hallo, gibt es eine möglichkeit, die userdaten in der db zu verschlüsseln, ähnlich wie es bereits mit bankverbindungen und co passiert? also dass im falle einen hacks nicht die adressdaten und email adressen usw als klartext auslesbar sind, wenn jemand einen sql dump in die hände bekommt.
Möglich ist alles, aber so im Shop nicht vorgesehen und meiner Meinung nach nicht notwendig.
Den Aufwand für so ein Modul kann ich nicht abschätzen…
salut,
für jeden Ver- und Entschlüsselung muss im Shop ja eine Logik hinterlegt sein, sei es nur eine einfache php-Methode oder hochkomplexe Formel. Oder es müsste ein Verschlüsselung in der Datenbank implementiert sein.
In beiden Fällen muss der Shop ja lesen zugreifen können, und damit kann man die Daten sowieso abgreifen können.
In der Tabelle oxuserpayments sind die Daten nicht verschlüsselt, PhpMyAdmin zeigen diese nur nicht an da es nicht als Text gespeichert ist.
ceau
Hallo,
der Unterschied zum Passwort ist, dass man die Daten wieder im Klartext benötigt. Man kann also nur eine umkehrbare Verschlüsselung nehmen.
Wenn jemand unberechtigt an einen SQL-Dump kommt, würde ich mal behaupten, hast du andere Sorgen.
Gruß Joscha
[QUOTE=jkrug;66964]
Wenn jemand unberechtigt an einen SQL-Dump kommt, würde ich mal behaupten, hast du andere Sorgen.
[/QUOTE]
das ist mir klar. aber wa smachste bei einem bisher unendeckten xss? da haben alle die gleichen sorgen.
geht ja nur darum, dass im falle eines falles der fall einfach nicht so dramatisch ist.
wenn ich ein secret zum hashen der daten nehme, muss der angreifer immerhin auch an dieses kommen. also wenn das in der config drinsteht, muss er erstmal an die kommen und and den mysql dump.
Hallo,
ja, klar. Bei XSS wird dir dies aber nicht viel helfen, da du auf Clientseite die Daten wieder unverschlüsselt ausgeben musst.
Ich will nochmal drauf zurück kommen:
[QUOTE=ChristophH;66948]Den Aufwand für so ein Modul kann ich nicht abschätzen…[/QUOTE]
Ich halte das gar nicht für so dramatisch vom Aufwand her. betrifft ja im Prinzip nur die User-Objekte. Hier müsste man dei save- und die get-Funktionen anpassen.
Gruß Joscha
salut,
natürlich nicht die Bestellungen vergessen(auch dort stehen die Kundendaten drin)!
Dann gäbe es noch die Newsletterabonnenten, die noch offenen Gutscheine, die Preise müsste auch nicht jeder erfahren, 
Allein bei der Anpassung der Save/Get-Methoden wird es nicht bleiben. Es gibt garantiert noch genügend Stellen im Shop bzw. in Modulen die einfach Daten aus der oxuser per Abfrage holen oder speichern (müssen).
ceau
[QUOTE=gaertnermarkus;67014]salut,
natürlich nicht die Bestellungen vergessen(auch dort stehen die Kundendaten drin)!
Dann gäbe es noch die Newsletterabonnenten, die noch offenen Gutscheine, die Preise müsste auch nicht jeder erfahren,
Allein bei der Anpassung der Save/Get-Methoden wird es nicht bleiben. Es gibt garantiert noch genügend Stellen im Shop bzw. in Modulen die einfach Daten aus der oxuser per Abfrage holen oder speichern (müssen).
ceau[/QUOTE]
You are right! 
Ich wollte es auch nicht machen. Lieber die Zeit für ein echtes Review verwenden.
Gruß Joscha