Zitat
Habe gerade Hibiscus mit MySQL als Datenbank ans laufen bekommen, funktioniert soweit gut, aber wofür ist dann noch das Master Passwort gut?
Die Abfrage des Masterpasswortes stammt nicht von Hibiscus sondern ist elementarer Bestandteil vom zugrundeliegenden Frameworks Jameica. Es erstellt beim ersten Start einen Keystore mit einem zugehoerigen Zertifikat. Dieser Keystore wird mit dem Masterpasswort verschluesselt. Das allein macht natuerlich noch keinen Sinn. Allerdings existieren neben Hibiscus inzwischen noch eine Reihe weiterer Plugins. Wenn irgendeines davon Verschluesselung oder Signierung von Daten braucht, muss das dann nicht mehr im Plugin implementiert werden. Stattdessen kann die bestehende Infrastruktur von Jameica genutzt werden.
Heisst: Die Tatsache, dass das Masterpasswort nur in diesem einen Einsatz-Szenario (Hibiscus+Mysql) keinen Sinn macht, heisst noch lange nicht, dass man deswegen komplett drauf verzichten kann.
Zitat
Im Home-Verzeichniss eines jeden Berechtigten Nutzers liegt das Datenbankpasswort unverschlüsselt.
Ja. Allerdings nur deshalb, weil noch keine Benutzeroberflaeche zum Eingeben der MySQL-Zugangsdaten in Hibiscus existiert. Wuerde sie existieren, koennte man das Passwort selbstverstaendlich via Master-Passwort schuetzen.
Der MySQL-Support ist jedoch primaer entstanden, um Hibiscus ohne GUI im Server-Modus laufen zu lassen und von Drittanwendungen auf die Datenbank zugreifen zu koennen. In diesem Szenario existiert die Hibiscus-Configdatei mit dem MySQL-Passwort nur einmal und kann mittels Betriebssystem-Bordmitteln (aka Dateirechte) geschuetzt werden.
Zitat
Dieses Reicht völlig aus um sich Zugang zu den Daten zu verschaffen.
Das Master-Passwort ist also reine Augenwischerrei und ist eher lästig als nützlich.
Da MySQL die Daten standardmaessig unverschluesselt sendet, ist selbst dieses Passwort nicht wirklich noetig. Genau das steht als Sicherheitshinweis jedoch auch am Ende der Anleitung im Wiki (http://hibiscus.berlios.de/doku.php?id=support:mysql).
Dieses Szenario sollte nur in gesicherten und vertrauenswuerdigen Netzen genutzt werden.
Gruss
Olaf