Que es esto???por favor???

Mysql cuando lo habro para crear una BD, me dice esto:


La directiva $cfg['PmaAbsoluteUri'] ¡DEBE constar en el fichero de configuración!

Su archivo de configuración contiene parámetros (root sin contraseña) que corresponden a la cuenta privilegiada predeterminada de MySQL. Su servidor de MySQL está usando estos valores, que constituyen una vulnerabilidad. Se le recomienda corregir esta brecha de seguridad

Quien me puede explicar esto y como resolverlo


Miguel

Esos mensajes son de phpMyAdmin donde te está advirtiendo que no tenes clave para root que es el superusuario.

Para tu caso, tendrías que editar el archivo config.inc.php en el directorio phpMyAdmin, buscar la frase PmaAbsoluteUri y poner como valor tu localhost, o sea, $cfg['PmaAbsoluteUri'] = 'http://localhost';. Con eso eliminas el primer mensaje de advertencia.

Lo siguiente es que apenas ingreses, le cambies la clave de root, cerrar phpMyAdmin, volver a editar el archivo config.inc.php y buscar la siguiente frase $cfg['Servers'][$i]['auth_type']. Luego realizas los siguientes cambios.
El primer valor cookie se va a utilizar para que te pida usuario y clave para ingresar a MySQL.

Amigo relaize los cambios que me diste y ahora sale esto:


Bienvenido a phpMyAdmin 2.5.4 - Identificación


Language: Afrikaans (af-iso-8859-1) Albanian (sq-iso-8859-1) Arabic (ar-win1256) Azerbaijani (az-iso-8859-9) Bosnian (bs-win1250) Brazilian portuguese (pt-br-iso-8859-1) Bulgarian (bg-koi8-r) Bulgarian (bg-win1251) Catalan (ca-iso-8859-1) Chinese traditional (zh-tw) Chinese simplified (zh) Croatian (hr-iso-8859-2) Croatian (hr-win1250) Czech (cs-iso-8859-2) Czech (cs-win1250) Danish (da-iso-8859-1) Dutch (nl-iso-8859-1) English (en-iso-8859-1) Estonian (et-iso-8859-1) Finnish (fi-iso-8859-1) French (fr-iso-8859-1) Galician (gl-iso-8859-1) German (de-iso-8859-1) Greek (el-iso-8859-7) Hebrew (he-iso-8859-8-i) Hungarian (hu-iso-8859-2) Indonesian (id-iso-8859-1) Italian (it-iso-8859-1) Japanese (ja-euc) Japanese (ja-sjis) Korean (ko-ks_c_5601-1987) Latvian (lv-win1257) Lithuanian (lt-win1257) Malay (ms-iso-8859-1) Norwegian (no-iso-8859-1) Persian (fa-win1256) Polish (pl-iso-8859-2) Portuguese (pt-iso-8859-1) Romanian (ro-iso-8859-1) Russian (ru-dos-866) Russian (ru-koi8-r) Russian (ru-win1251) Serbian (sr-win1251) Serbian latin (sr-lat-win1250) Slovak (sk-iso-8859-2) Slovak (sk-win1250) Slovenian (sl-iso-8859-2) Slovenian (sl-win1250) Spanish (es-iso-8859-1) Swedish (sv-iso-8859-1) Thai (th-tis-620) Turkish (tr-iso-8859-9) Ukrainian (uk-win1251)


El archivo de configuración ahora necesita salvoconducto (una frase secreta) (blowfish_secret).

Que sera, sera que debi colocar en el user mi login y en password una clave

Migeul

Es verdad, olvidé ese parámetro... edita nuevamente el config.inc.php y busca $cfg['blowfish_secret'] = ''; cuando lo localices, le pones cualquier valor (por lo menos eso hago yo y funciona) ejemplo $cfg['blowfish_secret'] = 'mysql';. No se exactamente que hace pero ponele cualquier valor y te funciona.

