abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 12:33 | Zajímavý software

Článek ne Medium představuje nejnovější stabilní verzi 2.0 svobodné decentralizované mikroblogovací platformy a sociální sítě podobné Twitteru Mastodon (Wikipedie). Detailní přehled novinek na GitHubu [Hacker News].

Ladislav Hagara | Komentářů: 0
dnes 06:00 | Komunita

V Praze na půdě Elektrotechnické fakulty ČVUT dnes probíhá RT-Summit 2017 – setkání vývojářů linuxového jádra a uživatelů jeho real-time verze označované jako preempt-rt. Přednášky lze sledovat online na YouTube.

Ladislav Hagara | Komentářů: 0
včera 14:33 | Zajímavý projekt

Blender Animation Studio zveřejnilo první epizodu z připravovaného animovaného seriálu The Daily Dweebs o domácím mazlíčkovi jménem Dixey. Ke zhlédnutí také ve 3D s rozlišením 8K.

Ladislav Hagara | Komentářů: 0
včera 12:34 | Komunita

Aktualizovanou počítačovou hru Warhammer 40,000: Dawn of War III v ceně 39,99 eur běžící také na Linuxu lze o víkendu na Steamu hrát zdarma a případně ještě v pondělí koupit s 50% slevou. Do soboty 19:00 lze na Humble Bundle získat zdarma Steam klíč k počítačové hře Sid Meier's Civilization® III v ceně 4,99 eur běžící také ve Wine.

Ladislav Hagara | Komentářů: 0
včera 00:22 | Nasazení Linuxu

Společnost Samsung oznámila, že skrze dokovací stanici DeX a aplikaci Linux on Galaxy bude možno na Samsung Galaxy S8 a S8+ a Galaxy Note 8 provozovat Linux. Distribuce nebyly blíže upřesněny.

Phantom Alien | Komentářů: 19
19.10. 23:55 | Komunita

Společnost Purism na svém blogu oznámila, že její notebooky Librem jsou nově dodávány se zrušeným (neutralized and disabled) Intel Management Engine (ME). Aktualizací corebootu na již prodaných noteboocích lze Management Engine také zrušit. Více v podrobném článku.

Ladislav Hagara | Komentářů: 0
19.10. 21:44 | Nová verze

Organizace Apache Software Foundation (ASF) na svém blogu slaví páté výročí kancelářského balíku Apache OpenOffice jako jejího Top-Level projektu. Při této příležitosti byl vydán Apache OpenOffice 4.1.4 (AOO 4.1.4). Podrobnosti v poznámkách k vydání. Dlouhé čekání na novou verzi tak skončilo.

Ladislav Hagara | Komentářů: 6
19.10. 19:22 | Pozvánky

Již příští týden - 26. a 27. října se v Praze v hotelu Olšanka odehraje OpenWRT Summit. Na webu konference naleznete program a možnost zakoupení lístků - ty stojí 55 dolarů. Čtvrtek bude přednáškový a v pátek se budou odehrávat převážně workshopy a meetingy.

Miška | Komentářů: 1
19.10. 13:44 | Nová verze

Bylo vydáno Ubuntu 17.10 s kódovým názvem Artful Aardvark. Ke stažení jsou Ubuntu Desktop a Server, Ubuntu Cloud Images, Ubuntu Netboot, Kubuntu, Lubuntu a Lubuntu Alternate, Lubuntu Next, Ubuntu Budgie, Ubuntu Kylin, Ubuntu MATE, Ubuntu Studio a Xubuntu. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 23
19.10. 13:00 | Komunita

MojeFedora.cz informuje, že Fedora 27 dostane podporu pro AAC. Podpora multimediálních formátů je ve výchozí instalaci Fedory tradičně limitovaná kvůli softwarovým patentům, ale desktopový tým Red Hatu se ji i tak snaží v poslední době co nejvíce rozšířit. Už nějaký čas obsahuje kodeky pro MP3, H.264, AC3 a nyní byl přidán také kodek pro další velmi rozšířený zvukový formát – AAC.

Ladislav Hagara | Komentářů: 2
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (10%)
 (1%)
 (1%)
 (1%)
 (75%)
 (13%)
Celkem 167 hlasů
 Komentářů: 7, poslední 19.10. 23:06
    Rozcestník

    Dotaz: Ukládání plaintext hesel v databázi

    6.11.2014 01:27 gusta
    Ukládání plaintext hesel v databázi
    Přečteno: 334×
    Vážení diskutéři.

    Rozšiřuji aplikaci, která by potřebovala přístup k uživatelským heslům. Ve stručnosti: pro cca několik desítek uživatelů provádí služba pravidelné připojování do nastavených systémů a něco nastavuje. Nyní se lidé musí přihlásit do webového rozhraní té aplikace a nastavování provádět "manuálně", protože v databázi ukládám jen hashe a jsem odpůrcem uklání hesel v db. V praxi to ale znamená množství problémů.

    Proto potřebuji ukládat v databázi nějak bezpečně hesla. Napadlo mě alespoň zvýšit úroveň zabezpečení šifrováním hesel nějakým klíčem, který by nebyl uložený v databázi => pokud někdo jen ukradne data z databáze a nehackne příp. celý systém, pak nemá rovnou plaintexty.

    Co si myslíte o tomto přístupu a obecně o ukládání hesel v databázi? Obecně mi to jde proti srsti, ale ta aplikace stejně potřebuje nějak komunikovat s těmi systémy, jen s těmi hashi v db by příp. útočním musel chvíli poslouchat a ne jen ukrást všechna data.


    děkuji za jakékoliv názory

    Odpovědi

    6.11.2014 01:36 petrfm
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    No a proc si pro komunikaci s temi "systemy" nevygenerujes nejake hashe jako jedinecne kody, sparovane s temi uzivateli? Ktere v pripade, ze dojde ke kompromitaci, proste a jednoduse vygenerujes znova? Nerozumim tomu, proc bys mel potrebovat cist neci heslo, k cemu to je dobre.
    6.11.2014 01:54 gusta
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi

    Jde o přístup do databází a ukládání či spíše hlavně čtení nějakých historií a statistik. K těm je potřeba právě to heslo. A ano, lze to zabezpečit tak, že případné hacknutí systému nedovolí zničit cílová data, ale jde hlavně o to, že lidé si prostě dávají stejné heslo všude - v práci i doma. Proto to heslo chci nějak šifrovat, ale bohužel ho skutečně potřebuji znát.

    Ještě mě napadl jeden způsob šifrování. Mít program, kterému bych při spouštění zadal manuálně heslo a z mé aplikace bych mu jen posílal data k šifrování/dešifrování. Takže klíč k dešifrování dat by byl jen v RAM.

    6.11.2014 19:04 Filip Jirsák
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    Je opravdu nezbytné, aby vaše aplikace ty akce prováděla pod skutečným účtem těch uživatelů? Nemůžou mít třeba dva účty, jeden svůj a jeden "strojový", který bude používat ta vaše aplikace? Pak ten strojový účet může mít jiné heslo, klidně nějaké nezapamatovatelné, protože ho uživatel jednou zadá do vaší aplikace a pak ho může zapomenout.
    6.11.2014 06:59 Filip Jirsák
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    Z ukládání hesel v databázi se dělá strašák, pak někdo tvrdí, že ukládání hesel v databázi je prostě špatné, aniž by tušil proč (a pokud možno pak vymyslí nějaký velmi nebezpečný systém nakládání s hesly). První věc samozřejmě je zabezpečit aplikaci a databázi tak, aby se tam nikdo nedostal. Dále je samozřejmě zbytečné ukládat ta hesla v otevřeném tvaru, lepší je ukládat je šifrovaná klíčem, který bude mimo databázi - například uložený v aplikaci na serveru. Nebo ještě vyšší stupeň zabezpečení je, pokud ten klíč nebude trvale uložený nikde, a bude se muset zadat vždy po startu aplikace. Případně, pokud se všechny akce provádějí třeba jednou týdně a ve stejný čas, může aplikace ten klíč vyžadovat vždy před začátkem akce, pak vše provést a klíč zahodit. Nebo místo ručního zadávání můžete mít heslo uložené na nějakém jiném systému, ke kterému se zvenku vůbec nepůjde připojit, a který se jen v zadaný čas připojí k vaší aplikaci a heslo jí předá. Nejvíc pro bezpečnost ale můžete udělat na straně těch nastavovaných systémů. Tam by bylo nejlepší vytvořit nové přístupové údaje odlišné od těch uživatelských - aby se dalo snadno rozlišit, co dělal skutečný uživatel a co vaše aplikace, a v případě kompromitace příslušný účet snadno zakázat. A dále by to chtělo těmto účtům, které bude používat vaše aplikace, nastavit minimální práva, která potřebují k provedení příslušné akce. Vzhledem k tomu, že se to provádí pravidelně bez zásahu uživatele, je dost možné, že provedení takové akce útočníkem mimo plán by nemělo žádný negativní dopad. Ale to vše samozřejmě záleží na tom, co všechno můžete s těmi nastavovanými systémy dělat. Jinak vše, co jsem tu popsal, není nic nového, běžně se to používá. Třeba pro webové aplikaci (Google, Twitter, Facebook, Dropbox a miliony dalších) si můžete vygenerovat přihlašovací token pro aplikaci (to jsou ty další přihlašovací údaje), přičemž tomu tokenu jsou přiřazena jen omezená práva. Uživatel pak v nastavení té webové aplikace může s tokeny pracovat, měnit jim práva nebo je deaktivovat. Aplikace, které se tím tokenem přihlašují (GMail klient v telefonu, Dropbox klient na počítači atd.), si jej samozřejmě někde ukládají.
    Heron avatar 6.11.2014 10:03 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    Přesně tak jak píše Filip.

    Jen ještě otázku, nerozumím k čemu přesně potřebuješ znát hesla jednotlivých uživatelů. Pokud máš přístup k DB serveru (do kterého, jak jsem pochopil, potřebuješ přistupovat do uživatelských databází), tak nepotřebuješ znát uživatelské přístupy. Stačí ti vytvořit si uživatele pro oné statistiky a dát mu práva pro čtení těch jednotlivých databází.

    Jinak (už to sice napsal Filip) na ukládání hesel v plaintextu není nic špatného. Je to jen hromada náhodných znaků unikátních pro danou appku. Není to nositel informace. Navíc, pokud už někdo prolomí zabezpečení do takové míry, že získá seznam hesel, tak už patrně stejně získal veškerá data. Heslo je to poslední, co by mě v takové situaci trápilo.
    6.11.2014 10:44 chrono
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    Email + heslo sú vo všeobecnosti tie najhodnotnejšie údaje.
    6.11.2014 19:05 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    A právě proto je potřeba je mít na jednom místě hromadně a v čitelné podobě ;-)
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    Jendа avatar 7.11.2014 20:23 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    Já si jich vůbec necením. Tady nějaké máš:

    jenda.edjbs@hrach.eu 63hvZovr

    jenda.bn28r@hrach.eu a1vpUg6g
    6.11.2014 16:27 petrfm | skóre: 22
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    To je v blede modrem to, co jsem psal. Nepouzivat pro prihlaseni k tem systemum heslo uzivatele, ale jen vygenerovany hash, ktery v pripade zcizeni nekompromituje dalsi uzivatelske ucty. Znat uzivatelske heslo je dobre leda k tomu, abych se mu prohrabat v jeho uctech, jakykoliv jiny smysl mi v tomto pripade unika, pokud teda ta apliace neni nejaka nadstavba, kam si vyplnim heslo treba na gmail a ten system se do nej potrebuje prihlasovat.

    Pak je ale treba rici, jestli ty systemy, ktere to ma nastavovat, jsou take ve vasi sprave, nebo jsou to systemy tretich firem a proto je potreba ziskat a ulozit heslo od uzivatele do nich.
    fuck the cola, fuck the pizza, all you need is slivovitza
    6.11.2014 19:07 Filip Jirsák
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    Nepouzivat pro prihlaseni k tem systemum heslo uzivatele, ale jen vygenerovany hash
    Bezpečnost systému nezávisí na tom, kolikrát při jeho popisu použijete slovo "hash". Asi jste nemyslel hash, ale náhodně vygenerované heslo, ne?

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.