Почему в джумле пароли хранятся в не зашифрованном виде?

Question

[Михаил]

Файл configuration.php, пароль от бд в открытом виде.

Answer 1

[Евгений Пуха]

Да, действительно, это огромная дыра в безопасности)
Для защиты Вашего проекта от взлома необходимо заменить пароль к бд в этом файле на его хеш. Генерировать нужно самому, и обязательно с добавлением "соли". Соль, естественно, на сервере не хранить, а оставить у себя на компьютере, но ни в коем случае не на рабочем столе. Я бы посоветовал спрятать файл с солью где-нибудь в недрах папки Windows или Program Files.
И ещё момент, т.к. Вы скорее всего хешировать пароль будете в каком-нибудь онлайн-сервисе - после этого обязательно нужно очистить полностью вес кеш браузера, а ещё лучше из под виртуалки, которую потом обязательно удалить))))

Comments

[Михаил]

pagefile.sys не забудь удалить и перезаписать на его место другие данные.

[Евгений Пуха]

Да, точно. Об этом забыл упомянуть. Хотя если настолько заморачиваться, то можно конечно использовать дистрибутив линукс tails. Говорят на нём сам великий и ужасный Сноуден сидит.
Ну а вообще, CMS Joomla довольно таки серьёзное ПО, и есть мнение что сайт на ней нереально сломать. Даже если кто-то получает пароль к бд из этого файла, система сразу вычисляет его по IP вплоть до адреса, номера телефона, и номеров 3 последних исходящих звонков. Главное об этом написать на главной странице сайта, тогда крутые хацкеры даже не станут пробовать ломать.

[bears]

Summoner: sim3x: а еще группу крови иногда узнают ))

[Евгений Пуха]

Не всегда. Это если только хацкеру удаётся увидеть код жумлы, тогда да, кровь идёт из глаз, и система сразу определяет её группу.

Answer 2

[xmoonlight]

ровно потому, почему и исходный код - открыт.

Answer 3

[volanddd]

А где вы предлагаете его хранить?
Нет, правда, есть альтернативные варианты?