Abo
  • Services:
Anzeige
Von einer solchen Fehlermeldung wurde unser Autor kürzlich überrascht.
Von einer solchen Fehlermeldung wurde unser Autor kürzlich überrascht. (Bild: Screenshot Hanno Böck)

Wie konnte das nur passieren?

Das Passwort habe ich umgehend geändert. Das Risiko ist überschaubar. Der Datenbanknutzer hatte nur Zugriffsrechte auf diese eine Datenbank, und darin war nichts geändert. Der Angreifer hätte zwar die Kontrolle über den Inhalt meiner Webseite erlangen können - es existiert eine Installation von PhpMyAdmin, die auch relativ leicht zu finden ist -, aber mehr vermutlich nicht. Es gibt keine direkte Möglichkeit, durch die Kontrolle über die Datenbank Code auf dem Server auszuführen. Diese Möglichkeit besteht nur, wenn ein Datenbanknutzer erweiterte Rechte hat (etwa die "FILE"-Berechtigung), aber das war nicht der Fall.

Anzeige

Passiert ist Folgendes: Aus komplett anderen Gründen war der MySQL-Datenbankserver abgestürzt und für kurze Zeit offline. Das führte dazu, dass beim Verbindungsversuch zur Datenbank ein Fehler auftrat. Es müssen ein paar Dinge zusammenkommen, damit dieser Fehler auftritt und ein Passwort enthält.

PHP besitzt eine Option display_errors, mit der konfiguriert werden kann, ob Fehlermeldungen direkt angezeigt werden. Die PHP-Dokumentation empfiehlt, diese Option auf Produktivsystemen zu deaktivieren, verschweigt aber die erheblichen Risiken, die damit einhergehen. Allerdings ist display_errors standardmäßig aktiviert, wenn man die Option in der PHP-Konfiurationsdatei überhaupt nicht setzt. Das steht übrigens nicht in der Dokumentation.

Display-Errors war bewusst aktiv

Es war kein Versehen, dass display_errors aktiviert war. Ich hatte mich vor längerer Zeit bewusst dafür entschieden. Ursprünglich war die Option auf dem entsprechenden Server global deaktiviert. Ich hatte allerdings bei einem Test einer neueren PHP-Version vor einiger Zeit gemerkt, dass mehrere meiner PHP-Skripte Fehler enthielten, die durch das Abschalten der display_errors-Option unbemerkt blieben. Um das zu verhindern, hielt ich es für sinnvoller, die Anzeigen von Fehlermeldungen standardmäßig zu aktivieren. Im Rückblick war das keine gute Idee.

Eine weitere Besonderheit hier ist, dass die Fehlermeldung einen Stack Trace enthielt. Nur dadurch wurde das Passwort sichtbar. Nicht alle Fehlermeldungen von PHP enthalten Stack Traces. Für Datenbankzugriffe verwendet die Seite die objektorientierte PDO-Erweiterung von PHP (PHP Database Object). Im Fall eines Verbindungsfehlers erzeugt diese eine Exception. Exceptions können mit den Befehlen try und catch abgefangen werden. Wenn man Exceptions jedoch unbehandelt lässt, werden die Fehlermeldungen mit Stack Trace ausgegeben. Fairerweise sei hier gesagt, dass die PDO-Dokumentation eine deutliche Warnung vor diesem Szenario enthält.

MySQL produziert harmlose Fehlermeldungen

Ungewöhnlich ist hier die uneinheitliche Behandlung von Fehlern durch PHP. Als Alternative zu PDO gibt es in PHP für MySQL-Verbindungen die mysqli-API. Die verwendet keine Exceptions und die Fehlermeldungen enthalten weder Stack Traces noch Passwörter. Das erscheint mir insofern bemerkenswert, als ich in der Vergangenheit häufig Nutzern empfohlen habe, PDO mit Prepared Statements zu verwenden. Die mysqli-API unterstützt jedoch ebenfalls Prepared Statements und ist daher möglicherweise die sicherere Alternative.

 IT-Sicherheit: Wie ich mein Passwort im Stack Trace fandPHP macht es dem Nutzer zu einfach, Fehler zu machen 

eye home zur Startseite
Astorek 15. Apr 2017

Gibt ja eine Website, die versucht, die bekanntesten Static Website Generatoren zu...

