|
|
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
Хотел бы узнать мнение стороннее. Есть программа, которая используется FireBird для хранения данных. Как правильно хранить пароль на подключение к базе? Я пока храню в инишке рядом с EXE в открытом виде, так как злоумышленников нет, а вот на будущее. Пароль может быть разный - в экзе его не пропишешь. Понятно, что любой пароль можно вытащить - вопрос времени, но если выбирать между очень просто и очень сложно - хранить в виде хэша или как? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 01:40 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
Сделай трехзвенку/онлайн сервисы и не храни пароль от БД. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 01:45 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
Зачем хранить пароль ? Пользователь должен его вводить. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 01:45 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
GrigoriyFomin . Есть программа, которая используется FireBird для хранения данных. Как правильно хранить пароль Пароль у FireBird всегда один и тот же: masterkey. Что его хранить. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 01:49 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
rgreat Сделай трехзвенку/онлайн сервисы и не храни пароль от БД. Ты так говоришь, будто "трёхзвенка/онлайн сервисы" не хранят пароль от БД. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 01:59 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
softwarer, Пароли от БД хранятся на сервере, что, согласись, совсем не то же самое по сравнению с прямым доступом к БД прямо с клиента. Ну а возможностей ограничить вредоносное влияние злоумышленника, имея прослойку между БД и клиентом - навалом. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 02:02 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
GrigoriyFomin Хотел бы узнать мнение стороннее. Есть программа, которая используется FireBird для хранения данных. Как правильно хранить пароль на подключение к базе? Безотносительно Firebird - правильно его вообще не хранить. Если программа подразумевает интерактивную работу пользователя - она должна работать под этим пользователем. Либо он сам вводит свой пароль, либо логин через AD, либо что-нибудь в этом духе. Если программа выполняет автономные автоматические действия - ей нужно, во-первых, максимально зарезать права и разрешить только крупноблочные специфические действия - то есть, по сути, разрешить запускать только те самые автоматические функции, которые не дадут злоумышленнику ничего ценного. Во-вторых, использовать опять же доменную аутентификацию, ldap итп. Если они никак... если права достаточно малы, можно захардкодить пароль от бесправного аккаунта (хотя это всё равно дыра в безопасности, которую квалифицированный злоумышленник сможет расширить). Если же права велики - лучше заставить админа руками вводить пароль каждый раз, когда он требуется. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 02:10 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
rgreat Пароли от БД хранятся на сервере, что, согласись, совсем не то же самое по сравнению с прямым доступом к БД прямо с клиента. Не соглашусь. Риск определяется не тем, "сервер" или "клиент", а исключительно возможностями злоумышленника по доступу к компу с программой. Топикстартер их не уточнил, и если речь не идёт об экзотическом варианте "клиент через интернет стучится к БД", то они в целом эквивалентны. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 02:15 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
GrigoriyFomin, пока обсуждение не зашло слишком далеко, обрати внимание на Trusted autentification: https://firebirdsql.org/rlsnotesh/rnfb210-wintrusted.html Никаких паролей "для коннекта к серверу" не хранится. При коннекте сервер получает имя пользователя, подтверждённое системой безопасности windows. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 02:21 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
softwarer Не соглашусь. Риск определяется не тем, "сервер" или "клиент", а исключительно возможностями злоумышленника по доступу к компу с программой. Топикстартер их не уточнил, и если речь не идёт об экзотическом варианте "клиент через интернет стучится к БД", то они в целом эквивалентны. А то что доступ к компу с клиентом у злоумышленника (или просто дурака) есть - это понятно по условиям задачи. В общем: "DROP DATABASE XXX;" - в студию! Ну или "DELETE FROM YYY;" если прав не хватает. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 02:36 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
