Moin,

Und NEIN! Es geht nicht anders. Bin mit da 100%ig sicher!

Ich bin mir 100%ig sicher, das es anders geht. So sicher, das ich darauf ein Jahresgehalt verwette. Bruce Schneier als Schiedsrichter? (Falls er sich für sowas gewinnen läßt natürlich)

Ruhig, Brauner. Es ist ja schon bei handelsüblichen Challenge-Response-Systemen (etwa HTTP Digest Auth) so dass auf dem authentifizierenden Server ein Klartextpasswort oder etwas vergleichbares nötig ist[1]. Und schlimmer noch: Wenn sich der Server einem anderen System gegenüber ausweisen soll und dieses nicht modifiziert werden kann, dann gibt es halt nicht wirklich einen anderen Weg. Oder willst du behaupten etwa GMX könnte einen POP3-Sammeldienst anbieten ohne die Passwörter der abzufragenden Accounts zu kennen? (Wie gesagt: "wenn das andere System nicht modifiziert werden kann")

Was die Verschlüss^WVerschleierung angeht: Das ist in vermutlich mehr als 50% der Fälle in der Tat sinnfrei. Es gibt aber einige Ausnahmen, insbesondere wenn das Skript mit dem Schlüssel und die Datenbank mit dem Geheimtext in unterschiedlichen Sicherheitskontexten laufen (was ja quasi immer der Fall ist). Ein anderer Benutzer auf dem System könnte möglicherweise ausreichend Kontrolle über das Datenbanksystem erlagen um die Datenbank zu lesen, hat damit aber noch nicht automatisch Kontrolle über das Skript. (Ja, gegen den Admin ist man _natürlich_ machtlos.) Ein anderes Szenario könnte zum Beispiel sein, dass die Datenbank ausgeführte Kommandos (also auch INSERTs) aus irgendeinem Grund mitloggt (etwa um unperformante Queries ausfindig zu machen) und diese Logs nicht mit der selben Sorgfalt behandelt werden wie die Datenbankdateien selbst. Und last but not least soll es ja hin und wieder mal vorkommen dass Datenbankdumps an den unmöglichsten Stellen auftauchen, die dazugehörigen Skripte aber nicht.

[1] Für Digest ist strenggenommen 'nur' ein Hash aus Benutzername, Passwort und Realm nötig, dieser Hash reicht aber bereits um sich dem Server gegenüber zu authentifizieren. Microsofts IIS speichert dann auch lieber gleich das Klartextpasswort (in einem AD, zugegeben) vermutlich um nicht für jeden Realm einen extra-Hash anlegen zu müssen.