Jump to content
Sign in to follow this  
delovoy

Интересное: Алгоритмы шифрования Базы данных?

Recommended Posts

Нашел случайно на сайте opencart.com

Такой модуль http://www.opencart.com/index.php?route=extension/extension/info&extension_id=6843&filter_search=SECURE%20PASSWORD&filter_license=0

Честно плохо разбираюсь в администрировании SQL, но там заявляется о существенном улучшении шифрования.

Прошу прокомментировать, знающих людей, минусы и плюсы, данного модуля.

Share this post


Link to post
Share on other sites

Из того что понял с описания, модуль вместо стандартного шифрования паролей в базе (а там по умолчанию md5 даже без соли) использует какую-то библиотеку bcrypt. Я с ней никогда не работал и сказать чем она лучше не могу, гугл вам в помощь.

md5 без соли плох тем, что если кто-то украдет у вас базу то с помощью например радужных таблиц или брутфорса могут расшифровать все пароли пользователей.

Share this post


Link to post
Share on other sites

Хм, но в версии 1.5.4 вроде уже используются Соли

Меня просто не покидает паранойя защиты базы от просмотра админом хостинга :) Этот способ может усложнить админу задачу просмотра или нет?

Share this post


Link to post
Share on other sites

Хм, но в версии 1.5.4 вроде уже используются Соли

Только что проверил, да начиная с 1.5.4 начали солить пароли.

Share this post


Link to post
Share on other sites

Но мне интересно, это как то может помешать администратору хостинга?

Share this post


Link to post
Share on other sites

Но мне интересно, это как то может помешать администратору хостинга?

Смеётесь? Он на то и администратор, криптованные пароли он может смотреть, только зачем они ему? Имея доступ к хостинг-площадке, будучи администратором, всегда можно получить любые данные из базы Вашего магазина, и пароли Ваши при этом не потребуются. И что Вы собрались защищать? Если Вас так беспокоит администратор Вашего хостинга, то заказывайте VDS-хостинг (не путать с VPS - там администратор свободно может гулять по вашему серверу), ищите своего проверенного админа и спите спокойно, за всё надо платить естественно.

И в больших хостинговых компаниях администраторам нет дела до Ваших данных, ибо правильный админ - ленивый админ, и не будет тратить время на бесполезные занятия.

А кстати, у Вас есть почта на gmail, mail.ru, тындекс и тд - не задумывались, что её читают? и может даже не админы... 8-)

Share this post


Link to post
Share on other sites

Ну при очень большом желании, если хочется скрыть данные в базе даже от админа, надо их шифровать RSA-алгоритмом, а при входе в админку указывать не только логин-пароль, но и private-key. Разумеется о поиске/сортировке по зашифрованному полю данных на уровне SQL придется забыть.

Только что там можно такого секретного хранить?

Share this post


Link to post
Share on other sites

скорее всего у автора темы просто нездоровая паранойя. те, у кого действительно большие магазины в которых есть какая-то реально секретная информация не держат свои сайты на шаред хостингах и не пытаются что-то скрыть от адмиинов хостинга.

  • +1 1

Share this post


Link to post
Share on other sites

Смеётесь? Он на то и администратор, криптованные пароли он может смотреть, только зачем они ему? Имея доступ к хостинг-площадке, будучи администратором, всегда можно получить любые данные из базы Вашего магазина, и пароли Ваши при этом не потребуются. И что Вы собрались защищать? Если Вас так беспокоит администратор Вашего хостинга, то заказывайте VDS-хостинг (не путать с VPS - там администратор свободно может гулять по вашему серверу), ищите своего проверенного админа и спите спокойно, за всё надо платить естественно.

И в больших хостинговых компаниях администраторам нет дела до Ваших данных, ибо правильный админ - ленивый админ, и не будет тратить время на бесполезные занятия.

А кстати, у Вас есть почта на gmail, mail.ru, тындекс и тд - не задумывались, что её читают? и может даже не админы... 8-)

Хих... Умеренная паранойя никогда не помешает, а верить в порядочность админа, думаю наивно... Я думаю при желании он сольет клинскую базу за сущие копейки! (тут вон не успеешь номер мобилы оставить, уже СМС рассылают!)

Тут простой вопрос, вот есть конкурент,знаешь у него сотни или тысячи клиентов уже!

а) Ты нанимаешь "хакера" ломать хостинг, б) ты тупо ищешь админа и предлагаешь ему то, от чего трудно отказаться...

И какой способ по вашему будет надежней и дешевле?

Имея клиентскую базу, делаешь рассылку с демпинговым предложениями и вуаля...! Или не так?

По поводу VDS, а разве это не тот же виртуальный сервер, с общим административным доступом над остальными вирт машинами?

На майл сру то? Точно читают... поэтому ничего серьезного там не держу и другим не советую ;)

Я вообще-то имел ввиду не полный доступ и тп к данным базы, а на сколько легко или сложно, будет слить из нее необходимую информацию, можно ли как то усложнить доступ или чтение (хотя понимаю, админ по умолчанию имеет доступ к конфигурациям).

Share this post


Link to post
Share on other sites

б) ты тупо ищешь админа и предлагаешь ему то, от чего трудно отказаться...

