Permissions
儲存未加密的網路應用程序/WordPress 密碼 - 向客戶解釋
我有一個客戶抱怨 WordPress 安裝的
wp-config.php
文件中包含未加密的 MySQL 數據庫密碼。我試圖通過說明這是一個標準程序向他解釋這一點,無論誰能夠讀取該文件的內容,都將擁有管理權限,並且還應該通過限制可以連接到它的主機來保護數據庫.
客戶很固執,聲稱“我們的安全性比我們的內網要高,屏蔽的要好得多”。
是否有任何其他論據支持或反對以純文字形式儲存數據庫憑據?
簡而言之,該特定配置文件中的密碼必須未加密,因為需要讀取它才能對數據庫進行身份驗證。
但是,可以通過提供適當的權限和適當的主機名限制來不使用密碼,但我不建議這樣做,因為任何有權訪問伺服器的人都可以使用它
mysql
來訪問受保護的數據庫。密碼只能由對伺服器具有 shell 訪問權限的人訪問,因此在總體方案中這不是問題。此外,不應從 Web 訪問數據庫伺服器。如果這是一個問題,那麼這是一個政策問題,而不是 IT。