Gleichzeitiges Befüllen von Tabelle a_user und Tabelle user mit Daten

Natürlich kenne ich das Argument. Und ich verstehe bzw. akzeptiere es auch, wenn sämtliche andere Daten eines User auch verschlüsselt gespeichert werden.

Aber ich kann mir bei Gott nicht vorstellen, dass z.b. auf tutorials.de meine Adresse verschlüsselt gespeichert wird...

Datenschutz bezieht sich bei Gott nicht nur auf Passwörter! Und das vergessen viele. Ich habe das Gefühl, dass es sich dabei einfach um einen einheitlichen Tenor handelt, denn alle kräftig nachsingen und den eigentlich Sinn dahinter nicht hinterfragen...

Wo ich Dir natürlich absolut recht gebe, ist das speichern von Passwörtern oder anderen sensiblen Daten in Cookies (verschlüsselt oder nicht). Denn dort hat so gut wie jeder Zugriff...
 
Aber warum die Gelegenheit überhaupt bieten?
Es lässt sich definitiv vermeiden, also sollte man das auch tun.

Wenn du dem nicht zustimmst, ok, ist deine Meinung.
Andere User aber dazu anzustiften verbitte ich mir!
 
Ich stifte niemanden dazu an.. Aber wenn Du hier schon diesen berechtigten Einwand bringst, würde ich das auf alle Daten ausweiten. Das ist ansonsten genauso eine Verwirrung.. Vielleicht sollte man als Tutorial mal einen Thread machen "Datenschutz" und welche Daten verschlüsselt gespeichert werden sollten und welche Encryption-Algorithmen verfügbar sind....

Was noch gehen würde: Du kannst das Passwort auch mit einem Algorithmus verschlüsseln, denn Du auch wieder entschlüsseln kannst. Die Sicherheit solcher Funktionen ist aber wesentlich geringer...
 
Vorsicht mit Pauschalisierungen...
Du musst schon zwischen Passwörtern und Adressdaten unterscheiden!

Die Adressdaten braucht z.B. ein Diensteanbieter um dir ne Rechnung zu schicken, ein Produkt zuzustellen, Mahnungen verschicken, usw.

Das Passwort benötigt niemand ausser dem User selbst.
 
Ja, das ist schon richtig.. Allerdings bezieht sich das Datenschutzgesetz wesentlich mehr auf persönliche Daten, denn auf Passwörter.

Daher finde ich es "heuchlerisch" wenn alle immer Posaunen: "Passwörter niemals blank in einer DB speichern", aber das eigentlich Wichtige (die Daten) außen vor lassen. Denn wenn jemand Zugriff auf die Datenbank hat, dann kann er sich gleich direkt alle benötigten Daten holen und das Passwort ist dann echt Nebensache...
Ich hoffe Du weißt was ich damit meine...

Und das Argument, dass jemand ein Passwort für alle Accounts verwendet, ist für mich auch nur bedingt berechtigt. Denn wenn jemand ein Passwort für alle Accounts verwendet, ist er meiner Meinung nach:
1. Echt dämlich
2. Selbst schuld
3. ein "Ich kleb mir mein System-Passwort mit einem Post-it auf den Monitor" - User
;)
 
Mik3e hat gesagt.:
Ja, das ist schon richtig.. Allerdings bezieht sich das Datenschutzgesetz wesentlich mehr auf persönliche Daten, denn auf Passwörter.
Zum Vergrößern anklicken....
Ich sprach von Richtlinien, nicht von dem Gesetz. Diesem "fu..ing manual" bin ich vertraut.

Mik3e hat gesagt.:
Daher finde ich es "heuchlerisch" wenn alle immer Posaunen: "Passwörter niemals blank in einer DB speichern", aber das eigentlich Wichtige (die Daten) außen vor lassen. Denn wenn jemand Zugriff auf die Datenbank hat, dann kann er sich gleich direkt alle benötigten Daten holen und das Passwort ist dann echt Nebensache...
Ich hoffe Du weißt was ich damit meine...
Zum Vergrößern anklicken....
Ja, weiss ich. Wenn allerdings jemand Zugriff auf die DB bekommt, nur weil jemand darüber, also z.B. Provider, zu "faul", "stur" oder gar unwissend ein Passwort im plain/text gespeichert hat, isses blöd ;)

Mik3e hat gesagt.:
Und das Argument, dass jemand ein Passwort für alle Accounts verwendet, ist für mich auch nur bedingt berechtigt. Denn wenn jemand ein Passwort für alle Accounts verwendet, ist er meiner Meinung nach:
1. Echt dämlich
2. Selbst schuld
3. ein "Ich kleb mir mein System-Passwort mit einem Post-it auf den Monitor" - User
;)
Zum Vergrößern anklicken....
Stimme ich dir voll zu!
Da ich aber nicht nur Programmierer, sondern auch Admin bin, versichere ich dir, daß du dir die Dunkelziffer genau dieser User gar nicht vorstellen kannst!
 
