abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 11:30 | Komunita

Bylo oznámeno, že bude proveden bezpečnostní audit zdrojových kódů open source softwaru pro implementaci virtuálních privátních sítí OpenVPN. Audit provede Matthew D. Green (blog), uznávaný kryptolog a profesor na Univerzitě Johnse Hopkinse. Auditována bude verze 2.4 (aktuálně RC 1, stabilní verze je 2.3.14). Audit bude financován společností Private Internet Access [reddit].

Ladislav Hagara | Komentářů: 0
dnes 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
dnes 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 1
včera 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
včera 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 3
7.12. 21:21 | Nová verze Ladislav Hagara | Komentářů: 0
7.12. 11:44 | Zajímavý projekt

Na Indiegogo byla spuštěna kampaň na podporu herní mini konzole a multimediálního centra RetroEngine Sigma od Doyodo. Předobjednat ji lze již od 49 dolarů. Požadovaná částka 20 000 dolarů byla překonána již 6 krát. Majitelé mini konzole si budou moci zahrát hry pro Atari VCS 2600, Sega Genesis nebo NES. Předinstalováno bude multimediální centrum Kodi.

Ladislav Hagara | Komentářů: 2
7.12. 00:10 | Nová verze

Byla vydána verze 4.7 redakčního systému WordPress. Kódové označením Vaughan bylo vybráno na počest americké jazzové zpěvačky Sarah "Sassy" Vaughan. Z novinek lze zmínit například novou výchozí šablonu Twenty Seventeen, náhledy pdf souborů nebo WordPress REST API.

Ladislav Hagara | Komentářů: 10
6.12. 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 27
6.12. 11:00 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2016-8655 v Linuxu zneužitelné k lokální eskalaci práv. Chyba se dostala do linuxového jádra v srpnu 2011. V upstreamu byla opravena minulý týden [Hacker News].

Ladislav Hagara | Komentářů: 2
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (7%)
 (5%)
 (3%)
Celkem 801 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Ukládání plaintext hesel v databázi

6.11.2014 01:27 gusta
Ukládání plaintext hesel v databázi
Přečteno: 323×
Vážení diskutéři.

Rozšiřuji aplikaci, která by potřebovala přístup k uživatelským heslům. Ve stručnosti: pro cca několik desítek uživatelů provádí služba pravidelné připojování do nastavených systémů a něco nastavuje. Nyní se lidé musí přihlásit do webového rozhraní té aplikace a nastavování provádět "manuálně", protože v databázi ukládám jen hashe a jsem odpůrcem uklání hesel v db. V praxi to ale znamená množství problémů.

Proto potřebuji ukládat v databázi nějak bezpečně hesla. Napadlo mě alespoň zvýšit úroveň zabezpečení šifrováním hesel nějakým klíčem, který by nebyl uložený v databázi => pokud někdo jen ukradne data z databáze a nehackne příp. celý systém, pak nemá rovnou plaintexty.

Co si myslíte o tomto přístupu a obecně o ukládání hesel v databázi? Obecně mi to jde proti srsti, ale ta aplikace stejně potřebuje nějak komunikovat s těmi systémy, jen s těmi hashi v db by příp. útočním musel chvíli poslouchat a ne jen ukrást všechna data.


děkuji za jakékoliv názory

Odpovědi

6.11.2014 01:36 petrfm
Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
No a proc si pro komunikaci s temi "systemy" nevygenerujes nejake hashe jako jedinecne kody, sparovane s temi uzivateli? Ktere v pripade, ze dojde ke kompromitaci, proste a jednoduse vygenerujes znova? Nerozumim tomu, proc bys mel potrebovat cist neci heslo, k cemu to je dobre.
6.11.2014 01:54 gusta
Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi

Jde o přístup do databází a ukládání či spíše hlavně čtení nějakých historií a statistik. K těm je potřeba právě to heslo. A ano, lze to zabezpečit tak, že případné hacknutí systému nedovolí zničit cílová data, ale jde hlavně o to, že lidé si prostě dávají stejné heslo všude - v práci i doma. Proto to heslo chci nějak šifrovat, ale bohužel ho skutečně potřebuji znát.

Ještě mě napadl jeden způsob šifrování. Mít program, kterému bych při spouštění zadal manuálně heslo a z mé aplikace bych mu jen posílal data k šifrování/dešifrování. Takže klíč k dešifrování dat by byl jen v RAM.

