gildot Topo Sobre FAQ Tópicos Autores Preferências Artigos Sondagens Propor artigo 8/3 gildicas 9/30 jobs 10/9 perguntas 10/25 press		Alerta de segurança: phpMyAdmin Contribuído por jmce em 27-08-00 21:39 do departamento não-vale-espreitar Numa lista de email dedicada ao MySQL, Michael Widenius alertou os utilizadores do phpMyAdmin para o risco que resulta de esta ferramenta exigir permissão de leitura em todas as colunas da tabela mysql.user. A password cifrada nela presente é a "verdadeira" password em MySQL, cifrada apenas para não deixar adivinhar a password original, mas não destinada a ser livrevemente legível. Nessas condições, será fácil conceber um cliente capaz de atacar os servidores MySQL expostos. O risco de deixar legível toda a tabela mysql.user deveria ser óbvio, mas perante o descuido no phpMyAdmin já foram acrescentados à documentação do MySQL avisos bastante explícitos. O problema poderá ser contornado proibindo o acesso apenas à coluna de passwords, mas aparentemente o phpMyAdmin terá de ser alterado para poder funcionar convenientemente nessas condições. <  DeCSS unplugged | Bill "Gueites" no karaokê  >	gildot Login Login: Password: Referências avisos MySQL Michael Widenius phpMyAdmin Mais acerca php Também por jmce
	Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. Mailing List (Pontos:1) por BipBip em 28-08-00 18:26 GMT (#1) (Utilizador Info) Http://BipBip.XpTo.OrG já agora podias dizer qual a ML ? Do not phear them, phear me because i'm lame. ~:o)= Re:Mailing List (Pontos:1) por jmce em 28-08-00 20:23 GMT (#2) (Utilizador Info) Sorry pelo descuido. Informação sobre as listas relativas ao MySQL pode ser vista em http://www.mysql.com/documentation/li sts.html. Vi esta mensagem na lista announce. Como não sei se há arquivos delas online, aqui vai a mensagem original: From: Michael Widenius <monty@mysql.com> Date: Thu, 24 Aug 2000 12:17:41 +0300 (EEST) To: announce@lists.mysql.com, mysql@lists.mysql.com Subject: Security alert: phpmyadmin Hi! It has come to our attention that to use phpmyadmin one should set up MySQL to allow read on all columns in the mysql.user table. This is however very dangerous as if one knows the context of the password field in the above table, one can easily make a modified client that uses this to connect to the MySQL server. The encrypted password is the real password in MySQL; The password is only encrypted to not let one guess your real password; It was however never meant to be made readable to all! Unfortunately we thought it was obvious that one shouldn't give full read access to the mysql.user table that we didn't document this properly :( We have now corrected this in the current manual by adding a lot of warnings about this! (The web pages are already updated about this). We strongly suggest that all phpmyadmin users and others that have given a normal user full access to the mysql.user table change this so that you are not giving access to the password column to anyone else than your system administrator! One workaround for this problem is to only give access to all columns except the password column in the mysql.user table, but one would have to do some changes in phpmyadmin to get everything to work after this change. We have already have contact with the phpmyadmin author about this and he should update the documentation about this in the next phpmyadmin release. Regards, Monty [pena não se poder usar a tag <pre>... :)] Re:Mailing List (Pontos:1) por lucipher em 29-08-00 19:50 GMT (#3) (Utilizador Info) http://www.leetcode.org viva bipbip! eu inscrevi me numa, em www.mysql.com.br esprimenta tu ;-)