Hallo,

Es ist ja nicht sicher Paßwörter für CGI-Scripts in .txt Datein zu speichern, da die dort die ganze Welt lesen kann. Gibt es eine Möglichkeit die Dateirechte so zu setzen das sie nicht über http gelesen werden können und Paßwörter darin sicher sind?

Ist es überhaupt sicher Paßwörter in einem Script zu speichern oder kann man irgendwie von außen an die Daten ran?

mfg

Alex

ich habe die erfahrung gemacht, das auf unix rechner, allen pfaden unterhalb des cgi-bin die gleichen Rechte anheim fallen, und diese schliessen meist nur ausführen (für welt) ein. soll heissen ein simpler aufruf von http://server/cgi-bin/passwords.txt funktioniert dort nicht (nur unter Windows (IIS) geht das bei standardeinstellungen) es gibt einen :

Forbidden
You don't have permission to access /cgi-bin/password.txt on this server.

im falle eines scripts (solange der server weiss was er damit machen soll) führt er dieses aus.

allerdings im falle von FTP sieht das anders aus, -hast du zugang/berechtigung für das directory (user/groups) dann is asche mit sicherheit, dann kannste logger mal eben das script oder cfg-datein downloaden.

---

bei passwörtern arbeite ich generell mit crypt() bzw. ähnlichem (TripleDES), indem ich die passwörte grundsätzlich verschlüssele, und die verschlüsselten passwörter vergleiche (standard-system).

deshalb liegen auch nur verschlüsselte rum, und ein verschlüsseltes passwort übergeben würde nur zu einer weiteren verschlüsselung des bereits verschlüsselten passworts führen, und der vergleich schlägt fehl...

correct me if i'm wrong ;)=

ceejay
mfg
ceejay