Datenbank-PW in parameters.yml im Klartext

**Julle** · 14.12.2018, 15:12

Hallo Community,

ich hab zu diesem Thema im Forum und im Internet nichts gefunden, deshalb stelle ich die Frage hier:

In Contao 4.x wird das database_password im Klartext in die /app/config/parameters.yml geschrieben.
Ist das nicht ein Sicherheitsrisiko?
Könnte man den Eintrag irgendwie verschlüsseln?

Lg, Julle.

**Ainschy** · 14.12.2018, 15:16

Das DB-Passwort usw. stehen seit eh und je als Klartext in den Config-Dateien.
Wer FTP Zugang hat, kommt an alles. Warum auch nicht !?

Unter Contao sind die Verzeichnisse mit Config Inhalten von Außen nicht erreichbar.

**Spooky** · 14.12.2018, 15:28

Zitat von Julle

In Contao 4.x wird das database_password im Klartext in die /app/config/parameters.yml geschrieben.

In allen Contao Versionen und mir bekannten Web Applikationen wird das Passwort im Klartext in der Konfiguration gespeichert. Der Webserver muss es ja lesen können. Müsste er es extra entschlüsseln, muss der Webserver auch den Schlüssel wissen. Somit wäre am selben Server wiederum alles vorhanden, um das Passwort zu entschlüsseln.

**Julle** · 14.12.2018, 15:43

Danke euch beiden für die Antworten.
Schönes Wochenende!

**Sioweb** · 17.12.2018, 07:29

Du kannst das Passwort auch in die Umgebungsvariablen schreiben. Beispielsweise in eine .env Datei und sie von dort aus lesen. Ich würde allerdings davon abraten, Zugangsdaten direkt in die Hosts deines Apache-Servers zu schreiben, da sie sonst über $_ENV oder phpinfo() ausgelesen werden können.

Ein externer speicher ist zwar immer noch plaintext, aber die Zugangsdaten liegen dann nicht im Git-Repository.

Hier gibt's mehr dazu, auch wie Passwörter nochmals verschlüsselt abgesichert werden können, allerdings braucht man dazu fundiertes Fachwissen: https://websec.io/2018/06/14/Keep-Cr...ls-Secure.html