6.11.2014 19:04 Filip Jirsák
Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
Je opravdu nezbytné, aby vaše aplikace ty akce prováděla pod skutečným účtem těch uživatelů? Nemůžou mít třeba dva účty, jeden svůj a jeden "strojový", který bude používat ta vaše aplikace? Pak ten strojový účet může mít jiné heslo, klidně nějaké nezapamatovatelné, protože ho uživatel jednou zadá do vaší aplikace a pak ho může zapomenout.
6.11.2014 06:59 Filip Jirsák
Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
Z ukládání hesel v databázi se dělá strašák, pak někdo tvrdí, že ukládání hesel v databázi je prostě špatné, aniž by tušil proč (a pokud možno pak vymyslí nějaký velmi nebezpečný systém nakládání s hesly). První věc samozřejmě je zabezpečit aplikaci a databázi tak, aby se tam nikdo nedostal. Dále je samozřejmě zbytečné ukládat ta hesla v otevřeném tvaru, lepší je ukládat je šifrovaná klíčem, který bude mimo databázi - například uložený v aplikaci na serveru. Nebo ještě vyšší stupeň zabezpečení je, pokud ten klíč nebude trvale uložený nikde, a bude se muset zadat vždy po startu aplikace. Případně, pokud se všechny akce provádějí třeba jednou týdně a ve stejný čas, může aplikace ten klíč vyžadovat vždy před začátkem akce, pak vše provést a klíč zahodit. Nebo místo ručního zadávání můžete mít heslo uložené na nějakém jiném systému, ke kterému se zvenku vůbec nepůjde připojit, a který se jen v zadaný čas připojí k vaší aplikaci a heslo jí předá. Nejvíc pro bezpečnost ale můžete udělat na straně těch nastavovaných systémů. Tam by bylo nejlepší vytvořit nové přístupové údaje odlišné od těch uživatelských - aby se dalo snadno rozlišit, co dělal skutečný uživatel a co vaše aplikace, a v případě kompromitace příslušný účet snadno zakázat. A dále by to chtělo těmto účtům, které bude používat vaše aplikace, nastavit minimální práva, která potřebují k provedení příslušné akce. Vzhledem k tomu, že se to provádí pravidelně bez zásahu uživatele, je dost možné, že provedení takové akce útočníkem mimo plán by nemělo žádný negativní dopad. Ale to vše samozřejmě záleží na tom, co všechno můžete s těmi nastavovanými systémy dělat. Jinak vše, co jsem tu popsal, není nic nového, běžně se to používá. Třeba pro webové aplikaci (Google, Twitter, Facebook, Dropbox a miliony dalších) si můžete vygenerovat přihlašovací token pro aplikaci (to jsou ty další přihlašovací údaje), přičemž tomu tokenu jsou přiřazena jen omezená práva. Uživatel pak v nastavení té webové aplikace může s tokeny pracovat, měnit jim práva nebo je deaktivovat. Aplikace, které se tím tokenem přihlašují (GMail klient v telefonu, Dropbox klient na počítači atd.), si jej samozřejmě někde ukládají.
Heron avatar 6.11.2014 10:03 Heron | skóre: 50 | blog: root_at_heron | Olomouc
Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
Přesně tak jak píše Filip.

Jen ještě otázku, nerozumím k čemu přesně potřebuješ znát hesla jednotlivých uživatelů. Pokud máš přístup k DB serveru (do kterého, jak jsem pochopil, potřebuješ přistupovat do uživatelských databází), tak nepotřebuješ znát uživatelské přístupy. Stačí ti vytvořit si uživatele pro oné statistiky a dát mu práva pro čtení těch jednotlivých databází.

Jinak (už to sice napsal Filip) na ukládání hesel v plaintextu není nic špatného. Je to jen hromada náhodných znaků unikátních pro danou appku. Není to nositel informace. Navíc, pokud už někdo prolomí zabezpečení do takové míry, že získá seznam hesel, tak už patrně stejně získal veškerá data. Heslo je to poslední, co by mě v takové situaci trápilo.
6.11.2014 10:44 chrono
Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
Email + heslo sú vo všeobecnosti tie najhodnotnejšie údaje.
6.11.2014 19:05 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
A právě proto je potřeba je mít na jednom místě hromadně a v čitelné podobě ;-)
To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
Jendа avatar 7.11.2014 20:23 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
Já si jich vůbec necením. Tady nějaké máš:

jenda.edjbs@hrach.eu 63hvZovr

jenda.bn28r@hrach.eu a1vpUg6g
6.11.2014 16:27 petrfm | skóre: 20
Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
To je v blede modrem to, co jsem psal. Nepouzivat pro prihlaseni k tem systemum heslo uzivatele, ale jen vygenerovany hash, ktery v pripade zcizeni nekompromituje dalsi uzivatelske ucty. Znat uzivatelske heslo je dobre leda k tomu, abych se mu prohrabat v jeho uctech, jakykoliv jiny smysl mi v tomto pripade unika, pokud teda ta apliace neni nejaka nadstavba, kam si vyplnim heslo treba na gmail a ten system se do nej potrebuje prihlasovat.

Pak je ale treba rici, jestli ty systemy, ktere to ma nastavovat, jsou take ve vasi sprave, nebo jsou to systemy tretich firem a proto je potreba ziskat a ulozit heslo od uzivatele do nich.
fuck the cola, fuck the pizza, all you need is slivovitza
6.11.2014 19:07 Filip Jirsák
Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
Nepouzivat pro prihlaseni k tem systemum heslo uzivatele, ale jen vygenerovany hash
Bezpečnost systému nezávisí na tom, kolikrát při jeho popisu použijete slovo "hash". Asi jste nemyslel hash, ale náhodně vygenerované heslo, ne?

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.