Krolik napisał(a)
dzieki temu hasło do bazy danych zapisane w pliku "configuration.php" jest zaszyfrowane
Aplikacja żeby działać, musi je odszyfrować. Inaczej nie połączy się z bazą. Jeśli zdobędę dostęp do configuration.php, to raczej też zdobędę dostęp do reszty źródeł -> procedury deszyfrującej / klucza.
W takiej sytuacji złamanie tego to pięć minut roboty, niezależnie od siły szyfrowania i długości klucza. Ściągam sobie kod CMSa, odpalam u siebie pod debuggerem, ustawiam breakpoint na mysql_open czy jakoś tak i hasło do bazy mam na dłoni. Nawet nie muszę wiedzieć, gdzie jest to całe Wasze szyfrowanie. Jak dla mnie klasyczny przypadek security-by-obscurity.
Tysiąc razy lepiej napisać w dokumentacji otwarcie - "administratorze, ustaw prawa dostępu tak, aby nikt Ci się nie dobrał do plików konfiguracyjnych CMSa, bo tam jest jawnie zapisane hasło do bazy".
Pisałem wyżej że "nie twierdzę że się nie da tego zrobić nawet teraz, ale już nie każdy "script kiddie" sobie z tym poradzi" i nie sądzę żeby było to tak proste jak mówisz
Security through obscurity lub security by obscurity (z ang. bezpieczeństwo poprzez niezrozumiałość) to przykład złych praktyk stosowanych w bezpieczeństwie teleinformatycznym, którego istotą jest ukrywanie detali dotyczących implementacji, formatów i protokołów przed potencjalnymi adwersarzami. Osoby stosujące tę technikę wierzą, że nawet jeśli system posiada luki, nieznajomość błędów uniemożliwia przeprowadzenie ataku.
Przecież nie o to nam chodzi ! Techniki ataku na strony WWW nie są nam wcale obce dlatego nie rozumiem dlaczego z góry zakładacie że system jest dziurawy. Może gdzieś jest błąd o którym nie wiemy, w każdym popularnym systemie CMS takie błędy były więc czemu i tu miało by takich nie być, ale na pewno nie po to szyfrujemy skrypty. Szyfrowanie hasła do bazy to tak naprawdę detal , wolę mieć takie zabezpieczenie niż żadnego i trzymać hasło jawnie, MWCMS jest produktem komercyjnym więc też musieliśmy rozwiązać problem licencjonowania stąd soft ionCube.
Dlaczego w waszym założeniu każda aplikacja PHP ma być open source ? Czy wszyscy do swoich aplikacji dają źródło ? Nie, bo mają prawo nie dawać i my chcemy z niego skorzystać.
Głównym problemem że ciężko nam się dogadać jest to że my mamy podejście biznesowe bo tak zarabiamy na życie, a Wy chyba uważacie że wszystko powinno być za free w Internecie.
Nikogo nie zmuszam do używania naszego systemu, nie chwalimy się naszymi super zabezpieczeniami nie do "zhackowania" akurat temat bezpieczeństwa wyniknął przypadkowo. Szukamy ludzi chętnych do współpracy to był główny cel tego tematu.
MWCMS ma wiele innych zalet, pracujemy nad uruchomieniem Online Demo, żeby każdy mógł przetestować silnik.