Если хостер в штатах, голандии, германии (не российского хостера) то удачи вам там найти админа желающего заработать копейку таким способом, а если хостер Российский, то админ этот сядет - и на долго. Ну а если у Вас хостер аля студент сосед с компом на кухне тогда да - надо бояться...

VDS не тоже самое и там нет общего административного доступа, там аппаратная виртуализация KVM-VMWare-Xen и никаких доступов кроме как у Вас на вашу "машинку" не будет, если Вам предлагают под VDS, что то другое, значит Вас банально пытаются надуть (впрочем это сейчас норма на хостингах).

Есть ещё калокейшен, своя железка - сам себе барин.

Share this post


Link to post
Share on other sites

Если хостер в штатах, голандии, германии (не российского хостера) то удачи вам там найти админа желающего заработать копейку таким способом, а если хостер Российский, то админ этот сядет - и на долго. Ну а если у Вас хостер аля студент сосед с компом на кухне тогда да - надо бояться...

VDS не тоже самое и там нет общего административного доступа, там аппаратная виртуализация KVM-VMWare-Xen и никаких доступов кроме как у Вас на вашу "машинку" не будет, если Вам предлагают под VDS, что то другое, значит Вас банально пытаются надуть (впрочем это сейчас норма на хостингах).

Есть ещё калокейшен, своя железка - сам себе барин.

Насмешило, честно... :-D Наивно полагать так... Кто кого посадит, где такие случаи? Как докажешь "слив" информации? Может кто подскажет, как мне засудить тех кто мой телефона под СМС спам слил или другие частные данные? Сливают все! Буржуи вообще до денег жадны, за сотню баксов удавятся... Я интересуюсь именно защитой информации на шаредхостингах, по ВДС думаю уже.

По поводу ВДС, может я что то не понимаю, но ВДСки ставят на Колокейшен, админ управляет сервером на котором ВДС, разве он не может иметь доступ ко всем данным ВДС? У него что нет паролей, логинов, тех клиентов?

Что ему мешает, взять пароли и логин и войти в мой ВДС и слить также все? :|

Share this post


Link to post
Share on other sites

Я вижу тут все в препаратах разбираются, спрашивается от куда такие познания? :ugeek:

Галоперидол к сведению, используется для подавление Гиперактивности! А не для лечения параноидальных состояний :-D

P.S.

Это все смешно! Пока не уведут и не сольют! И обычно смешно тем, кто ни чем ценным не обладает... :-x

Вопрос остался открытым, кто защитит вашу базу, даже на ВДС?

  • +1 1

Share this post


Link to post
Share on other sites

Давайте более предметно.

Вот есть OpenCart. Всю базу шифровать не получится - пользователю что показывать? Шифровать надо какие-то критически-важные данные. Пароли уже зашифрованы. Что шифровать то?

Share this post


Link to post
Share on other sites

Давайте более предметно.

Вот есть OpenCart. Всю базу шифровать не получится - пользователю что показывать? Шифровать надо какие-то критически-важные данные. Пароли уже зашифрованы. Что шифровать то?

Меня пусть и гипотетически волнует не проблема "взлома" и хакинга сайта и базы, а именно в контексте защиты от доступа третьим лицам, таким как "администраторы" хостинга.

Так вот, ок с шарингом пусть все ясно, имея конфиги и доступ, любой админ сможет слить базу соответственено.

Но тут мне предложили перейти на VDS, ок, опять вопрос, кто мешает администратору имеющему доступ к серверу и соответственно к ядру виртуализации. Также получить доступ к вашему VDS?

Share this post


Link to post
Share on other sites

Так вот, ок с шарингом пусть все ясно, имея конфиги и доступ, любой админ сможет слить базу соответственено.

Но тут мне предложили перейти на VDS, ок, опять вопрос, кто мешает администратору имеющему доступ к серверу и соответственно к ядру виртуализации. Также получить доступ к вашему VDS?

Каким образом? Ядро ему пароли рута даст?

Чтоб получить пароль рута на VDS, нужно его перезагрузить в сингл режим (опять же зависит от версии вашего *nix) - и только потом он сможет поменять пароль рута или скопировать данные, и то если раздел монтируется без ключа. И все эти действия соответственно будут отражены в логах систем виртуализации, и даже если от логов избавиться, то аптайм серверу вернуть на родину не удасться - это что называется спалился на все 100%.

А если там не дай бог Windows Server (с правильными и прямыми руками), то ему вообще не светят никакие перезагрузки с получением прав.

Пока вы не поставите "клиента под платформу виртуализации" на свой VDS никто туда доступ не получит, вопрос установки "клиента" - это зависит от хостинга, на многих автоматом прилагается установленный.

Для начало почитайте различие между аппаратной виртуализацией и виртуализацией уровня ОСь, и где и на чём ставят VPS и VDS с поправкой на тип виртуализации.

Калокейшен Вас спасёт.

Share this post


Link to post
Share on other sites

linux мешает. с паролями, которые знаете только вы.

Share this post


Link to post
Share on other sites

Ок, если все так, тогда каким образом работает напоминание пароля? :ph34r:

Ну лично я склоняюсь к выбору VDS под управлением ISP, есть + или - ?

Или стоит посмотреть другую панель?

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
You are posting as a guest. If you have an account, please sign in.
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

  • Recently Browsing   0 members

    No registered users viewing this page.

×

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.