Jump to content

[MySQL] MySQL SSL na ile bezpieczne są dane


Integer

Recommended Posts

Witam.

 

Mądrzy koledzy mi powiedzieli, że dane przy użyciu MySQL nie są bezpieczne i że jeśli nawet same dane się zaszyfruje to loginy i hasła można gdzieś "po drodze" podejrzeć.

A jak to się dzieje w przypadku MySQL SSL, czy ma ktoś doświadczenie w tym względzie ;)?

Link to comment
Share on other sites

Chodziło mi o unikniecie wszelkich miejsc gdzie dane są w postaci nieszyfrowanej, przykład z loginem i hasłem jest sztandarowy bo niby mogę wszystkie dane zrobić jako np. string i dorzucić do tego dowolnej długości klucz szyfrujący, zrobić skomplikowany algorytm szyfrujący i deszyfrujący ... a wystarczy posłuchać i namieszać (...) a cała robota pójdzie ... :)

Link to comment
Share on other sites

sprawdziłem na swoim lacalhoscie na standardowej konfiguracji MySQL baz żadnych dodatkowych zabezpieczeń

 

podczas logowania login i nazwa bazy są przekazywane jawnie ale hasło wyglądało tak

 

\xcc2]\x0b\xc8'\xd3g\xcdr\xc7\xaetC\x8e\xd07\x1e\xcd\xbd

 

 

co do zapytać to treść zapytania idzie do serwera jako tekst jawny ale odpowiedz jest mało czytelna

Link to comment
Share on other sites

@sazian a czy znając login i hasło widzisz jakiś schemat w tych znakach? bo może to być tak ze porostu jeden znak jest reprezentowany przez kilka i roztrzaskanie tego nie jest takie trudne, a z tą jawnością .. no właśnie to i podmianka polecenia jest zapewne możliwa,

no i jedyne co pozostaje w takim przypadku to nadać jakieś mało mówiące nazwy kolumn, np. a1, a2 .. czy możne jakiś inny sposób?

Link to comment
Share on other sites

hasło które podałem składa się z sześciu znaków a do tego wszystkie znaki są cyframi jak chcesz to próbuj złamać :D

 

tak jak mówiłem jawnie przesyłane jest zapytanie czyli SELECT * FROM tabela

co często niewiele mówi nawet jeśli to przechwycimy (przy insertach jest już gorzej)

 

w odpowiedzi otrzymujemy trochę nieczytelnych śmieci których pewnie nie da się odczytać nie znając hasła

jeśli chcesz dokładnie zobaczyć jak to działa to polecam program wireshark

odpal serwer na swoim komputerze wyślij proste zapytanie i obserwuj co się dzieje ;)

 

 

poza tym jest możliwe połączenie przez ssh a wtedy dane są niemal całkowicie bezpieczne

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...