Skocz do zawartości
Integer

[MySQL] MySQL SSL na ile bezpieczne są dane

Polecane posty

Witam.

 

Mądrzy koledzy mi powiedzieli, że dane przy użyciu MySQL nie są bezpieczne i że jeśli nawet same dane się zaszyfruje to loginy i hasła można gdzieś "po drodze" podejrzeć.

A jak to się dzieje w przypadku MySQL SSL, czy ma ktoś doświadczenie w tym względzie ;)?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Połaczenia SSL jest szyfrowane i bez certyfikatów nie da się odszyfrować.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Jemu raczej chodzi o login i hasło aby się do bazy zalogować.

Pozatym nawet jeśli wysyłasz hasło MD5 z solą to podsłuchanie go wystarczy aby przejąć kontrole nad kontem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Chodziło mi o unikniecie wszelkich miejsc gdzie dane są w postaci nieszyfrowanej, przykład z loginem i hasłem jest sztandarowy bo niby mogę wszystkie dane zrobić jako np. string i dorzucić do tego dowolnej długości klucz szyfrujący, zrobić skomplikowany algorytm szyfrujący i deszyfrujący ... a wystarczy posłuchać i namieszać (...) a cała robota pójdzie ... :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

sprawdziłem na swoim lacalhoscie na standardowej konfiguracji MySQL baz żadnych dodatkowych zabezpieczeń

 

podczas logowania login i nazwa bazy są przekazywane jawnie ale hasło wyglądało tak

 

\xcc2]\x0b\xc8'\xd3g\xcdr\xc7\xaetC\x8e\xd07\x1e\xcd\xbd

 

 

co do zapytać to treść zapytania idzie do serwera jako tekst jawny ale odpowiedz jest mało czytelna

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@sazian a czy znając login i hasło widzisz jakiś schemat w tych znakach? bo może to być tak ze porostu jeden znak jest reprezentowany przez kilka i roztrzaskanie tego nie jest takie trudne, a z tą jawnością .. no właśnie to i podmianka polecenia jest zapewne możliwa,

no i jedyne co pozostaje w takim przypadku to nadać jakieś mało mówiące nazwy kolumn, np. a1, a2 .. czy możne jakiś inny sposób?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

hasło które podałem składa się z sześciu znaków a do tego wszystkie znaki są cyframi jak chcesz to próbuj złamać :D

 

tak jak mówiłem jawnie przesyłane jest zapytanie czyli SELECT * FROM tabela

co często niewiele mówi nawet jeśli to przechwycimy (przy insertach jest już gorzej)

 

w odpowiedzi otrzymujemy trochę nieczytelnych śmieci których pewnie nie da się odczytać nie znając hasła

jeśli chcesz dokładnie zobaczyć jak to działa to polecam program wireshark

odpal serwer na swoim komputerze wyślij proste zapytanie i obserwuj co się dzieje ;)

 

 

poza tym jest możliwe połączenie przez ssh a wtedy dane są niemal całkowicie bezpieczne

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się

×