Säkerhet i drupal 6

Events happening in the community are now at Drupal community events on www.drupal.org.
martinshield's picture
Posted by martinshield on April 2, 2009 at 12:32am

Hej,
Jag har lite frågor kring hur drupal lagrar lösenord. Efter jag har bett några försökt hacka sönder en ny site som jag har byggt i drupal 6 så uppptäckte jag snabbt att drupal enbart sparar hashade lösenord med hjälp av MD5. Detta är jo inte helt klockrent. Så jag undrar vad ni har för erfarenheter kring detta.

Har kollat på två olika moduler som påstås åtgärda detta.
http://drupal.org/project/phpass
http://drupal.org/project/salt

Hur brukar ni göra?

Categories: ,

Comments

Jag brukar använda

Posted by fabsor on April 2, 2009 at 6:01pm
fabsor's picture

Jag brukar använda salt-modulen som du nämner ovan för att åtgärda detta. Drupal 7 kommer dock ha bättre och säkrare lösenordshantering så då kommer troligtvis inte saltmodulen att behövas längre.

Lyckades ni få sidan att visa lösenordshashen? I så fall är det en bugg och ni borde rapportera den =)

//Fabian Sörqvist

Jag installerade salt

Posted by martinshield on April 3, 2009 at 9:06am
martinshield's picture

Jag installerade salt modulen och den verkar göra ett bra jobb. Men är de några andra åtgärder man ska göra för att säkra upp sidan.

Angående felet med hashade lösenord som en kille lyckades komma in med så vet jag inte exakt vad som som hände, ska höra lite med honom om de, men han gav mig rådet att salta lösenorden.

Men som skrivet, är de några fler åtgärder man ska ta för att säkra upp?

/martin

MARTIN SKÖLD
Web developer
073 - 50 66 521
www.twitter.com/martinskld
www.facebook.com/martin.skold
se.linkedin.com/in/martinskold

WILSON CREATIVE
Bredbandet 1
392 30 Kalmar
http://www.wilsoncreative.se
0480 - 36 37 70

Många aspekter

Posted by zoo33 on April 6, 2009 at 8:32pm
zoo33's picture

Det finns ju många olika saker som man gärna ska ha koll på när det gäller LAMP-applikationer generellt, som serverns integritet i allmänhet, rättigheter i filsystem och databas, öppna portar, krypterad trafik mm. En detalj är filen settings.php som innehåller MySQL-lösenordet, så det kan vara smart att försöka minimera åtkomsten till den filen.

Sen bör man såklart se till att hålla koll på säkerhetsuppdateringar och uppdatera så snabbt som möjligt (gäller både Drupal och operativsystem). Eventuell egen kod bör skrivas på ett säkert sätt.

Få installerade tilläggsmoduler minimerar risken för okända säkerhetshål, och det är bra om man kan hålla sig till väletablerade, väl beprövade moduler. Ett tips kan faktiskt vara att köra Aquias Drupal-distribution som innehåller ett urval av tilläggsmoduler som anses stabila. Om man prenumererar på deras supporttjänst kollar den dessutom att inga filer modifieras oväntat med hjälp av kontrollsummor.

Hittar man ett säkerhetshål är det viktigt att man rapporterar det direkt till Drupals security team och inte via några publika kanaler.

Mer info kan man få via gruppen Security Scanner Component and Best Practices.

/ Hannes Lilljequist – SthlmConnection

Sweden

Group notifications

This group offers an RSS feed. Or subscribe to these personalized, sitewide feeds:

Hot content this week

See all hot content.