Noppen 15. Apr 2017

Mir ist letztens das Essen angebrannt. Ich würde sagen, dass die eigene Küche...

VigarLunaris 15. Apr 2017

Was soll ich da sagen... config.py enthält die variablen Darin liegen Brent-Hashing PWs...

.:Tim:. 15. Apr 2017

Naja, an das selbstverständlichste auf Produktivsystemen hat er nicht gedacht...

gadthrawn 14. Apr 2017

Es mag nur ein Schalter sein, aber intern wird mit einfachen Schaltern eben viel mehr...



Anzeige

Stellenmarkt
  1. ARRK ENGINEERING, München
  2. via 3C - Career Consulting Company GmbH, München, Frankfurt, Hamburg, Düsseldorf, Berlin (Home-Office)
  3. Robert Bosch GmbH, Stuttgart
  4. Fresenius Medical Care Deutschland GmbH, Bad Homburg


Anzeige
Top-Angebote
  1. (u. a. Far Cry Primal Digital Apex Edition 22,99€ und Watch_Dogs 2 Deluxe Edition 29,99€)
  2. (heute u. a. mit Sony TVs, Radios und Lautsprechern, 4K-Blu-rays und Sennheiser Kopfhörern)
  3. Aktuell nicht bestellbar. Gelegentlich bezüglich Verfügbarkeit auf der Bestellseite nachschauen.

Folgen Sie uns
       


  1. Störerhaftung abgeschafft

    Bundesrat stimmt für WLAN-Gesetz mit Netzsperrenanspruch

  2. Streaming

    Update für Fire TV bringt Lupenfunktion

  3. Entlassungen

    HPE wird wohl die Mitarbeiterzahl dezimieren

  4. Satellitennavigation

    Neuer Broadcom-Chip macht Ortung per Mobilgerät viel genauer

  5. VR

    Was HTC, Microsoft und Oculus mit Autos zu tun haben

  6. Razer-CEO Tan

    Gaming-Gerät für mobile Spiele soll noch dieses Jahr kommen

  7. VW-Programm

    Jeder Zehnte tauscht Diesel gegen Elektroantrieb

  8. Spaceborne Computer

    HPEs Weltraumcomputer rechnet mit 1 Teraflops

  9. Unterwegs auf der Babymesse

    "Eltern vibrieren nicht"

  10. Globalfoundries

    AMD nutzt künftig die 12LP-Fertigung



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Metroid Samus Returns im Kurztest: Rückkehr der gelenkigen Kopfgeldjägerin
Metroid Samus Returns im Kurztest
Rückkehr der gelenkigen Kopfgeldjägerin
  1. Doom, Wolfenstein, Minecraft Nintendo kriegt große Namen
  2. Nintendo Das NES Classic Mini kommt 2018 noch einmal auf den Markt
  3. Nintendo Mario verlegt keine Rohre mehr

Galaxy Note 8 im Test: Samsungs teure Dual-Kamera-Premiere
Galaxy Note 8 im Test
Samsungs teure Dual-Kamera-Premiere
  1. Galaxy S8 und Note 8 Bixby-Button lässt sich teilweise deaktivieren
  2. Videos Youtube bringt HDR auf Smartphones
  3. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

Zukunft des Autos: "Unsere Elektrofahrzeuge sollen typische Porsche sein"
Zukunft des Autos
"Unsere Elektrofahrzeuge sollen typische Porsche sein"
  1. Concept EQA Mercedes elektrifiziert die Kompaktklasse
  2. GLC F-Cell Mercedes stellt SUV mit Brennstoffzelle und Akku vor
  3. ID Crozz VW stellt elektrisches Crossover vor

  1. Re: Speedtest Geschummel - Nicht repräsentativ

    b1n0ry | 13:50

  2. Re: hmm brauch man sowas

    atTom | 13:50

  3. Re: "Vodafone sieht sich nicht betroffen"

    b1n0ry | 13:49

  4. Re: Ich glaube 11 war die letzte IOS Version die...

    ckerazor | 13:48

  5. Re: Wahlprogramm Die PARTEI

    Dwalinn | 13:48


  1. 13:40

  2. 13:26

  3. 12:49

  4. 12:36

  5. 12:08

  6. 11:30

  7. 10:13

  8. 09:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel