Интересное: Алгоритмы шифрования Базы данных?

[delovoy]

Нашел случайно на сайте opencart.com

Такой модуль http://www.opencart.com/index.php?route=extension/extension/info&extension_id=6843&filter_search=SECURE%20PASSWORD&filter_license=0

Честно плохо разбираюсь в администрировании SQL, но там заявляется о существенном улучшении шифрования.

Прошу прокомментировать, знающих людей, минусы и плюсы, данного модуля.

[sv2109]

Из того что понял с описания, модуль вместо стандартного шифрования паролей в базе (а там по умолчанию md5 даже без соли) использует какую-то библиотеку bcrypt. Я с ней никогда не работал и сказать чем она лучше не могу, гугл вам в помощь.

md5 без соли плох тем, что если кто-то украдет у вас базу то с помощью например радужных таблиц или брутфорса могут расшифровать все пароли пользователей.

[delovoy]

Хм, но в версии 1.5.4 вроде уже используются Соли

Меня просто не покидает паранойя защиты базы от просмотра админом хостинга :) Этот способ может усложнить админу задачу просмотра или нет?

[sv2109]

Хм, но в версии 1.5.4 вроде уже используются Соли

Только что проверил, да начиная с 1.5.4 начали солить пароли.

[delovoy]

Но мне интересно, это как то может помешать администратору хостинга?

[costas]

Но мне интересно, это как то может помешать администратору хостинга?

Смеётесь? Он на то и администратор, криптованные пароли он может смотреть, только зачем они ему? Имея доступ к хостинг-площадке, будучи администратором, всегда можно получить любые данные из базы Вашего магазина, и пароли Ваши при этом не потребуются. И что Вы собрались защищать? Если Вас так беспокоит администратор Вашего хостинга, то заказывайте VDS-хостинг (не путать с VPS - там администратор свободно может гулять по вашему серверу), ищите своего проверенного админа и спите спокойно, за всё надо платить естественно.

И в больших хостинговых компаниях администраторам нет дела до Ваших данных, ибо правильный админ - ленивый админ, и не будет тратить время на бесполезные занятия.

А кстати, у Вас есть почта на gmail, mail.ru, тындекс и тд - не задумывались, что её читают? и может даже не админы... 8-)

[sv2109]

скорее всего у автора темы просто нездоровая паранойя. те, у кого действительно большие магазины в которых есть какая-то реально секретная информация не держат свои сайты на шаред хостингах и не пытаются что-то скрыть от адмиинов хостинга.

[delovoy]

Смеётесь? Он на то и администратор, криптованные пароли он может смотреть, только зачем они ему? Имея доступ к хостинг-площадке, будучи администратором, всегда можно получить любые данные из базы Вашего магазина, и пароли Ваши при этом не потребуются. И что Вы собрались защищать? Если Вас так беспокоит администратор Вашего хостинга, то заказывайте VDS-хостинг (не путать с VPS - там администратор свободно может гулять по вашему серверу), ищите своего проверенного админа и спите спокойно, за всё надо платить естественно.

И в больших хостинговых компаниях администраторам нет дела до Ваших данных, ибо правильный админ - ленивый админ, и не будет тратить время на бесполезные занятия.

А кстати, у Вас есть почта на gmail, mail.ru, тындекс и тд - не задумывались, что её читают? и может даже не админы... 8-)

Хих... Умеренная паранойя никогда не помешает, а верить в порядочность админа, думаю наивно... Я думаю при желании он сольет клинскую базу за сущие копейки! (тут вон не успеешь номер мобилы оставить, уже СМС рассылают!)

Тут простой вопрос, вот есть конкурент,знаешь у него сотни или тысячи клиентов уже!

а) Ты нанимаешь "хакера" ломать хостинг, б) ты тупо ищешь админа и предлагаешь ему то, от чего трудно отказаться...

И какой способ по вашему будет надежней и дешевле?

Имея клиентскую базу, делаешь рассылку с демпинговым предложениями и вуаля...! Или не так?

По поводу VDS, а разве это не тот же виртуальный сервер, с общим административным доступом над остальными вирт машинами?

На майл сру то? Точно читают... поэтому ничего серьезного там не держу и другим не советую ;)

Я вообще-то имел ввиду не полный доступ и тп к данным базы, а на сколько легко или сложно, будет слить из нее необходимую информацию, можно ли как то усложнить доступ или чтение (хотя понимаю, админ по умолчанию имеет доступ к конфигурациям).

[costas]

б) ты тупо ищешь админа и предлагаешь ему то, от чего трудно отказаться...

Если хостер в штатах, голандии, германии (не российского хостера) то удачи вам там найти админа желающего заработать копейку таким способом, а если хостер Российский, то админ этот сядет - и на долго. Ну а если у Вас хостер аля студент сосед с компом на кухне тогда да - надо бояться...

VDS не тоже самое и там нет общего административного доступа, там аппаратная виртуализация KVM-VMWare-Xen и никаких доступов кроме как у Вас на вашу "машинку" не будет, если Вам предлагают под VDS, что то другое, значит Вас банально пытаются надуть (впрочем это сейчас норма на хостингах).

Есть ещё калокейшен, своя железка - сам себе барин.

[delovoy]

Если хостер в штатах, голандии, германии (не российского хостера) то удачи вам там найти админа желающего заработать копейку таким способом, а если хостер Российский, то админ этот сядет - и на долго. Ну а если у Вас хостер аля студент сосед с компом на кухне тогда да - надо бояться...

VDS не тоже самое и там нет общего административного доступа, там аппаратная виртуализация KVM-VMWare-Xen и никаких доступов кроме как у Вас на вашу "машинку" не будет, если Вам предлагают под VDS, что то другое, значит Вас банально пытаются надуть (впрочем это сейчас норма на хостингах).

Есть ещё калокейшен, своя железка - сам себе барин.

Насмешило, честно... :-D Наивно полагать так... Кто кого посадит, где такие случаи? Как докажешь "слив" информации? Может кто подскажет, как мне засудить тех кто мой телефона под СМС спам слил или другие частные данные? Сливают все! Буржуи вообще до денег жадны, за сотню баксов удавятся... Я интересуюсь именно защитой информации на шаредхостингах, по ВДС думаю уже.

По поводу ВДС, может я что то не понимаю, но ВДСки ставят на Колокейшен, админ управляет сервером на котором ВДС, разве он не может иметь доступ ко всем данным ВДС? У него что нет паролей, логинов, тех клиентов?

Что ему мешает, взять пароли и логин и войти в мой ВДС и слить также все? :|

[delovoy]

Я вижу тут все в препаратах разбираются, спрашивается от куда такие познания? :ugeek:

Галоперидол к сведению, используется для подавление Гиперактивности! А не для лечения параноидальных состояний :-D

P.S.

Это все смешно! Пока не уведут и не сольют! И обычно смешно тем, кто ни чем ценным не обладает... :-x

Вопрос остался открытым, кто защитит вашу базу, даже на ВДС?

[delovoy]

Давайте более предметно.

Вот есть OpenCart. Всю базу шифровать не получится - пользователю что показывать? Шифровать надо какие-то критически-важные данные. Пароли уже зашифрованы. Что шифровать то?

Меня пусть и гипотетически волнует не проблема "взлома" и хакинга сайта и базы, а именно в контексте защиты от доступа третьим лицам, таким как "администраторы" хостинга.

Так вот, ок с шарингом пусть все ясно, имея конфиги и доступ, любой админ сможет слить базу соответственено.

Но тут мне предложили перейти на VDS, ок, опять вопрос, кто мешает администратору имеющему доступ к серверу и соответственно к ядру виртуализации. Также получить доступ к вашему VDS?

[costas]

Так вот, ок с шарингом пусть все ясно, имея конфиги и доступ, любой админ сможет слить базу соответственено.

Но тут мне предложили перейти на VDS, ок, опять вопрос, кто мешает администратору имеющему доступ к серверу и соответственно к ядру виртуализации. Также получить доступ к вашему VDS?

Каким образом? Ядро ему пароли рута даст?

Чтоб получить пароль рута на VDS, нужно его перезагрузить в сингл режим (опять же зависит от версии вашего *nix) - и только потом он сможет поменять пароль рута или скопировать данные, и то если раздел монтируется без ключа. И все эти действия соответственно будут отражены в логах систем виртуализации, и даже если от логов избавиться, то аптайм серверу вернуть на родину не удасться - это что называется спалился на все 100%.

А если там не дай бог Windows Server (с правильными и прямыми руками), то ему вообще не светят никакие перезагрузки с получением прав.

Пока вы не поставите "клиента под платформу виртуализации" на свой VDS никто туда доступ не получит, вопрос установки "клиента" - это зависит от хостинга, на многих автоматом прилагается установленный.

Для начало почитайте различие между аппаратной виртуализацией и виртуализацией уровня ОСь, и где и на чём ставят VPS и VDS с поправкой на тип виртуализации.

Калокейшен Вас спасёт.

[afwollis]

linux мешает. с паролями, которые знаете только вы.

[delovoy]

Ок, если все так, тогда каким образом работает напоминание пароля? :ph34r:

Ну лично я склоняюсь к выбору VDS под управлением ISP, есть + или - ?

Или стоит посмотреть другую панель?