164 ответов в теме

[gobobo]

Все понял, спс. Завтра напрягу.

 

Вот приятно с тобой по делу поговорить, а то все креакл креакл!

Сообщение отредактировал gobobo: 07 April 2015 - 1:10

[Karmael]

еще линк, может пригодиться

https://kb.berkeley....ge.php?id=23274

[r0n1]

чет вы загнались имхо, логинпасс в файлике лежит что бы сайтец ака приложение могло собственно пройти аутентификацию, и вопрос решается тупо ограничением прав на файлик с настройками базы, и настройкой базы откуда к ней может приходить данный пользователь.

 

а к чему собственно, продаван не должен лезть туда где он нифига не понимает, а сидеть и заниматься своим делом.

Сообщение отредактировал r0n1: 07 April 2015 - 12:44

[L0SER]

еще линк, может пригодиться

https://kb.berkeley....ge.php?id=23274

Так шифрование соединения никак не повлияет на то, что логин:пароль хранятся в открытом виде у клиента.

Можно пароль зашифровать и расшифровывать по мастер паролю какому нибудь, или просто пользователя просить вводить пароль каждый раз.

 

Обычно просто ограничивают пул адресов, с которых доступна аутентификация.

[Karmael]

ну во первых, если это пароль\логин который вызывается из приложения, то настроенный драйвер бд будет таки его шифровать при передаче. если код написан на чем то что позволяет читать его содержимое as plain text имеет смысл похешировать пароль и передавать его хешированным. это все не отменяет настройку клиентов и сервера. 

[r0n1]

имеет смысл похешировать пароль и передавать его хешированным. это все не отменяет настройку клиентов и сервера. 

эм, чо? ты сам то понял что сморозил?

а коннектор к базе там и так 99% используется (и вопрос был вовсе не в шифровании сессии). просто продаван увидел пароль в кофиге коннекта к базе и начал писать ахинею.

[Karmael]

ну во всяком вебе сие есть нормальная практика, файл /etc/passwd тоже на тебя смотрит не понимающе. 

я может не правильно сформулировал. если дабы где то пароль лежит в открытом виде, его имеет смысл похешировать например openssl. а серверу рассказать про алгоритм который использовался. сиречь провести работы залинкованные выше. 

и передавать его уже в таком виде. 

я ваще задачу понял как то, что он там "написал скрипт"   запустил снифер, и обнаружил парололь плейн текстом. 

[r0n1]

ну во всяком вебе сие есть нормальная практика, файл /etc/passwd тоже на тебя смотрит не понимающе.

итить, а вводишь в приглашении ты его тоже в виде хеша?

[vmarkelov]

Ить вашу тудыть разтудыть:

для того что б понять масштаб проблемы с этим паролем надо знать:

1) Клиент и сервер - это один или два компа?

2) Если компы разные, то:

а) общение между компами идет через публичную или приватную сеть?

б) трафик между компами шифруется (VPN, IPSec, etc)?

3) Какими правами в БД обладает учетка, о которой идет речь?

4) Какие учетные записи имеют право на чтение файла с логином/паролем?

5) Кто имеет доступ к учеткам, которым доступен этот файл?

6) Кто имеет физический доступ к этом компу?

7) Кто-нибудь оценивал трудозатраты по избавлению от пароля в открытом виде в конфиге?

8) Кто-нибудь оценивал стоимость информации, доступной по этим данным?

[SkyFox]

А все таки Терри молодец.

 

 

Все понял, спс. Завтра напрягу.

 

Вот приятно с тобой по делу поговорить, а то все креакл креакл!

 

 

Поработайте на него консультантами. А он такой с умным видом "завтра напрягу". Кого думаете он будет напрягать ?!?

Я вот тоже сначала собрался тут истину ему открыть, а потом подумал с фигали. Он вроде как себя позиционировал ИТ Специалистом(в данном случае термин без негативной окраски). Вот пущай полетает.

Сообщение отредактировал SkyFox: 07 April 2015 - 23:43

[Tir]

А все таки Терри молодец.
 
 
 
 
Поработайте на него консультантами. А он такой с умным видом "завтра напрягу". Кого думаете он будет напрягать ?!?
Я вот тоже сначала собрался тут истину ему открыть, а потом подумал с фигали. Он вроде как себя позиционировал ИТ Специалистом(в данном случае термин без негативной окраски). Вот пущай полетает.

Пффф... Зайди на стэковерфлоу. Там таких молодцов - хоть самосвалами вывози. Причём спрашивают даже то, что в официальной документашке написано открытым текстом. Ну т.е. уже не то, что думать, читать не хотят. Собственно таких вот гуглокодеров, за каджым чихом лезущих в гугл, можно выделять в отдельный класс.

