» Ziel der Hacker: Emailadressen aus der Datenbank

mgutt · 06.02.2008, 09:34

Eigentlich jeder Angriff auf große Communities zielt auf Benutzerdaten ab. Entweder Anschriften, Kreditkartendaten oder Emailadressen.

Wie könnte man diese Daten schützen? Und vor allen Dingen, wie macht man das, ohne das es übermäßig langsam wird. Denn gerade auf die Emailadressen der Mitglieder wird massig zugegriffen, um einen Emailverteiler, Diskussionsbenachrichtungen oder Informationsmails versenden zu können.

Daher sollte die Entschlüsselung nicht zu zeitaufreibend sein.

Ein Hacker kann Zugriff auf verschiedene Daten erhalten. Entweder schafft er den FTP-Zugriff und/oder den MySQL-Zugriff. In der Regel schafft er nur eins von beidem bzw. wenn er FTP-Zugriff hat, hat er meistens auch direkt MYSQL-Zugriff. Daher sollte das wichtigste, nämlich der FTP-Zugang, möglichst penibel gesichert sein (langes kompliziertes Passwort, keine externe und interne Dateiinkludierung möglich machen, usw.).

Eine Idee, die aber nur schützt, wenn der Angriff ausschließlich auf die MySQL-Datenbank erfolgreich war, ist es die Emailadressen leicht zu verschlüsseln und den Schlüssel zur Entschlüsselung in php-Dateien zu hinterlegen.

Hierfür bieten sich die folgenden MySQL Funktionen an:
AES_ENCRYPT
AES_DECRYPT
ENCODE
DECODE

Wenn man SSL hat, dann gehen noch diese:
DES_DECRYPT
DES_ENCRYPT

Von der Geschwindigkeit her führt AES_DECRYPT, DES_CRYPT ist im Mittelfeld, wo hingegen DECODE durchaus mal doppelt so lange brauchen kann wie AES_DECRYPT.

Laut MySQL ist AES_DECRYPT auch die sicherste aller Methoden in MySQL:

ZitatAES_ENCRYPT() und AES_DECRYPT() können als die aus kryptografischer Sicht sichersten Verschlüsselungsfunktionen gelten, die derzeit in MySQL zur Verfügung stehen.

Also empfiehlt es sich die Emailadressen mit AES in der Datenbank zu verschlüsseln und den Schlüssel selbst in einer php-Datei abzulegen.

Sollte die CPU noch Reserven haben, so könnte man zusätzlich über base64_encode() in PHP nachdenken. Oder man schreibt sich eine eigene Verschlüsselungsfunktion, was sogar noch besser wäre.

Als salt für die AES Verschlüsselung bietet sich z.B. md5($username) an, da dieser pro User einmalig ist. Um das ganze aber noch besser zu machen könnte man einmalige Werte pro Script hinzufügen. In Forensystem bietet sich z.B. die Startzeit des Forums an. Diese ist in jedem Forum anders und resultiert dann sowas:

$salt = md5($username . $board_config['board_starttime']);

Auf diese Art hat man pro eingesetzem Script und pro User einen anderen salt. Das macht die Rückwärtsberechnung ziemlich langwierig, wenn nicht sogar unmöglich.

Hat ein Hacker aber auch FTP-Zugriff hilft diese Art der Verschlüsselung auch nicht weiter.

Wer hätte für diesen Fall eine Idee? Im Gegensatz zur Passwortverschlüsselung, können wir hier nämlich leider nicht den Zeitfaktor ausspielen, da wir dann das eigene Projekt unnötig verlangsamen würden.

P.S.: Bei Kreditkartendaten / Anschriften wäre das übrigens egal. Da könnten wir über eine komplizierte Verschlüsselung nachdenken, da diese Daten nicht oft benötigt werden.

Gruß

programmierer-forum.de · Gast

Mach mit!

Wenn Dir die Beiträge zum Thread "Ziel der Hacker: Emailadressen aus der Datenbank" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden:

Registrierte Mitglieder genießen die folgenden Vorteile:
✔ kostenlose Mitgliedschaft
✔ keine Werbung
✔ direkter Austausch mit Gleichgesinnten
✔ neue Fragen stellen oder Diskussionen starten
✔ schnelle Hilfe bei Problemen
✔ Bilder und Videos hochladen
✔ und vieles mehr...

