Datenverschlüsselung notwendig?

[Leomuck]

Hallo allerseits,

bei einem aktuellen Projekt für einen befreundeten Delphi-Programmierer besteht die Forderung nach einem Team-Forum.

Diese speziell angepasste Kommunikationsmöglichkeit soll allerdings nur ausgewählten Personen zugänglich sein. Die einfache Lösung: ein Passwortschutz. Nur Personen mit dem richtigen Passwort (sicher und mehrfach verschlüsselt in der Datenbank abgelegt) bekommen den Inhalt des Forums angezeigt und erlangen generell Zutritt zu jenem.

Nun hat mich der Kollege nach Fertigstellung des Ganzem darauf hingewiesen, dass es nötig sei, die Inhalte des Forums verschlüsselt in der Datenbank zu speichern. Laut seiner Argumentation könnte man sonst über den Google Cache den Content sehen.

Dieser Punkt leuchtet mir dabei nicht ein. Der Inhalt wird überhaupt erst ausgegeben, wenn ein gültiger Login besteht, d.h. auch der Google Robot kann das Ganze nicht sehen und somit auch nicht im Cache speichern/anzeigen.

Wie seht ihr das?

P.S. Zur Verwendung kommen bei dem Projekt PHP 5, MySQL, Smarty.


Liebe Grüße,
Leander

 

[Loomis]

Laut seiner Argumentation könnte man sonst über den Google Cache den Content sehen

Nach dieser "Argumentation" müsste jeder Interne Bereich aus allen Standart PHP Foren (phpBB, VBulletin etc.) weltweit im Google Cache sein.
Überlege dir selbst ob du das glaubst oder nicht

Edit: Und "sicher und mehrfach verschlüsselt" finde ich auch etwas albern.

 

[karl123]

Hallo allerseits,
zum Thema, ob es nötig ist, die Inhalte verschlüsselt in der Datenbank zu halten, kann ich ais Sicht der Informationssicherheit (ISO 27001) etwas beitragen.
Es ist nicht eine Frage, ob man den Inhalt knacken kann, sondern nur, wie lange es dauert. Mit genügend großer krimineller Energie kann man alle Systeme knacken. Fachleute sagen, dass, wenn ein Hackerangriff erst nach 3 Tagen erfolgreich ist, man ein sehr gut abgesichertes System hat.
Grundsätzlich muss man sich aber zuerst einmal des Risikos bewusst werden. Wie groß ist die Bedrohung, also, dass überhaupt jemand den Inhalt sehen will, und es auch darauf anlegt? Wie groß ist die Wahrscheinlichkeit, dass genau das bei dieser Webseite / Datenbank der Fall ist? Man sollte dann alle Bedrohungen und auch die bisher angewandten Schutzmechanismen auflisten und das Rest-Risiko bewerten. Dann kann man es akzeptieren oder zusätzliche Maßnahmen durchführen.
Konkret ist also die Frage zu stellen, ob man wirklich ohne weitere Maßnahmen per Google-Chache die Daten sehen kann, und wie wahrscheinlich das ist.