Passwort unsichtbar machen

Computer: Software & Programmierung Perl & CGI
#1

Hallo!

Wenn ich ein Perl-Programm schreibe, das mit einer Datenbank verbinden soll, müssen die Login-Daten dafür ja notwendigerweise dort drin stehn. Das ist mir aber ein wenig zu unsicher, da das Passwort ja direkt im Quelltext steht und ganz einfach gelesen werden kann, wenn man sich diesen anguckt.
Gibt es eine Möglichkeit, dieses Passwort zuverlässig zu verschlüsseln, oder kommt man an den Quelltext einer .pl Datei gar nicht heran?
Über die URL Eingabe im Browser wird es nicht funktionieren - da wird ja das Script dann ausgeführt. Aber was ist zum Beispiel mit einem Download-Manager? Der würde doch locker die Datei runterladen können und der, der will kann in Ruhe das Passwort in meinem Script suchen.

Danke im Voraus

und

mfg Christoph

#2

Hallo,

Wenn ich ein Perl-Programm schreibe, das mit einer Datenbank
verbinden soll, müssen die Login-Daten dafür ja
notwendigerweise dort drin stehn.

… oder in einer Konfigurationsdatei.
Egal wie, du musst dafür sorgen, dass andere Benutzer diese Datei (also .pl-Script oder config-Datei) nicht lesen können, indem du die entsprechenden Berechtigungen setzt.

Bei CGI-Scripten kann der Benutzer den Quelltext des Scriptes nicht sehen.
Problematisch wird es allerdings wieder, wenn es andere Benutzer auf dem selben Server gibt, die auch CGI-Scripte laufen lassen können - die können das Passwort wiederum auslesen.

Gibt es eine Möglichkeit, dieses Passwort zuverlässig zu
verschlüsseln

Nein. Wenn es das Script entschlüsseln kann, kann ein Benutzer das auch machen.

Grüße,
Moritz

#3

Über die URL Eingabe im Browser wird es nicht funktionieren -
da wird ja das Script dann ausgeführt. Aber was ist zum
Beispiel mit einem Download-Manager? Der würde doch locker die
Datei runterladen können

zw. downloadmanager und browser gibt es aber keinen unterschied: ueber http wird vom webserver das cgi ausgefuehrt ueber z.b. ftp kann die datei im quelltext geholt werden.

#4

Gibt es eine Möglichkeit, dieses Passwort zuverlässig zu
verschlüsseln

Nein. Wenn es das Script entschlüsseln kann, kann ein Benutzer
das auch machen.

man könnte es höchstens mit crypt oder so verschlüsseln. das ist dann
eine weitere hürde - wenn jemand das gecryptete passwort rausfindet,
muss er das original erst noch durch ausprobieren herausfinden, was eine weile
dauern kann.

#5

man könnte es höchstens mit crypt oder so verschlüsseln.

hab grad gelesen, dass es das passwort für die datenbank ist - das
geht dann natürlich nicht.