[gobobo]

Да да я такой, плохой и вообще коварный.

 

Скайфокс - у каждого есть своя работа, нахера мне думать за разрабов? Моя задача наиболее точно поставить задачу, в данном случае.

 

А таких ИТ-специалистов (шива по нашему) широкого профиля - как бы на рынке труда не ценят.

 

И ваще я продаван, вон там выше сказали - продал считай знания кармы. За дорого!

 

Яб еще щас чонить за вебмина на центосе спросил (в нетстате 10000 его родной порт идет под лупбаком почему то и никуда неале больше) - но пусть опять делает кто-то другой, кто могет.

Ить вашу тудыть разтудыть:

для того что б понять масштаб проблемы с этим паролем надо знать:

1) Клиент и сервер - это один или два компа?

2) Если компы разные, то:

а) общение между компами идет через публичную или приватную сеть?

б) трафик между компами шифруется (VPN, IPSec, etc)?

3) Какими правами в БД обладает учетка, о которой идет речь?

4) Какие учетные записи имеют право на чтение файла с логином/паролем?

5) Кто имеет доступ к учеткам, которым доступен этот файл?

6) Кто имеет физический доступ к этом компу?

7) Кто-нибудь оценивал трудозатраты по избавлению от пароля в открытом виде в конфиге?

8) Кто-нибудь оценивал стоимость информации, доступной по этим данным?

 

1) 2

2) Приватная VPN

3) Малыми, но серавно пичаль.

4) Любые котоыре смогут в просмотр.

5) Уже больше 3х сторон, что пичаль.

6) Не только лишь все - точнее мало кто.

7) Оценили в 20 тысяч деревянных, но эта какая то дичь.

8) Да многомильонов.

Сообщение отредактировал gobobo: 08 April 2015 - 11:41

[vmarkelov]

1) 2
2) Приватная VPN
3) Малыми, но серавно пичаль.
4) Любые котоыре смогут в просмотр.
5) Уже больше 3х сторон, что пичаль.
6) Не только лишь все - точнее мало кто.
7) Оценили в 20 тысяч деревянных, но эта какая то дичь.
8) Да многомильонов.

20-ка это еще по божески Ибо хочешь ты вещь зело нетривиальную.
Смотри: клиент должен представить серверу логин и пароль. Значит клиент должен их знать и где то хранить. Причем хранить в читаемом виде, иначе админу придется каждый раз при перезагрузке клиента вводить пароль.
Либо переделывать вообще всю схему клиент сервер на аутентификацию например по сертификатам (а оракл вообще такое умеет?) а сами сертификаты хранить на внешнем токене: токен воткнут усе работает, вынут - болт.

[gobobo]

Тоесть это ок когда в ../anyscript.php вполне себе в читаемом виде лежит пароль и логин? Я считаю что это не ок. Но я не спец, как по мне так это не правильно.

 

Например же если я сохранил пароль для иврушки в куках, этоже не означает что он лежит у меня в открытом виде или значит?

[vmarkelov]

Тоесть это ок когда в ../anyscript.php вполне себе в читаемом виде лежит пароль и логин? Я считаю что это не ок. Но я не спец, как по мне так это не правильно.

Например же если я сохранил пароль для иврушки в куках, этоже не означает что он лежит у меня в открытом виде или значит?

Считай что лежит, ибо скопировав эту куку целиком я могу на сайте залогитися. Считай куку просто паролем в кривой кодировке.

[Tir]

Тоесть это ок когда в ../anyscript.php вполне себе в читаемом виде лежит пароль и логин? Я считаю что это не ок. Но я не спец, как по мне так это не правильно.

Дай права на чтение этого файла только пользователю, из-под которого работает пыхпых, запрети логиниться под этим пользователем, и прочитать его можно будет только залогинившись из-под рута на сервере. Хотя я тоже в этих вопросах любитель тащемта.

[r0n1]

мне помниться терри писал что он что-то там админил когда-то и ушел потом в продаваны, чет  сдается мне ушел надо заменить на выгнали с позором как них абсолютно ничего не знающего, за полную профнепригодность.

[Tir]

мне помниться терри писал что он что-то там админил когда-то и ушел потом в продаваны, чет  сдается мне ушел надо заменить на выгнали с позором как них абсолютно ничего не знающего, за полную профнепригодность.

Ты ничего не понимаешь! Кризис жы! Санкции! До чего Путин страну довёл! Народ в конторе посокращали, а обязанности разбросали на оставшихся. Вот и приходится продаванам непродаванскими вопросами заниматься.

[Fijneman]

Полиция Массачусетса заплатила выкуп в биткоинах, чтобы вернуть свои файлы

http://geektimes.ru/post/248706/

[Akiro]

http://geektimes.ru/post/248972/