Integer Posted May 26, 2011 Report Share Posted May 26, 2011 Witam. Mądrzy koledzy mi powiedzieli, że dane przy użyciu MySQL nie są bezpieczne i że jeśli nawet same dane się zaszyfruje to loginy i hasła można gdzieś "po drodze" podejrzeć. A jak to się dzieje w przypadku MySQL SSL, czy ma ktoś doświadczenie w tym względzie ? Link to comment Share on other sites More sharing options...
Blind Posted May 26, 2011 Report Share Posted May 26, 2011 Połaczenia SSL jest szyfrowane i bez certyfikatów nie da się odszyfrować. www.blinder.pl - Blog Link to comment Share on other sites More sharing options...
Integer Posted May 27, 2011 Author Report Share Posted May 27, 2011 Super brzmi obiecująco , dzięki Link to comment Share on other sites More sharing options...
natanielcz Posted May 27, 2011 Report Share Posted May 27, 2011 możesz jeszcze szyfrować MD5 z solą ;-) Też chyba nie da się rozszyfrować Link to comment Share on other sites More sharing options...
Blind Posted May 27, 2011 Report Share Posted May 27, 2011 Jemu raczej chodzi o login i hasło aby się do bazy zalogować. Pozatym nawet jeśli wysyłasz hasło MD5 z solą to podsłuchanie go wystarczy aby przejąć kontrole nad kontem. www.blinder.pl - Blog Link to comment Share on other sites More sharing options...
Integer Posted May 28, 2011 Author Report Share Posted May 28, 2011 Chodziło mi o unikniecie wszelkich miejsc gdzie dane są w postaci nieszyfrowanej, przykład z loginem i hasłem jest sztandarowy bo niby mogę wszystkie dane zrobić jako np. string i dorzucić do tego dowolnej długości klucz szyfrujący, zrobić skomplikowany algorytm szyfrujący i deszyfrujący ... a wystarczy posłuchać i namieszać (...) a cała robota pójdzie ... Link to comment Share on other sites More sharing options...
sazian Posted May 30, 2011 Report Share Posted May 30, 2011 sprawdziłem na swoim lacalhoscie na standardowej konfiguracji MySQL baz żadnych dodatkowych zabezpieczeń podczas logowania login i nazwa bazy są przekazywane jawnie ale hasło wyglądało tak \xcc2]\x0b\xc8'\xd3g\xcdr\xc7\xaetC\x8e\xd07\x1e\xcd\xbd co do zapytać to treść zapytania idzie do serwera jako tekst jawny ale odpowiedz jest mało czytelna Link to comment Share on other sites More sharing options...
Integer Posted May 30, 2011 Author Report Share Posted May 30, 2011 @sazian a czy znając login i hasło widzisz jakiś schemat w tych znakach? bo może to być tak ze porostu jeden znak jest reprezentowany przez kilka i roztrzaskanie tego nie jest takie trudne, a z tą jawnością .. no właśnie to i podmianka polecenia jest zapewne możliwa, no i jedyne co pozostaje w takim przypadku to nadać jakieś mało mówiące nazwy kolumn, np. a1, a2 .. czy możne jakiś inny sposób? Link to comment Share on other sites More sharing options...
sazian Posted June 2, 2011 Report Share Posted June 2, 2011 hasło które podałem składa się z sześciu znaków a do tego wszystkie znaki są cyframi jak chcesz to próbuj złamać tak jak mówiłem jawnie przesyłane jest zapytanie czyli SELECT * FROM tabela co często niewiele mówi nawet jeśli to przechwycimy (przy insertach jest już gorzej) w odpowiedzi otrzymujemy trochę nieczytelnych śmieci których pewnie nie da się odczytać nie znając hasła jeśli chcesz dokładnie zobaczyć jak to działa to polecam program wireshark odpal serwer na swoim komputerze wyślij proste zapytanie i obserwuj co się dzieje poza tym jest możliwe połączenie przez ssh a wtedy dane są niemal całkowicie bezpieczne Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.