.2007 - 13:17 Uhr  ·  #1
Hallo

Habe gerade Hibiscus mit MySQL als Datenbank ans laufen bekommen, funktioniert soweit gut, aber wofür ist dann noch das Master Passwort gut?
Im Home-Verzeichniss eines jeden Berechtigten Nutzers liegt das Datenbankpasswort unverschlüsselt.
Dieses Reicht völlig aus um sich Zugang zu den Daten zu verschaffen.
Das Master-Passwort ist also reine Augenwischerrei und ist eher lästig als nützlich.

Von daher: Wie kann ich die Frage nach der Vergabe eines Master Passworts ausschalten?

da1l6
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 22
Dabei seit: 06 / 2007
Betreff:

Re: Hibiscus + MySQL, wofür das "Master-Passwort"?

 · 
Gepostet: 01.08.2007 - 16:08 Uhr  ·  #2
Hallo da1l6, Jamaica /Hibiscus kennt Kommandozeilenparameter und die README gibt Auskunft darüber. Es gibt auch einen für das Master Passwort, ich denke damit kannst du dir helfen:

Zitat

-p <Passwort>, --password=<Passwort>
Ueber diesen Parameter kann das Master-Passwort ueber einen Startparameter
uebergeben werden. Dies kann zum Beispiel genutzt werden, wenn Jameica
im Server-Modus automatisch beim Booten des Betriebssystem gestartet
werden soll und keine Benutzerinteraktion moeglich ist.
WICHTIG: Bitte stellen Sie sicher, dass das Passwort hierbei nicht
fuer Dritte zugaenglich wird.


Viel Spass beim freien Onlinebanking ;)
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10071
Dabei seit: 03 / 2005
Betreff:

Re: Hibiscus + MySQL, wofür das &quot;Master-Passwort&quot;?

 · 
Gepostet: 01.08.2007 - 17:59 Uhr  ·  #3
Zitat

Habe gerade Hibiscus mit MySQL als Datenbank ans laufen bekommen, funktioniert soweit gut, aber wofür ist dann noch das Master Passwort gut?


Die Abfrage des Masterpasswortes stammt nicht von Hibiscus sondern ist elementarer Bestandteil vom zugrundeliegenden Frameworks Jameica. Es erstellt beim ersten Start einen Keystore mit einem zugehoerigen Zertifikat. Dieser Keystore wird mit dem Masterpasswort verschluesselt. Das allein macht natuerlich noch keinen Sinn. Allerdings existieren neben Hibiscus inzwischen noch eine Reihe weiterer Plugins. Wenn irgendeines davon Verschluesselung oder Signierung von Daten braucht, muss das dann nicht mehr im Plugin implementiert werden. Stattdessen kann die bestehende Infrastruktur von Jameica genutzt werden.

Heisst: Die Tatsache, dass das Masterpasswort nur in diesem einen Einsatz-Szenario (Hibiscus+Mysql) keinen Sinn macht, heisst noch lange nicht, dass man deswegen komplett drauf verzichten kann.

Zitat

Im Home-Verzeichniss eines jeden Berechtigten Nutzers liegt das Datenbankpasswort unverschlüsselt.


Ja. Allerdings nur deshalb, weil noch keine Benutzeroberflaeche zum Eingeben der MySQL-Zugangsdaten in Hibiscus existiert. Wuerde sie existieren, koennte man das Passwort selbstverstaendlich via Master-Passwort schuetzen.
Der MySQL-Support ist jedoch primaer entstanden, um Hibiscus ohne GUI im Server-Modus laufen zu lassen und von Drittanwendungen auf die Datenbank zugreifen zu koennen. In diesem Szenario existiert die Hibiscus-Configdatei mit dem MySQL-Passwort nur einmal und kann mittels Betriebssystem-Bordmitteln (aka Dateirechte) geschuetzt werden.

Zitat

Dieses Reicht völlig aus um sich Zugang zu den Daten zu verschaffen.
Das Master-Passwort ist also reine Augenwischerrei und ist eher lästig als nützlich.


Da MySQL die Daten standardmaessig unverschluesselt sendet, ist selbst dieses Passwort nicht wirklich noetig. Genau das steht als Sicherheitshinweis jedoch auch am Ende der Anleitung im Wiki (http://hibiscus.berlios.de/doku.php?id=support:mysql).
Dieses Szenario sollte nur in gesicherten und vertrauenswuerdigen Netzen genutzt werden.

Gruss
Olaf
Gewählte Zitate für Mehrfachzitierung:   0