Con respecto a lo otro, SI debes poner tu usuario y clave... en este caso el usuario va a ser root y la clave la que le pusiste. Cuando el parametro esta con cookie, te lo va a pedir y si no le cambiaste la clave (que este nula o vacia), NO va a pasar de esa pantalla. Por eso te dije que primero debes cambiarle la clave y después los cambios.

Realice lo que me dijiste

Lo que me sale es:
#1045 - Access denied for user: 'root@localhost' (Using password: YES)

Es mas busque respuesta por otra parte y tambien realice lo que me dijeron:

Si quieres que phpMyAdmin funcione, después de poner la password al usuario root debes hacer lo siguiente:
Cerrar el phpMyAdmin (la página web)
Editar (con block de notas) el fichero config.inc.php
Buscar esta cadena: $cfgServers[1]['password'] = ''
Insertar la password entre las '' con lo que quedaría así: $cfgServers[1]['password'] = 'pepe'
Guardar los cambios... y listo

Los cambios que realizado en el archivo: cinfig.inc.php es:

$cfg['PmaAbsoluteUri'] = 'http://lumenxxi:81/phpMyAdmin/';


/**
* Disable the default warning about $cfg['PmaAbsoluteUri'] not being set
* You should use this if and ONLY if the PmaAbsoluteUri auto-detection
* works perfectly.
*/
$cfg['PmaAbsoluteUri_DisableWarning'] = FALSE;

/**
* Disable the default warning that is displayed on the DB Details Structure page if
* any of the required Tables for the relationfeatures could not be found
*/
$cfg['PmaNoRelation_DisableWarning'] = FALSE;

/**
* The 'cookie' auth_type uses blowfish algorithm to encrypt the password. If
* at least one server configuration uses 'cookie' auth_type, enter here a
* passphrase that will be used by blowfish.
*/
$cfg['blowfish_secret'] = 'mysql';

/**
* Server(s) configuration
*/
$i = 0;
// The $cfg['Servers'] array starts with $cfg['Servers'][1]. Do not use $cfg['Servers'][0].
// You can disable a server config entry by setting host to ''.
$i++;
$cfg['Servers'][$i]['host'] = 'localhost'; // MySQL hostname or IP address
$cfg['Servers'][$i]['port'] = ''; // MySQL port - leave blank for default port
$cfg['Servers'][$i]['socket'] = ''; // Path to the socket - leave blank for default socket
$cfg['Servers'][$i]['connect_type'] = 'tcp'; // How to connect to MySQL server ('tcp' or 'socket')
$cfg['Servers'][$i]['compress'] = FALSE; // Use compressed protocol for the MySQL connection
// (requires PHP >= 4.3.0)
$cfg['Servers'][$i]['controluser'] = ''; // MySQL control user settings
// (this user must have read-only
$cfg['Servers'][$i]['controlpass'] = ''; // access to the "mysql/user"
// and "mysql/db" tables)
$cfg['Servers'][$i]['auth_type'] = 'cookie'; // Authentication method (config, http or cookie based)?
$cfg['Servers'][$i]['user'] = 'root'; // MySQL user
$cfg['Servers'][$i]['password'] = 'lolo4123'; // MySQL password (only needed
// with 'config' auth_type)
$cfg['Servers'][$i]['only_db'] = ''; // If set to a db-name, only
/
Yo instale apache, mysql, php del Appserv

tiene que ver el my.ini que esta en windows??????

Miguel

Veo que te estas complicando ya que yo solo modifique las llaves que te puse. He usado phpMyAdmid desde hace más de un año, trato de mantener la última actualización y no me da problemas.

Para que no sigas sufriendo, mejor usa MySQL-Front, es gratuito y muy funcional para que podas familiarizarte con MySQL o crear tus tablas y no atrazarte en tus desarrollos web.

Y después vas investigando poco a poco como se usa phpMyAdmin.

Después de hacer las correcciones que indican sobre la ubicación de phpmyadmin que dicen aquí les comento que me apareció este error:

Utilizo appserv en Windows. Lo uso para testear algunos CMS sin acceso a internet.

Busque en los foros y no pude encontrar la respuesta.

Si alguien la tiene agradecería que me conteste.

Lo que te está diciendo es que tenes la BD MySQL (de administración) sin claves, o sea, cualquiera puede entrar. Solución asignarles clave.

Para hacer eso, seleccionas la BD MySQL, te vas a la tabla de user, le das EXAMINAR y los 3 primeros registros poniendoles clave y usando la función PASSWORD.

Hola, yo tengo un problema similar.



Sólo que he creado el archivo .htpassw en /etc/httpd/claves y el .htaccess en /var/www/html/phpMyAdmin

en el primero usuario y pass, codificada en MD5, y en el segundo, lo que se tiene que poner para que pida usuario.



Ahora me estoy liando, pq me sale el textbox, pidiendo usuario-clave y nunca consigue entrar.



Esos 2 archivos de arriba, son necesarios para la identifación por clave?? o con poner el tipo cookie, ya vale.

Si no es así los usuarios y claves del .htpassw, deben ser los mismos que el los de mysql, perdon, pero es que estoy perdido perdido perdido.



Si pongo en el config, la clave, de que me sirve, preguntarla despues??

Saludos

Disculpa que insista, estoy empesando en esto y todavia no me oriento bien.

Resulta que voy a localhost/phpmyadmin, ahí justo veo el error que te comente anteriormente. Desde allí, en la columna mysql hago click en base de datos.

Allí veo varias bases de datos que tengo creadas y hay una llamada mysql. Esta contiene la tabla user pero no con tres registro sino con cuatro. ¿Crees conveniente que solo ponga la clave a los tres primeros o debería agregar al cuarto también?

Te comento que haciendo lo que me dices sigo viendo el mismo anuncio.

Vas a ver algo similar a esto:
Yo cambio los 3 primeros ya que son los que tienen control total. Luego le doy el comando FLUSH HOST y FLUSH TABLES.

Luego de hacer ese cambio, tenes que modificar el config.inc.php a como esta narrado al principio de este mensaje.

Si te da problemas con el usuario y clave, reinicias el servicio de MySQL para que tome los cambios hechos.

cyborg, nunca he hecho los cambios en la configuración de apache ya que una cosa son los usuarios de apache y otra de MySQL.

Hola

BrujoNic, tienes razon, ha sido quitar el archivo .htaccess del directorio del phpmyadmin, y el .htpassw, que habia creado (los 2)
poner la validación por cookies, y voila funciona!!!!!

Pero esto fue lo que me llevo a la confusión:
http://www.colnodo.apc.org/registro/mysqladmin.shtml

mirar el que quiera esa página, sobre todo los puntos 2 y 3.
2-Cree el archivo con el nombre de usuario y clave que podrá tener acceso al directorio phpMyAdmin. Por ejemplo

3-Proteja su directorio de phpMyAdmin en el servidor web creando el archivo .htaccess en ese directorio:


Entonces esos 2 archivos, son de configuración del apache¿?

Saludos.

P.D: No me presenté soy nuevo, y espero que en la medida de lo posible, sepan entender el mar de dudas en el que estoy metido.
gracias.

Ya vi link... a como yo lo interpreto, el punto uno lo que te trata de decir es que tenes que crear el usuario con phpMyAdmin pero en la BD de MySQL tabla user y darle los derechos al mismo (tema de admistración de MySQL, podes ver el manual en MySQL) y luego agregar el mismo usuario en apache (punto 2).

Yo por mi parte no lo manejo de esa manera. Lo que hago es crear unos pocos usarios en MySQL, por ejemplo, grupos clasificados como contabilidad, informática, administración y dependiendo de lo que sea le doy los privilegios.

Luego hago una BD por aparte donde tengo los usuarios donde agrego un campo que es el nombre de grupo para matricularme con solo esos derechos. Eso lo hago así porque A MI PUNTO DE VISTA, es más fácil administrar los usuarios por aparte ya que pueden ser muchos, que tocar directamente la BD MySQL que es un poco más delicada.

Todo es criterio de quien está administrando y la forma en que desea hacerlo. La inventiva de cada persona es diferente....

Albert Einstein dijo:

"La creatividad es mas poderosa que el conocimiento"

Aja.. vale es posible que tengas razon, yo lo mal interprete, pero aun así sigo sin enterarme del todo.
El caso es que cree un .htaccess vinculado a un .htpassw, en el directorio del phpMysqlAdmin, con esto me pedia un usuario y pass, pero aunque ponia lo del .htpassw, no conseguia entrar, sabes pq?

Entonces, a pesar de que esto se sale ya de la tematica de este subforo, eso se refiere a usuarios para el apache, donde se guarda pues el htaccess??.

Y de nuevo gracias.

Yo solo tengo 2 usuarios de momento en MySql, un root, y un clon del root, he eliminado los anonimos.
Aún no tengo claro que tipo de usuario necesito, puesto que lo que estoy haciendo es un uso particular del mysql.. bueno le estoy atacando desde java, para tener una aplicación, bueno te cuento por si puedes darme alguna idea o corregirme si voy mal.

Mi aplicación tendra unos usuarios (la tematica de la bdd supongo que aqui da igual), esos usuarios que conectaran, tu como lo harias?? te creas unas tablas de usuarios, p.ej TUSUARIO, o a esos usuarios los añades a la tabla user de mysql??,
segun esto, vienen mis dudas, pues a la hora de hacer la cadena de conexión desde java para conectar con mysql, como lo harias¿? usas un usuario generico de mysql, que entre a la bbdd, y vaya a buscar a la tabla TUSUARIO, que existe, o lo validas directamente contra la tabla tuser? (esto implica tener ahi montones de usuarios), como lo ves?

Saludos

Yo tengo 2 usuarios también, root y el mio. Si voy a trabajar con varios usuarios, si hago por aparte la BD de la aplicación y usuarios solo para identificarlos.

En mi desarrollo (PHP) llevo el control de lo que pueden o no hacer.

vale, si digamos que la aplicación segun el usuario y ya por código ira presentando unos menus u otros, en ese sentido no habria problema de "vulnerabilidad" pero.......

entonces en la conexion usas un usuario generico, que vaya a la tabla TUSUARIO a verificar que existe ahi, si es así, se le van presentando menus con opciones.. pero bien.......
ese usuario que permisos tiene? control total??????¿?¿?¿?

no es un poco peligroso? y mas pq ese usuario y clave, deberian ir escritas en el programa al hacer la conexion, asi que podrian verlas alguien.

Así que los usuarios de la tabla tusuario, segun lo tienes tu, no son usuarios de mysql verdad?

Lo que debes hacer es tener tu BD de la aplicación SIN tocar la de administración de MySQL.

Ahi creas tus tablas (usuarios, menúes y demás), cuando el usuario ingresa a la web, realizas la conexión a la BD de tu aplicación, ahi validas que exista. Sobre los privilegios, te aconsejo que vayas a la web de MySQL y te fijes como funciona los privilegios con GRANT. Te repito que yo no lo uso debido a que todo lo controlo en mi aplicación, el usuario y clave van en varibles internas dentro de la aplicación, NO trabajo con variables globales y utilizando sesiones. Esa es la ciencia. Dependiendo del usuario, llevo un control interno de lo que puede o no puede hacer. Además, como vas a llevar vos el control del menú personalizado por usuarios, no deberías tener problemas.

Si el usuario conoce el nombre de la BD y la estructura de las tablas, podría entran pero eso depende de qué tanto investigues sobre seguridad. Es un tema bastante amplio... Busca en la web seguridad en PHP, ASP o lo que uses para desarrollar y adicionalmente seguridad en BD Oracle, MySQL, Sybase, etc.

hola de nuevo.
perdona, pero no entiendo esto:
"Lo que debes hacer es tener tu BD de la aplicación SIN tocar la de administración de MySQL.

Ahi creas tus tablas (usuarios, menúes y demás), cuando el usuario ingresa a la web, realizas la conexión a la BD de tu aplicación, ahi validas que exista"

bueno quizas lo medio entienda.
Dices que no cree usuarios en la tabla user de la base mysql, bien. Pero para realizar la conexión y verificar que en mi base de datos creada, llamemosle Tienda, existe el usuario, si tengo que usar un usuario de Mysql que este en la tabla User, cierto no?

La BD MySQL es propia de la misma, o sea, si la borras te podría dejar de funcionar ya que se puede decir es parte del motor de MySQL.

Es esa BD podes dejarla solo para tareas administrativas y nada más. En otra BD podes llevar tu propia lista de usarios con claves encriptadas y controles. Por cada usuario podes asignarles ciertos roles (tareas específicas por usuario como SELECT, INSERT, DELETE, etc) utilizando el comando GRANT.

También podes usar la misma BD de MySQL pero con mucho cuidado y leyendo el manual de como crear roles.

Para que tomes un ejemplo de seguridad en PHP, podes revisar algún código como el de phpBB.

Filtros usados en Google:
Seguridad en desarrollo PHP
Seguridad en desarrollo ASP
Seguridad en desarrollo Perl
Seguridad en desarrollo CGI
Seguridad en Bases de Datos web

Busca códigos en lo que vayas a desarrollar, estudialos y modificalo a tus necesidades.

Ah..vale ya entiendo, perdona, pero no se en que estaba pensando.
Digamos que me puedo crear usuarios, intentar englobarlos dentro de grupos, y segun la ID del grupo, dejar hacer unas u otras cosas sobre tablas, con el GRANT no?

Es que sólo vi algo parecido, desde phpMyAdmin, pero era para los usuarios del Mysql en si, es decir, acceso total, solo consultas,...

Pero sigo con una duda, el usuario que hace la conexión, para verificar que en mi base de datos existe, debe ser un usuario valido de Mysql no? habría que tratar de darle los permisos imprescindibles, por eso de que en la conexión iria el user y las pass escritas en el código.

Perdona de nuevo si estoy mareando la perdiz.

perdona de nuevo, le estaba dando de nuevo vueltas, y creo que llego a la conclusión que no entiendo nada :p

Si le pongo permisos, mediante GRANT, a las tablas con los usuarios de mi aplicación, y me tengo que validar mediante un usuario de mysql... de que me sirve entonces?
Perdona, pero es que no lo veo.

¿Cómo te explico? no soy un experto pero vamos a ver...

Toda BD tiene su propia BD de administración donde van tablas, índices, nombres de BD, roles de usuarios, procedimientos almacenados, vistas, parámetros de inicialización de la BD, etc.

La de MySQL es su propia BD MySQL. Esa tabla es la que administra todo. En lugares gratuitos como miarroba te dan espacio gratuito para crear tu BD MySQL (solo una). Automáticamente la crean con el nombre de tu usuario donde sos el dueño y señor. No usan la BD de MySQL ya que es solo para administrar y controlar las BD existentes.

Ahora, si creas una BD, ahi podes llevar el control de tus usuarios ya que al realizar la conexión lo harías directamente en tu BD y no en la de Administración. Lo que trato de explicarte que una BD es completamente independiente de otra donde el dueño o creador de la misma puede especificar los usuarios, a que tablas va a tener acceso y qué es lo que pueden hacer en las mismas.

Lo más importante es que tengas claro o por lo menos conocimiento de roles de usuarios y conceptos sobre seguridad.

Fijate en estos sistemas de INICTEL estan en español usando php. Son fáciles de seguir y te vas a dar cuenta que NO usan la BD MySQL para sus proyectos.

bueno gracias.
no consigo enterarme sobre eso.

Si me creo otra base de datos, como es logico, llamada x
me creo una tabla de usuarios, pero no se como verificar la entrada.
es posible que me este liando.
pensaba que para poder entrar al mysql, necesitaba que el usuario estuviera en la base de datos mysql de administracion

Si te creas tu BD x y dentro de ella tus usuarios, creas un formulario de acceso donde el usuario va a introducir su usuario y clave. Luego realizas la conexión a la BD x y verificas que el usuario se encuentre en tu tabla de usuarios y que la clave esté correcta.