GrigoriyFomin Я пока храню в инишке рядом с EXE в открытом виде Можно еще в этот же инишник добавить ключик IsCode, и если IsCode=1, то вместо password=masterkey должно быть password=04affddef38a2540hh704affddef38a2540hh704affddef38a2540hh7 Этот hex - пароль в зашифрованном виде каким-нибудь AES128 ключом зашитым или вычисляемым в программе. К паролю перед шифрованием можно какие-нибудь рандомы добавить хитрые (а после расшифровки - убрать. Понятное дело, от взлома это не поможет. Только немного замедлит. Это самый худший вариант. На втором месте по худшести - вводить пароль. На третьем - использовать windows-аутентификацию. Возможно, эти пункты можно следует поменять местами, но мне таки кажется, что пароль от акка винды угнать сложнее (впрочем, достаточно запустить прогу из-под этого акка, так что не факт). На четвертом - самый безопасный вариант - не открывать базу наружу сервера. Использовать свою аутентификацию через хэши/сессии. Но это уже не двухзвёнка. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 04:21 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
YuRock>достаточно запустить прогу из-под этого акка И как пароль будет "угнан"? Поделись секретом. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 09:01 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
ъъъъъ GrigoriyFomin, пока обсуждение не зашло слишком далеко, обрати внимание на Trusted autentification: https://firebirdsql.org/rlsnotesh/rnfb210-wintrusted.html Никаких паролей "для коннекта к серверу" не хранится. При коннекте сервер получает имя пользователя, подтверждённое системой безопасности windows. +100500 В случае ТС почти самый идеальный вариант. Если вход в винду запаролирован :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 09:37 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
В современной Опере менеджер паролей при попытке показать сохраненные пароли выводит форму виндовой аутентификации. Неплохое решение. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 11:36 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
хоть немного шифровать будет полезно ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 12:00 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
rgreat Это из разряда того, что если сервер с БД обесточить то БД в безопасности! Это из разряда "зарекался же спорить о безопасности с теми, кто никогда ничего не ломал". Сам дурак. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 12:02 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
ъъъъъ YuRock>достаточно запустить прогу из-под этого акка И как пароль будет "угнан"? Поделись секретом. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 13:04 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
X11 хоть немного шифровать будет полезно ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 13:07 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
YuRock ъъъъъ YuRock>достаточно запустить прогу из-под этого акка И как пароль будет "угнан"? Поделись секретом. Потому и спрашиваю, что не понял. Разъясни. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 14:20 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
ъъъъъ YuRock пропущено... Внимательно перечитайте мой текст. Если есть желание. Вопрос должен отпасть. Потому и спрашиваю, что не понял. Разъясни. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 14:40 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
YuRock ъъъъъ пропущено... Потому и спрашиваю, что не понял. Разъясни. Объясни же, о чем тут: YuRockНа третьем - использовать windows-аутентификацию. Возможно, эти пункты можно следует поменять местами, но мне таки кажется, что пароль от акка винды угнать сложнее (впрочем, достаточно запустить прогу из-под этого акка, так что не факт). ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 14:53 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
ъъъъъ ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 22:45 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
_Vasilisk_ ъъъъъ ? Поди пойми, о чем он баит. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 23:38 |
|
||
|
как вы храните пароли к СУБД?
|
|||
|---|---|---|---|
|
#18+
_Vasilisk_ ъъъъъ ? Отметим, что "брутальная" защита начинается с того, что текущему пользователю блокируется возможность запуска всяких левых шняг. А адекватная - с соображения "пусть запускает, всё равно права отстроены так, что он и через IBExpert не получит доступа к тому, к чему не должен". ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.02.2021, 23:57 |
|
||
|
|
start [/forum/topic.php?fid=58&msg=40045022&tid=2037597]: |
0ms |
get settings: |
9ms |
get forum list: |
14ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
141ms |
get topic data: |
11ms |
get forum data: |
2ms |
get page messages: |
69ms |
get tp. blocked users: |
2ms |
| others: | 242ms |
| total: | 496ms |
| 0 / 0 |