Autor	Nachricht
mgutt Administrator Name: Marc Geschlecht: Anmeldedatum: 28.08.2004 Beiträge: 52420 Wohnort: Lohmar Meine eBay-Auktionen:	06.02.2008, 09:34 zitieren Eigentlich jeder Angriff auf große Communities zielt auf Benutzerdaten ab. Entweder Anschriften, Kreditkartendaten oder Emailadressen. Wie könnte man diese Daten schützen? Und vor allen Dingen, wie macht man das, ohne das es übermäßig langsam wird. Denn gerade auf die Emailadressen der Mitglieder wird massig zugegriffen, um einen Emailverteiler, Diskussionsbenachrichtungen oder Informationsmails versenden zu können. Daher sollte die Entschlüsselung nicht zu zeitaufreibend sein. Ein Hacker kann Zugriff auf verschiedene Daten erhalten. Entweder schafft er den FTP-Zugriff und/oder den MySQL-Zugriff. In der Regel schafft er nur eins von beidem bzw. wenn er FTP-Zugriff hat, hat er meistens auch direkt MYSQL-Zugriff. Daher sollte das wichtigste, nämlich der FTP-Zugang, möglichst penibel gesichert sein (langes kompliziertes Passwort, keine externe und interne Dateiinkludierung möglich machen, usw.). Eine Idee, die aber nur schützt, wenn der Angriff ausschließlich auf die MySQL-Datenbank erfolgreich war, ist es die Emailadressen leicht zu verschlüsseln und den Schlüssel zur Entschlüsselung in php-Dateien zu hinterlegen. Hierfür bieten sich die folgenden MySQL Funktionen an: AES_ENCRYPT AES_DECRYPT ENCODE DECODE Wenn man SSL hat, dann gehen noch diese: DES_DECRYPT DES_ENCRYPT Von der Geschwindigkeit her führt AES_DECRYPT, DES_CRYPT ist im Mittelfeld, wo hingegen DECODE durchaus mal doppelt so lange brauchen kann wie AES_DECRYPT. Laut MySQL ist AES_DECRYPT auch die sicherste aller Methoden in MySQL: ZitatAES_ENCRYPT() und AES_DECRYPT() können als die aus kryptografischer Sicht sichersten Verschlüsselungsfunktionen gelten, die derzeit in MySQL zur Verfügung stehen. Also empfiehlt es sich die Emailadressen mit AES in der Datenbank zu verschlüsseln und den Schlüssel selbst in einer php-Datei abzulegen. Sollte die CPU noch Reserven haben, so könnte man zusätzlich über base64_encode() in PHP nachdenken. Oder man schreibt sich eine eigene Verschlüsselungsfunktion, was sogar noch besser wäre. Als salt für die AES Verschlüsselung bietet sich z.B. md5($username) an, da dieser pro User einmalig ist. Um das ganze aber noch besser zu machen könnte man einmalige Werte pro Script hinzufügen. In Forensystem bietet sich z.B. die Startzeit des Forums an. Diese ist in jedem Forum anders und resultiert dann sowas: `$salt = md5($username . $board_config['board_starttime']);` Auf diese Art hat man pro eingesetzem Script und pro User einen anderen salt. Das macht die Rückwärtsberechnung ziemlich langwierig, wenn nicht sogar unmöglich. Hat ein Hacker aber auch FTP-Zugriff hilft diese Art der Verschlüsselung auch nicht weiter. Wer hätte für diesen Fall eine Idee? Im Gegensatz zur Passwortverschlüsselung, können wir hier nämlich leider nicht den Zeitfaktor ausspielen, da wir dann das eigene Projekt unnötig verlangsamen würden. P.S.: Bei Kreditkartendaten / Anschriften wäre das übrigens egal. Da könnten wir über eine komplizierte Verschlüsselung nachdenken, da diese Daten nicht oft benötigt werden. Gruß Gefällt mir Teilen twittern
▲	pn email

programmierer-forum.de Gast	06.02.2008, 09:34 zitieren Mach mit! Wenn Dir die Beiträge zum Thread "Ziel der Hacker: Emailadressen aus der Datenbank" gefallen haben oder Du noch Fragen hast oder Ergänzungen machen möchtest, solltest Du Dich gleich bei uns anmelden: Registrierte Mitglieder genießen die folgenden Vorteile: ✔ kostenlose Mitgliedschaft ✔ keine Werbung ✔ direkter Austausch mit Gleichgesinnten ✔ neue Fragen stellen oder Diskussionen starten ✔ schnelle Hilfe bei Problemen ✔ Bilder und Videos hochladen ✔ und vieles mehr...
▲

