Jira ICT wint MKB Beste Choice Award - Magento Workshops 2010

U kunt ons bellen
+31 (0)84 420 6795

Agenda

Naar de agenda

Laatste nieuws

Populair
jan
01

Het gebruik van "secret"

Binnen de Globale Configuratie is een waarde van een "secret" woord terug te vinden. Er is in de loop der tijd al druk gespeculeerd over het gebruik van deze code, die als uniek per Joomla! website beschouwd kan worden.

Een wachtwoord?

Een mythe omtrent het "secret" woord is dat het een versleutelde versie van het admin-wachtwoord zou zijn, die je tijdens de Joomla! installatie configureert. Dit is simpelweg niet waar. De code wordt automatisch gegenereerd tijdens de installatie van Joomla! maar is niet gerelateerd aan het admin-wachtwoord. Er is dus ook geen mogelijkheid om aan de hand van de "secret" het admin-wachtwoord te achterhalen.

Encryptie van ...

Het "secret" woord is bedoeld als onderdeel van versleuteling binnen de verschillende extensies. Via de methode "getHash()" kan er gemakkelijk een MD5-checksum van een bepaalde waarde in combinatie met het "secret" woord worden berekend.

Dit betekent dat een waarde (bijvoorbeeld een wachtwoord of een bepaalde veiligheidscode) zodanig wordt versleuteld, dat de originele waarde alleen achterhaald kan worden als men beschikt over de "secret" code. Dit is een prima veiligheidsmechanisme zolang een hacker maar niet de Globale Configuratie (opgeslagen in configuration.php) in handen krijgt.

Encryptie van sessies

Het gebruik van het "secret" woord is bijvoorbeeld terug te zien in de versleuteling van sessies. Zodra een gebruiker inlogt, wordt er een sessie aangemaakt die onder Joomla! 1.5 standaard wordt opgeslagen in de database.

Alleen maar het "secret" woord gebruiken zou helaas niet veilig genoeg zijn: Zodra een hacker toegang krijgt tot de database, zou deze in theorie iedere willekeurige sessie kunnen kapen. Vandaar dat binnen de versleuteling van sessies ook nog andere zaken worden meegenomen (zoals het IP adres en de User-Agent van de ingelogde gebruiker).

Caching

Per pagina (of eigenlijk per extensie) kan een cache door Joomla! 1.5 bijgehouden worden. Iedere cache wordt opgeslagen in een bestand (of andere resource). Ieder bestandsnaam wordt gevormd door een MD5-checksum waarin wederom het "secret" woord wordt gebruikt. Dit is niet zo zeer vanwege de veiligheid bedoeld, maar meer een mechanisme om er voor te zorgen dat meerdere Joomla! websites die dezelfde cache-directory zouden kunnen gebruiken, toch unieke cache-bestanden zullen gebruiken.
Home Blog Het gebruik van "secret"

Jira ICT B.V. - Support, Trainingen, Consultancy, experts in Magento, Joomla! en MageBridge - copyright © 2005 - 2012