Hello,
Die phpmyadmin Doku habe ich mir gestern mal angeschaut, als der Thread hier aufkam, und mich mit Grausen abgewendet.
Oh. Ich habe Anfang des Jahrtausends eine Weile damit hantiert. Und mich mit Grausen abgewendet.
Zahlreiche merkwürdige Zugriffsversuche in den Logfiles meines Webservers bestätigen das Grausen und die Richtigkeit des Abwendens.
Hier gibt es mindestens fünf Angriffsvektoren:
- fehlende TLS-Verbindung zwischen Client und Host
- Fehler in der phpMyAdmin-Software
- Fehler bei der Einrichting des PHP-Moduls (oder ...)
- Fehler bei der Einrichtung der phpMyAdmin-Software
- Fehler bei der User-Einrichtung des DBMS (denn phpMyAdmin nutzt die Userrechte des DBMS)
Das ist auch der Grund, warum ich mich schon von Anfang an gegen eine solche Käselösung (die unvorhersehbaren Löcher) gewandt habe und nach anderen Möglichkeiten gesucht habe.
Da gab es am Anfang nur den MySQL-Client, der direkt auf dem Host lief und per SSH in der Remote-Console benutzt werden konnte. Lästig bei der Definition von Triggern.
Dann kam Heidi.
Dann eine Heidi-Entführung (zum Glück)
Dann wieder Heidi vom ursprünglichen Entwickler. Die Entführung hatte ihn vermutlich motiviert, doch selber weiter zu machen ;-)
Und viele, viele Andere.
Was ich auf jeden Fall dringend renovieren muss, sind die TLS-Kriterien für den Zugriff per Heidi auf Port 3306.
Glück Auf
Tom vom Berg