Zuletzt bearbeitet:
Jörg Rißmann hat gesagt.:
Stimme ich dir voll zu!
Da ich aber nicht nur Programmierer, sondern auch Admin bin, versichere ich dir, daß du dir die Dunkelziffer genau dieser User gar nicht vorstellen kannst!
Zum Vergrößern anklicken....

Da hast Du recht.. war selbst 2 Jahre lang Admin bei einem großen Konzern... Ich sag nur: "Hilfe, ich hab einen neuen Arbeitsplatz und kann mich nicht mehr einloggen, weil mein Passwort auf einem Notizblock in der Schublade meines alten Platzes gelegen ist" :p

Konklusio:
Ich wehre mich nur gegen die Aussage: Passwort unbedingt verschlüsseln, Rest ist egal... Denn eigentlich ist das Passwort ja nur dazu da, um einen Zugriff über das "offizielle" Frontend zu verhindern... Daher auch der Ansatz, dass die Passwortvergleiche IMMER mit dem verschlüsselten Passwort stattfinden. Am besten in Kombination mit SSL um ein "mitlauschen" der Datenübertragung zu verhindern.

Aber wenn man es genau nimmt, ist alles relativ. Ich denk da nur an das tolle und hochsichere PPTP Protokoll von Mircosoft, das bereits gehackt war, bevor es überhaupt den offiziellen Release gab (ist aber sicher schon 5-6 Jahre her und war ne echte Lachnummer).

Was anderes:
Wie würdest Du die "Passwort-Nachsenden" Funktion realisieren, wenn die Passwörter nur verschlüsselt gespeichert sind? Zwei-Wege Verschlüsselung
 
Mik3e hat gesagt.:
Da hast Du recht.. war selbst 2 Jahre lang Admin bei einem großen Konzern... Ich sag nur: "Hilfe, ich hab einen neuen Arbeitsplatz und kann mich nicht mehr einloggen, weil mein Passwort auf einem Notizblock in der Schublade meines alten Platzes gelegen ist" :p
Zum Vergrößern anklicken....
Ich hab schon 3x den Monitorklassiker (Geht nicht. Schalten sie in aus! Jetzt geht er) miterlebt...

Mik3e hat gesagt.:
Ich wehre mich nur gegen die Aussage: Passwort unbedingt verschlüsseln, Rest ist egal
Zum Vergrößern anklicken....
Hab ich nie behauptet. Ich bin nur auf das Passwort eingegangen.

Mik3e hat gesagt.:
Aber wenn man es genau nimmt, ist alles relativ. Ich denk da nur an das tolle und hochsichere PPTP Protokoll von Mircosoft, das bereits gehackt war, bevor es überhaupt den offiziellen Release gab (ist aber sicher schon 5-6 Jahre her und war ne echte Lachnummer).
Zum Vergrößern anklicken....
Jop, vage Erinnerung.

Mik3e hat gesagt.:
Wie würdest Du die "Passwort-Nachsenden" Funktion realisieren, wenn die Passwörter nur verschlüsselt gespeichert sind? Zwei-Wege Verschlüsselung
Zum Vergrößern anklicken....
Ich sende es nicht nach. Wenn es vergessen wurde, lasse ich ein neues generieren und sende es an die hinterlegte E-Mail-Adresse.
 
_voodoo hat gesagt.:
*hust* Geht diese Diskussion nicht ein wenig am Thema des Eröffners vorbei?
Zum Vergrößern anklicken....
Ja leider, hatte ich ja bereits auf Seite 1 befürchtet.
Da wir uns aber ausserordentlich sachlich unterhalten (können), sollte man überlegen daraus am Ende einen eigenen Thread zu machen.

*Admin/Mods herbeiwink*
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück