Как защититься от хаков, спрятать БД и прочие премудрости и настройки
Модератор: kdv
-
stix-s
- Заслуженный разработчик
- Сообщения: 557
- Зарегистрирован: 13 дек 2005, 11:52
Сообщение
stix-s » 12 мар 2008, 09:23
kostyl писал(а):Можно вообще делать базу открытой но писать туда зашифрованные данные, при этом ключ - пароль пользователя, который нигде не храниться - вот и будет операция Ы))
хорошо подумал?
как например ты данные отсортируешь? (на сервере) и в каком виде хранить собираешься, HEX?
-
WildSery
- Заслуженный разработчик
- Сообщения: 1738
- Зарегистрирован: 05 июн 2006, 16:19
Сообщение
WildSery » 12 мар 2008, 11:56
На самом деле, даже такую бредовую мысль можно применить на практике.
А именно, если у тебя "зашифрована" текстовая колонка, то следует добавить ещё одну, с порядком её сортировки
Правда, если потребуется вставить ещё несколько строк - ой. Но для RO баз на CD - может быть.
-
kostyl
- Сообщения: 47
- Зарегистрирован: 06 фев 2008, 10:24
Сообщение
kostyl » 12 мар 2008, 13:14
WildSery писал(а):На самом деле, даже такую бредовую мысль можно применить на практике.
Во-первых мысль даже очень не бредовая.
Сразу скажу что ничего давать не буда, но когда всё абсолютно шифруется (даже первичные ключи) то это того стоит и попотеть надо сильно. А вот, если пароль только в голове у пользователя, а алгоритм в клиенте - и больше ничего у злоумышленника нету кроме набора полей с двоичной информацией то это само за себя говорит.
-
stix-s
- Заслуженный разработчик
- Сообщения: 557
- Зарегистрирован: 13 дек 2005, 11:52
Сообщение
stix-s » 12 мар 2008, 14:23
kostyl писал(а):WildSery писал(а):На самом деле, даже такую бредовую мысль можно применить на практике.
Во-первых мысль даже очень не бредовая.
Сразу скажу что ничего давать не буда, но когда всё абсолютно шифруется (даже первичные ключи) то это того стоит и попотеть надо сильно. А вот, если пароль только в голове у пользователя, а алгоритм в клиенте - и больше ничего у злоумышленника нету кроме набора полей с двоичной информацией то это само за себя говорит.
шифровать-дешифровать все на клиенте
удачи %)
-
kostyl
- Сообщения: 47
- Зарегистрирован: 06 фев 2008, 10:24
Сообщение
kostyl » 12 мар 2008, 14:43
stix-s писал(а):шифровать-дешифровать все на клиенте
удачи %)
Да, именно так. А что на сервере шифровать - смысл? И так всё прекрасно работает, правда клиент толстоват но ничё - проблем не возникает пока.
-
wordofjustice
- Сообщения: 6
- Зарегистрирован: 11 мар 2008, 13:26
Сообщение
wordofjustice » 12 мар 2008, 16:45
И все же как лучше защитить БД от шаловливых ручек с админ тулзамии(возможно базовыми познаниями отладчика/дизасемблера) в условиях когда непосредственное начальство не может/не желает проводить соответствующие воспитательные работы?
-
stix-s
- Заслуженный разработчик
- Сообщения: 557
- Зарегистрирован: 13 дек 2005, 11:52
Сообщение
stix-s » 13 мар 2008, 06:29
kostyl писал(а):
Да, именно так. А что на сервере шифровать - смысл? И так всё прекрасно работает, правда клиент толстоват но ничё - проблем не возникает пока.
оставив в стороне устойчивость, сложность администрирования, внесения изменений и производительность данной пароноидальной системы, интересно оценить эффективность самого решения:
1 - предполагается, что НЕКТО достаточно легко может упереть базу
2 - поскольку НЕКТО может получить доступ к серверу с БД, то он с той же легкостью скопирует и клиента
3 - при наличии достаточных знаний пишется кейлогер и узнается пароль
в итоге вся защита летит псу под хвост
стоит ли эффект трудозатрат?
-
stix-s
- Заслуженный разработчик
- Сообщения: 557
- Зарегистрирован: 13 дек 2005, 11:52
Сообщение
stix-s » 13 мар 2008, 06:35
wordofjustice писал(а):И все же как лучше защитить БД от шаловливых ручек с админ тулзамии(возможно базовыми познаниями отладчика/дизасемблера) в условиях когда непосредственное начальство не может/не желает проводить соответствующие воспитательные работы?
ты администратор?
отбери лишние права юзеров,
политикой запрети запуск этих админ тулзов
не давай доступа к файлу базы
не делай клиента с работой под SYSDBA, чтобы его пароль не светить
-
kostyl
- Сообщения: 47
- Зарегистрирован: 06 фев 2008, 10:24
Сообщение
kostyl » 13 мар 2008, 10:47
stix-s писал(а):
в итоге вся защита летит псу под хвост
Да. Возможно. Но так любую базу и любого клиента можно спереть, и кейлогер напсать....
-
WildSery
- Заслуженный разработчик
- Сообщения: 1738
- Зарегистрирован: 05 июн 2006, 16:19
Сообщение
WildSery » 13 мар 2008, 10:56
kostyl писал(а):Да. Возможно. Но так любую базу и любого клиента можно спереть, и кейлогер напсать....
Да неужели?
Если админу - то да. А постороннему без физического доступа к серверу - нет.
-
kostyl
- Сообщения: 47
- Зарегистрирован: 06 фев 2008, 10:24
Сообщение
kostyl » 13 мар 2008, 11:38
Тогда причем тут это?
stix-s писал(а): НЕКТО достаточно легко может упереть базу
// поскольку НЕКТО может получить доступ к серверу с БД, то он с той же легкостью скопирует и клиента//
-
WildSery
- Заслуженный разработчик
- Сообщения: 1738
- Зарегистрирован: 05 июн 2006, 16:19
Сообщение
WildSery » 13 мар 2008, 12:30
kostyl писал(а):Тогда причем тут это?
Это у тебя. Потому что ты допускаешь, что кто-то может утащить базу, и потому надо шифровать.
У меня "кто-то" не может. Чуешь разницу?
-
kostyl
- Сообщения: 47
- Зарегистрирован: 06 фев 2008, 10:24
Сообщение
kostyl » 13 мар 2008, 12:39
WildSery писал(а):kostyl писал(а):Тогда причем тут это?
Это у тебя. Потому что ты допускаешь, что кто-то может утащить базу, и потому надо шифровать.
У меня "кто-то" не может. Чуешь разницу?
Ааааа... Теперь я и stix-s-са понял... Это для дополнительной безопасности типа... А вообщем вих его знает - сказали так... с начальством не поспорешь...
-
Merlin
- Динозавр IB/FB
- Сообщения: 1502
- Зарегистрирован: 27 окт 2004, 11:44
Сообщение
Merlin » 13 мар 2008, 12:45
Я могу взломать любую зашифрованную базу, даже на компе, не включенном в сеть. Если данные того стоят, разумеется.
-
kostyl
- Сообщения: 47
- Зарегистрирован: 06 фев 2008, 10:24
Сообщение
kostyl » 13 мар 2008, 12:55
Merlin писал(а):Я могу взломать любую зашифрованную базу, даже на компе, не включенном в сеть. Если данные того стоят, разумеется.
Давай у меня на диске D:\Brk.fdb
-
Merlin
- Динозавр IB/FB
- Сообщения: 1502
- Зарегистрирован: 27 окт 2004, 11:44
Сообщение
Merlin » 13 мар 2008, 13:46
kostyl писал(а):Merlin писал(а):Я могу взломать любую зашифрованную базу, даже на компе, не включенном в сеть. Если данные того стоят, разумеется.
Давай у меня на диске D:\Brk.fdb
Как всегда, читаем только первую фразу. В любой статье, доке, монографии...
-
kostyl
- Сообщения: 47
- Зарегистрирован: 06 фев 2008, 10:24
Сообщение
kostyl » 13 мар 2008, 13:49
Merlin писал(а):kostyl писал(а):Merlin писал(а):Я могу взломать любую зашифрованную базу, даже на компе, не включенном в сеть. Если данные того стоят, разумеется.
Давай у меня на диске D:\Brk.fdb
Как всегда, читаем только первую фразу. В любой статье, доке, монографии...
Всё прочитал... перескзал...
может о коннектах поговорим!