07.05.2013, 10:35
Hallo liebe MyBBler!
Wir hatten unlängst eine Sicherheitsüberprüfung, bei der auch unser mybb-Forum unter die Lupe genommen wurde. Dabei ergab sich die Frage, ob der loginkey, der ja nach erfolgreichem login als Cookie gesetzt wird (als Kombination aus uid und loginkey) auch verschlüsselt in der Datenbank gespeichert werden kann?
Falls es einem Eindringling gelingt, die Datenbank zu knacken, ist es momentan möglich, die Identität eines Benutzers zu übernehmen, ohne dessen Passwort kennen zu müssen, da der loginkey im Klartext abgelegt ist! Es wäre für uns also sehr wichtig, den loginkey verschlüsselt ablegen zu können! Gibt es eine Möglichkeit, das Forum entsprechend zu konfigurieren?
Wir hatten unlängst eine Sicherheitsüberprüfung, bei der auch unser mybb-Forum unter die Lupe genommen wurde. Dabei ergab sich die Frage, ob der loginkey, der ja nach erfolgreichem login als Cookie gesetzt wird (als Kombination aus uid und loginkey) auch verschlüsselt in der Datenbank gespeichert werden kann?
Falls es einem Eindringling gelingt, die Datenbank zu knacken, ist es momentan möglich, die Identität eines Benutzers zu übernehmen, ohne dessen Passwort kennen zu müssen, da der loginkey im Klartext abgelegt ist! Es wäre für uns also sehr wichtig, den loginkey verschlüsselt ablegen zu können! Gibt es eine Möglichkeit, das Forum entsprechend zu konfigurieren?