La clave es la BD donde vas a trabajar y a la que vas a hacer referencia cuando realices la conexión.

BrujoNic gracias.. voy a probar cosas, antes de seguir haciendote perder el tiempo.
Si saco algo en claro ya lo pondre por aqui, y si no tambien

gracias

por cierto, no encuentro desde donde con el phpMyAdmin ( a veces esta aplicacion es un poco rebuscada) se le conceden privilegios de usuario a las tablas... solo lo veo a las bases de datos

Pues no es que aparezca una opción en phpMyAdmin para dar privilegios.

Fijate en:
5.5.3 Adding New User Accounts to MySQL
13.5.1.2 GRANT and REVOKE Syntax

A nivel general, este es el filtro que use en MySQL

Si te es difícil el inglés, te dejo este filtro de Google

gracias de nuevo.. parece que estoy atontao

te voy a poner un resumen de lo que entiendo y/o se
pero en esto, no encuentro como encuadrar el comando GRANT

Por poner un ejemplo para entendernos, imaginemos que estamos creando una aplicación llamada AGENDA.

Mi base de Datos se podría llamar BD_AGENDA
Mi usuario USR_AGENDA
Y la tabla de Usuarios BD_AGENDA.USUARIOS.

siendo USR_AGENDA un usuario definido en Mysql.User en principio podria tener privilegios para insert, update, select ,.......

Con lo cual yo meto mi usuario "Pepe" con su pass..

el usuario USR_AGENDA, se conecta a BD_AGENDA.USUARIOS y verifica que Pepe con su pass existe y entra..
ahora bien.. las opciones que yo le muestre a pepe, y los inserts que haga, realmente los va a hacer USR_AGENDA no?


sigo sin encuadrar lo del GRANT bueno se que con el GRANT y tal y como lo vi desde el phpMyAdmin, puedo poner que ese usuario solo pueda entrar a la base de datos AGENDA, pero poco mas.

Saludos

Esto es lo más fácil que pude encontrar, leelo con calma para que podas comprenderlo.

Sistema de privilegios de acceso de MySQL
Apuntes de MySQL
Creando y usando una base de datos


Y este el filtro general en Google. De ahí saque los link de arriba viendo cuales eran los más sensillos. Considero que estan bastante claros.

el primero de los enlaces lo vi esta mañana, y tengo que leerlo.
Los demas me los apunto.

La forma que te he escrito en el mensaje anterior, no se si las has entendido, pero es como otras personas me han dicho que lo hacen, te parece algo acertada?

De nuevo gracias.

cyborg, lo que es bueno para unos no lo es para otros... Yo te puedo dar mi punto de vista que para mi es válido y para otros no. Lo que debes hacer es estudiar o investigar los criterios que te dan y acoplarte o crear una solución propia. Todos pensamos diferente. Hay cosas a tomar en cuenta, por ejemplo. En la universidad me enseñaron la forma de programar y buscarle soluciones metódicas (paso a paso). Uno SUPUESTAMENTE no debía salirse de ese esquema pero hay o habemos personas algo inquietas que nos gusta ver más alla que un solo circulo, rompiendolo y buscando nuevas alternativas.

Puedo parecer filosófico, pedante o que se yo. Pero si me hubiera quedado con lo aprendido en Universidad, estaría acabado sin buscar nuevas soluciones.

Si lo que te dicen crees que es lo acertado, te recomiendo que les digas a esas personas que te expliquen detalladamente la forma de hacerlo, luego que lo comprendas, busca información por tu cuenta pero NO te quedes con A MI ME DIJERON, DICEN QUE ES MEJOR ESTO.

Cuando te empecé a responder fue cuando puse mi sengunda cita "Imagination is more important than knowledge" "La imaginación es más importante que el conocimiento".

Saludos y en lo que podamos, trataremos de ayudarte.

Por favor, si algún otro tiene otras soluciones que aportar sobre la seguridad en BD MySQL u otra que sea general, den sus soluciones.