Integer Napisano Maj 26, 2011 Zgłoś Share Napisano Maj 26, 2011 Witam. Mądrzy koledzy mi powiedzieli, że dane przy użyciu MySQL nie są bezpieczne i że jeśli nawet same dane się zaszyfruje to loginy i hasła można gdzieś "po drodze" podejrzeć. A jak to się dzieje w przypadku MySQL SSL, czy ma ktoś doświadczenie w tym względzie ? Link do komentarza Udostępnij na innych stronach More sharing options...
Blind Napisano Maj 26, 2011 Zgłoś Share Napisano Maj 26, 2011 Połaczenia SSL jest szyfrowane i bez certyfikatów nie da się odszyfrować. www.blinder.pl - Blog Link do komentarza Udostępnij na innych stronach More sharing options...
Integer Napisano Maj 27, 2011 Autor Zgłoś Share Napisano Maj 27, 2011 Super brzmi obiecująco , dzięki Link do komentarza Udostępnij na innych stronach More sharing options...
natanielcz Napisano Maj 27, 2011 Zgłoś Share Napisano Maj 27, 2011 możesz jeszcze szyfrować MD5 z solą ;-) Też chyba nie da się rozszyfrować Link do komentarza Udostępnij na innych stronach More sharing options...
Blind Napisano Maj 27, 2011 Zgłoś Share Napisano Maj 27, 2011 Jemu raczej chodzi o login i hasło aby się do bazy zalogować. Pozatym nawet jeśli wysyłasz hasło MD5 z solą to podsłuchanie go wystarczy aby przejąć kontrole nad kontem. www.blinder.pl - Blog Link do komentarza Udostępnij na innych stronach More sharing options...
Integer Napisano Maj 28, 2011 Autor Zgłoś Share Napisano Maj 28, 2011 Chodziło mi o unikniecie wszelkich miejsc gdzie dane są w postaci nieszyfrowanej, przykład z loginem i hasłem jest sztandarowy bo niby mogę wszystkie dane zrobić jako np. string i dorzucić do tego dowolnej długości klucz szyfrujący, zrobić skomplikowany algorytm szyfrujący i deszyfrujący ... a wystarczy posłuchać i namieszać (...) a cała robota pójdzie ... Link do komentarza Udostępnij na innych stronach More sharing options...
sazian Napisano Maj 30, 2011 Zgłoś Share Napisano Maj 30, 2011 sprawdziłem na swoim lacalhoscie na standardowej konfiguracji MySQL baz żadnych dodatkowych zabezpieczeń podczas logowania login i nazwa bazy są przekazywane jawnie ale hasło wyglądało tak \xcc2]\x0b\xc8'\xd3g\xcdr\xc7\xaetC\x8e\xd07\x1e\xcd\xbd co do zapytać to treść zapytania idzie do serwera jako tekst jawny ale odpowiedz jest mało czytelna Link do komentarza Udostępnij na innych stronach More sharing options...
Integer Napisano Maj 30, 2011 Autor Zgłoś Share Napisano Maj 30, 2011 @sazian a czy znając login i hasło widzisz jakiś schemat w tych znakach? bo może to być tak ze porostu jeden znak jest reprezentowany przez kilka i roztrzaskanie tego nie jest takie trudne, a z tą jawnością .. no właśnie to i podmianka polecenia jest zapewne możliwa, no i jedyne co pozostaje w takim przypadku to nadać jakieś mało mówiące nazwy kolumn, np. a1, a2 .. czy możne jakiś inny sposób? Link do komentarza Udostępnij na innych stronach More sharing options...
sazian Napisano Czerwiec 2, 2011 Zgłoś Share Napisano Czerwiec 2, 2011 hasło które podałem składa się z sześciu znaków a do tego wszystkie znaki są cyframi jak chcesz to próbuj złamać tak jak mówiłem jawnie przesyłane jest zapytanie czyli SELECT * FROM tabela co często niewiele mówi nawet jeśli to przechwycimy (przy insertach jest już gorzej) w odpowiedzi otrzymujemy trochę nieczytelnych śmieci których pewnie nie da się odczytać nie znając hasła jeśli chcesz dokładnie zobaczyć jak to działa to polecam program wireshark odpal serwer na swoim komputerze wyślij proste zapytanie i obserwuj co się dzieje poza tym jest możliwe połączenie przez ssh a wtedy dane są niemal całkowicie bezpieczne Link do komentarza Udostępnij na innych stronach More sharing options...
Polecane posty
Zarchiwizowany
Ten temat jest archiwizowany i nie można dodawać nowych odpowiedzi.