Skocz do zawartości


[MySQL] MySQL SSL na ile bezpieczne są dane


8 odpowiedzi w tym temacie

#1 Integer

    Pomocna dłoń

  • Moderatorzy
  • 191 Postów:
  • Gadu-Gadu:6888400

Napisano czw, 26 maj 2011 - 20:36

Witam.

Mądrzy koledzy mi powiedzieli, że dane przy użyciu MySQL nie są bezpieczne i że jeśli nawet same dane się zaszyfruje to loginy i hasła można gdzieś "po drodze" podejrzeć.
A jak to się dzieje w przypadku MySQL SSL, czy ma ktoś doświadczenie w tym względzie wink.gif?

#2 Blind

    Dzień dobry

  • Moderatorzy
  • 1057 Postów:

Napisano czw, 26 maj 2011 - 20:53

Połaczenia SSL jest szyfrowane i bez certyfikatów nie da się odszyfrować.

#3 Integer

    Pomocna dłoń

  • Moderatorzy
  • 191 Postów:
  • Gadu-Gadu:6888400

Napisano pią, 27 maj 2011 - 10:12

Super brzmi obiecująco smile.gif, dzięki

#4 natanielcz

    Bywalec

  • Użytkownicy
  • 70 Postów:
  • Gadu-Gadu:7064211

Napisano pią, 27 maj 2011 - 17:18

możesz jeszcze szyfrować MD5 z solą ;-)
Też chyba nie da się rozszyfrować

#5 Blind

    Dzień dobry

  • Moderatorzy
  • 1057 Postów:

Napisano pią, 27 maj 2011 - 17:55

Jemu raczej chodzi o login i hasło aby się do bazy zalogować.
Pozatym nawet jeśli wysyłasz hasło MD5 z solą to podsłuchanie go wystarczy aby przejąć kontrole nad kontem.

#6 Integer

    Pomocna dłoń

  • Moderatorzy
  • 191 Postów:
  • Gadu-Gadu:6888400

Napisano sob, 28 maj 2011 - 07:21

Chodziło mi o unikniecie wszelkich miejsc gdzie dane są w postaci nieszyfrowanej, przykład z loginem i hasłem jest sztandarowy bo niby mogę wszystkie dane zrobić jako np. string i dorzucić do tego dowolnej długości klucz szyfrujący, zrobić skomplikowany algorytm szyfrujący i deszyfrujący ... a wystarczy posłuchać i namieszać (...) a cała robota pójdzie ... smile.gif

#7 sazian

    Guru

  • Moderatorzy
  • 1117 Postów:

Napisano pon, 30 maj 2011 - 20:32

sprawdziłem na swoim lacalhoscie na standardowej konfiguracji MySQL baz żadnych dodatkowych zabezpieczeń

podczas logowania login i nazwa bazy są przekazywane jawnie ale hasło wyglądało tak

Cytat

\xcc2]\x0b\xc8'\xd3g\xcdr\xc7\xaetC\x8e\xd07\x1e\xcd\xbd



co do zapytać to treść zapytania idzie do serwera jako tekst jawny ale odpowiedz jest mało czytelna

#8 Integer

    Pomocna dłoń

  • Moderatorzy
  • 191 Postów:
  • Gadu-Gadu:6888400

Napisano pon, 30 maj 2011 - 20:57

@sazian a czy znając login i hasło widzisz jakiś schemat w tych znakach? bo może to być tak ze porostu jeden znak jest reprezentowany przez kilka i roztrzaskanie tego nie jest takie trudne, a z tą jawnością .. no właśnie to i podmianka polecenia jest zapewne możliwa,
no i jedyne co pozostaje w takim przypadku to nadać jakieś mało mówiące nazwy kolumn, np. a1, a2 .. czy możne jakiś inny sposób?

#9 sazian

    Guru

  • Moderatorzy
  • 1117 Postów:

Napisano czw, 02 cze 2011 - 18:56

hasło które podałem składa się z sześciu znaków a do tego wszystkie znaki są cyframi jak chcesz to próbuj złamać biggrin.gif

tak jak mówiłem jawnie przesyłane jest zapytanie czyli SELECT * FROM tabela
co często niewiele mówi nawet jeśli to przechwycimy (przy insertach jest już gorzej)

w odpowiedzi otrzymujemy trochę nieczytelnych śmieci których pewnie nie da się odczytać nie znając hasła
jeśli chcesz dokładnie zobaczyć jak to działa to polecam program wireshark
odpal serwer na swoim komputerze wyślij proste zapytanie i obserwuj co się dzieje wink.gif


poza tym jest możliwe połączenie przez ssh a wtedy dane są niemal całkowicie bezpieczne