	Re: √	Letzter Beitrag
Hacker greifen falsches Ziel an :wall: http://www.sueddeutsche.de/digital/aktivisten-panne-hacker-attackieren-rugby-club-statt-aktienindex-1.1180552 Ein Fanclub des Rugby-Clubs US Dax im gleichnamigen südfranzösischen Städtchen ist Opfer einer unheilvollen Verwechslung geworden:... von mgutt	3 207	04.11.2011, 14:28 dealink
[News] 4,3 Millionen Emailadressen bei Honda gestohlen Honda hatte bei seiner Seite Acura Owners bzw. einem Marketingpartner ein Datenleck was dazu führte, dass alle Datensätze heruntergeladen werden... von mgutt	0 400	07.01.2011, 21:19 mgutt
noreply-Emailadressen anlegen wg. Spamfilter Hallo, wer noreply@example.org Adressen bei seinen Projekten anlegt, sollte dieses Postfach auf seinem Server anlegen. Es gibt viele Mailanbieter wie web.de, die die Existenz dieser Postfächer abfragt. Antwortet der Server dann mit "existiert... [Allgemein]von mgutt	0 638	21.10.2011, 12:37 mgutt
Private Nachrichten dürfen keine Emailadressen enthalten Hallo, auf Grund neuerlicher Spam-PNs werden ab sofort private Nachrichten abgelehnt, sofern diese eine Emailadresse enthalten und der User noch keinen Beitrag im Forum geschrieben hat. Da wir davon ausgehen, dass die Spammer automatisiert... von mgutt	4 391	02.01.2011, 16:51 mgutt
Der Hip-Hop Hacker Das Internet ist voll von Menschen, die sich als semiprofessionelle 1337-Hax0rz ausgeben. Bisher dachten wir von StopHipHop.de, echte Hacker seien ein Mythos, genauso wie die Massenvernichtungswaffen in Irak. Doch am Abend des 4. Aprils passierte etwas... von VtecMac	15 1.171	07.12.2007, 16:58 Tolga
Für die HACKER unter uns ... Unter folgendem findet ihr eine Seite, wo ihr in verschiedenen Leveln versuchen müsst zugang zum nächsten zu bekommen, indem ihr das Passwort knackt, umgeht, auslest wie auch immer ! Viel Spass ... von CTR_Thorsten	14 1.260	10.11.2004, 09:00 mgutt
Bitchchecker der Hacker lol die totale granate der kerl: http://www.sd.irc.de.vu/bitchchecker wahrscheinlich nur ein fake, aber trotzdem lustig... von mgutt	4 663	16.04.2005, 09:41 CheGuivera
Lotto...online...Hacker??? Hallo Leute, spielt hier jemand Lotto - womöglich sogar im Internet? Habe davon bis jetzt nur gelesen und finde das Ganze etwas dubios. Klar, heutzutage findet ja immer mehr digital statt. Aber Lotto? Die Gefahr, dass sich da jemand einhackt und so den... von DonAlfi	0 41	15.02.2017, 12:17 DonAlfi
Ich brauche einen Hacker für C++ etc. Ich muss für einen Kunden eine Anwendung analysieren. Sie wurde für Windows geschrieben und dann in das WIN CE Pocket Format geändert. Es gibt zwei .exe Files, eine .dll und zwei Verzeichnisse mit Bildern und Tönen. Die Frage ist, ob man die... von mgutt	3 439	23.02.2006, 17:45 Frank_FTW
P3Go-ein neuer PS3-Hacker-Stick Ein andere Mannschaft-GTBreak hat einen neuen Produkt-P3Go erforscht und am Oct.18. zum Vorschein gebracht. Guck mal und sieht, was der Unterschied zwischen P3GO und andere PS3-Hacker-Sticks ist. Eigenschaften von P3Go(GTBreak) 1.alle... von Nikolaus	0 624	03.11.2010, 09:35 Nikolaus