| | | | |
| |||||||
| Off-Topic Diskussionen Mach mal Pause vom Programmieren! |
 |
| | LinkBack | Themen-Optionen | Thema bewerten |
23.11.2010, 22:01
| |
| Benutzer Registriert seit: 04.10.2010
Beiträge: 62
PHP-Kenntnisse: Fortgeschritten  |  Speicherung von Benutzerdaten Hallo, ich war heute auf einer Konferenz zum Thema Internetsicherheit und Datenschutz. Ein Referent hat gesagt, dass der Datenschutzbeauftragte des Landes gemeint hat, man solle die Benutzerdaten am besten getrennt von den Mailadressen und Anmeldedaten speichern. Also auf zwei Tabellen aufteilen. Jetzt frage ich mich halt wo da konkret der Sinn liegt. Und ob das noch mehr Benutzerdaten betrifft. Hat das was mit Injections zu tun. Das der Angreifer evtl. zum Beispiel nicht gleich alle Daten bekommt weil diese auf zwei Tabellen verteilt sind? Was ich mir auch denken könnte wäre, das Benutzerdaten so unabhängig von Backups sind. Denn wenn in den AGBs steht, dass die Benutzerdaten höchstens 2 Monate gespeichert sind, kann man diese Tabelle natürlich einfach aus der Datensicherung ausschließen, ohne dass aber die Beziehungen anderer Datensätze der Benutzer im Notfall betroffen sind. Hab ich da evtl. einfach net richtig zugehört oder hat er Unsinn geredet? Wär dankbar wenn jemand Erfahrung damit hat. LG |
|  |
 | |
| PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten | |
|
23.11.2010, 22:02
| |
| moderatives Dielektrikum  Registriert seit: 21.05.2008
Beiträge: 35.987
PHP-Kenntnisse: Fortgeschritten  | Vielleicht hättest Du den fragen sollen, der das behauptet hat.. E-Mail oder Twitter sind da Möglichkeiten..
__________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. -- |
|
| |
|
23.11.2010, 22:41
| |
| Benutzer Registriert seit: 04.10.2010
Beiträge: 62
PHP-Kenntnisse: Fortgeschritten | Hab ihn auch gefragt. Er hat mich auf den Datenschutzbeauftragten von Brandenburg verwiesen. Hat gesagt, der freut sich, wenn jemand anruft. Evtl. mache ich das auch einmal.  Der Referent erschien mir auch net wirklich so kompetent. Das was ich oben als Begründung geschrieben hab, hab ich mir halt selber ausgedacht. Weil ich dachte irgendeinen Sinn muss das ja haben. Und weil ich gerade an nem neuen System arbeite und auch mit der Datenspeicherung beschäftigt bin is das halt wichtig. Nicht dass ich das zum Schluss nicht einsetzen kann, weil Datenschutzbestimmungen nicht eingehalten wurden. |
|
| |
|
23.11.2010, 22:47
| |
| Moderator Registriert seit: 06.06.2008
Beiträge: 4.945
PHP-Kenntnisse: Fortgeschritten  | Deine Anwendung führt die Daten per Join zusammen. Ein Angreifer, der Zugang zur Datenbank bekommt hat beide Tabellen und, wenn er nicht total verblödet ist auch die Kenntnis, wie das verbunden sein muss (Hans Meier <=> hans.meier@example.org). Ich halte das für Kokolores.
__________________ Warum denkt mein Hund eigentlich immer dann, wenn es an der Tür klingelt, es sei für ihn? |
|
| |
|
23.11.2010, 23:17
| ||
| Erfahrener Benutzer  Registriert seit: 20.03.2010
Beiträge: 474
PHP-Kenntnisse: Fortgeschritten   | Zitat:
__________________ Wir schreiben schließlich Code und malen keine ASCII-Bilder. | |
|
| |
|
23.11.2010, 23:48
| |
| da schreibt der ElePHPant  Registriert seit: 18.06.2008
Beiträge: 8.903
PHP-Kenntnisse: Fortgeschritten | Mh frag mal nach, würd mich auch interessieren. Ich kann mir so direkt keinen wirklich guten Grund vorstellen. |
|
| |
|
25.11.2010, 10:50
| |
| Erfahrener Benutzer Registriert seit: 02.09.2009
Beiträge: 1.019
PHP-Kenntnisse: Fortgeschritten | Ich schätze mal es geht eher um zwei physisch getrennte Stores. Also eher verschiedene Datenbanken als Tabellen. Und die am Besten auch noch an zwei verschiedenen Orten. Den Rat kriegt man relativ oft, wenn es um Sicherheit geht. Über den Sinn kann man streiten. Mehr Sinn macht es wenn man die Berechtigungen an einem getrennten Ort hält. Dann hat ein Angreifer beim Bruch eines der Systeme entweder die Berechtigungen (mit denen er mangels Login nichts anfangen kann) oder die Logins (aber ohne die Möglichkeit der Priviliege Escalation [falls nicht admin, dann eh egal])
__________________ Wir suchen PHP Entwickler (Vollzeit) im Raum Darmstadt / Rhein-Main. Infos via E-Mail mueller@new-frontiers.de |
|
| |
|
25.11.2010, 11:43
| |
| Benutzer Registriert seit: 04.10.2010
Beiträge: 62
PHP-Kenntnisse: Fortgeschritten | Hm...wie auch immer...konnte jetzt mit ihm keine Diskussion darüber anfangen. Das wäre wohl zu weit vom eigentlichen Thema abgewichen. Aber danke erstmal für die Antworten. |
|
| |
|
25.11.2010, 12:49
| |
| Erfahrener Benutzer Registriert seit: 04.08.2010
Beiträge: 287
PHP-Kenntnisse: Fortgeschritten | ich sehe da die Möglichkeit von mehreren Datenbankverbindungen in der Anwendung. Eine Verbindung mit einem User, der kaum Rechte hat und eine für erweiterte Rechte. Sollte es dann ein Angreifer schafen, SQL-Injections z.B. in einem Suchformular auszuführen, kann er keine Daten verändern oder gar sensible Daten auslesen |
|
| |
|
26.11.2010, 09:21
| |
| Erfahrener Benutzer Registriert seit: 02.09.2009
Beiträge: 1.019
PHP-Kenntnisse: Fortgeschritten | @zwutz: auch ne Möglichkeit, allerdings nur solange die SQL-Injection nicht auch beim Admin-Login möglich ist  Meistens werden ja für alle Eingaben die gleichen Sicherheitstests gemacht, sprich wenn das Suchformular anfällig ist, ist meist auch das Login-Formular anfällig. Dann macht's auch keinen Unterschied mehr, ob du eine oder zwei Verbindungen hast.
__________________ Wir suchen PHP Entwickler (Vollzeit) im Raum Darmstadt / Rhein-Main. Infos via E-Mail mueller@new-frontiers.de |
|
| |
| |
| Themen-Optionen | |
| Thema bewerten | |
|
|
| Besucher kamen über folgende Suchanfragen bei Google auf diese Seite |
| software zur speicherung von benutzerdaten, speicherung von benutzerdaten datenschutz, datenspeicherung benutzerdaten, speicherung benutzerdaten, benutzerdaten speicherung, benutzerdaten php, speicherung von benutzerdaten |
