abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

včera 20:11 | Zajímavý software

Alexandre Julliard oznámil jménem vývojového týmu Wine vydání první verze 1.0 knihovny vkd3d určené pro překlad volání Direct3D 12 na Vulkan. Zdrojové kódy vkd3d jsou k dispozici pod licencí LGPLv2.1+.

Ladislav Hagara | Komentářů: 1
včera 19:33 | Komunita

Dnešním dnem lze účet Firefoxu chránit dvoufázovým ověřováním (2FA). Implementován byl standard TOTP (Time-based One-Time Password).

Ladislav Hagara | Komentářů: 0
včera 15:17 | Pozvánky

Od pátku 25. 5. proběhne na Fakultě informačních technologií ČVUT v Praze openSUSE Conference. Můžete se těšit na spoustu zajímavých přednášek, workshopů a také na Release Party nového openSUSE Leap 15.0. Na stejném místě proběhne v sobotu 26. 5. i seminář o bezpečnosti CryptoFest.

Jendа | Komentářů: 0
včera 13:33 | Zajímavý software

Drawpile je svobodný multiplatformní program pro kreslení podporující společné kreslení několika uživatelů. Zdrojové kódy jsou k dispozici na GitHubu pod licencí GPLv3+. Drawpile i Drawpile Server jsou ke stažení také ve formátu AppImage. Stačí tedy nastavit právo na spouštění a spustit.

Ladislav Hagara | Komentářů: 0
včera 09:44 | Zajímavý software

Kalifornskému Muzeu počítačové historie (Computer History Museum) se po pěti letech vyjednávání se společností Qualcomm podařilo získat veškerá práva na poštovního klienta Eudora (Wikipedie), tj. kromě zdrojových kódů muzeum získalo také ochranní známku Eudora nebo domény eudora.com a eudora.org. Po pročištění byly zdrojové kódy Eudory uvolněny pod licencí BSD.

Ladislav Hagara | Komentářů: 4
22.5. 15:00 | Nová verze

Byla vydána nová stabilní verze 5.11 toolkitu Qt. Přehled novinek v příspěvku na blogu a na wiki stránce. Další dnešní příspěvek na blogu Qt je věnován Qt pro WebAssembly umožňujícímu běh Qt aplikací ve webovém prohlížeči. K vyzkoušení jsou příklady.

Ladislav Hagara | Komentářů: 0
22.5. 12:22 | Nová verze

Po 7 měsících vývoje od verze 0.12.0 byla vydána verze 0.13.0 hardwarově nenáročného desktopového prostředí LXQt (Lightweight Qt Desktop Environment, Wikipedie) vzniklého sloučením projektů Razor-qt a LXDE. Přehled novinek v oznámení o vydání a v příspěvku ve fóru.

Ladislav Hagara | Komentářů: 17
22.5. 12:11 | Pozvánky

V úterý 29. května v 18:00 se v Brně koná pátý přednáškový večer o webovém vývoji. Čeká vás povídání o frameworku v Elixiru, vydávání nové kryptoměny přes ICO, component trees v Reactu. Na místě bude lehké občerstvení; vstup zdarma pro registrované. Více informací na Facebooku nebo se rovnou registrujte na Meetup.

dejvik | Komentářů: 0
22.5. 12:00 | Pozvánky

V pátek 25. května 2018 v Praze proběhne společné setkání komunity kolem Drupalu a překladatelů softwaru – tématem bude právě lokalizace svobodného softwaru (nejen Drupalu). Program začíná v 9.30 v budově Českého rozhlasu (Vinohradská 12), ale můžete přijít i později během dne.

Fluttershy, yay! | Komentářů: 0
22.5. 06:55 | Zajímavý software

Operační systém 9front, zřejmě nejaktivněji vyvíjený neoficiální fork systému Plan 9 (více informací), se dočkal nové verze nazvané „Ghost in the Minesweeper Shell“. K novým vydáním obvykle dochází každé jeden až tři měsíce.

Fluttershy, yay! | Komentářů: 0
Používáte pro některé služby inetd?
 (34%)
 (23%)
 (43%)
Celkem 149 hlasů
 Komentářů: 5, poslední 22.5. 16:46
    Rozcestník

    Dotaz: Ukládání plaintext hesel v databázi

    6.11.2014 01:27 gusta
    Ukládání plaintext hesel v databázi
    Přečteno: 344×
    Vážení diskutéři.

    Rozšiřuji aplikaci, která by potřebovala přístup k uživatelským heslům. Ve stručnosti: pro cca několik desítek uživatelů provádí služba pravidelné připojování do nastavených systémů a něco nastavuje. Nyní se lidé musí přihlásit do webového rozhraní té aplikace a nastavování provádět "manuálně", protože v databázi ukládám jen hashe a jsem odpůrcem uklání hesel v db. V praxi to ale znamená množství problémů.

    Proto potřebuji ukládat v databázi nějak bezpečně hesla. Napadlo mě alespoň zvýšit úroveň zabezpečení šifrováním hesel nějakým klíčem, který by nebyl uložený v databázi => pokud někdo jen ukradne data z databáze a nehackne příp. celý systém, pak nemá rovnou plaintexty.

    Co si myslíte o tomto přístupu a obecně o ukládání hesel v databázi? Obecně mi to jde proti srsti, ale ta aplikace stejně potřebuje nějak komunikovat s těmi systémy, jen s těmi hashi v db by příp. útočním musel chvíli poslouchat a ne jen ukrást všechna data.


    děkuji za jakékoliv názory

    Odpovědi

    6.11.2014 01:36 petrfm
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    No a proc si pro komunikaci s temi "systemy" nevygenerujes nejake hashe jako jedinecne kody, sparovane s temi uzivateli? Ktere v pripade, ze dojde ke kompromitaci, proste a jednoduse vygenerujes znova? Nerozumim tomu, proc bys mel potrebovat cist neci heslo, k cemu to je dobre.
    6.11.2014 01:54 gusta
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi

    Jde o přístup do databází a ukládání či spíše hlavně čtení nějakých historií a statistik. K těm je potřeba právě to heslo. A ano, lze to zabezpečit tak, že případné hacknutí systému nedovolí zničit cílová data, ale jde hlavně o to, že lidé si prostě dávají stejné heslo všude - v práci i doma. Proto to heslo chci nějak šifrovat, ale bohužel ho skutečně potřebuji znát.

    Ještě mě napadl jeden způsob šifrování. Mít program, kterému bych při spouštění zadal manuálně heslo a z mé aplikace bych mu jen posílal data k šifrování/dešifrování. Takže klíč k dešifrování dat by byl jen v RAM.

    6.11.2014 19:04 Filip Jirsák
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    Je opravdu nezbytné, aby vaše aplikace ty akce prováděla pod skutečným účtem těch uživatelů? Nemůžou mít třeba dva účty, jeden svůj a jeden "strojový", který bude používat ta vaše aplikace? Pak ten strojový účet může mít jiné heslo, klidně nějaké nezapamatovatelné, protože ho uživatel jednou zadá do vaší aplikace a pak ho může zapomenout.
    6.11.2014 06:59 Filip Jirsák
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    Z ukládání hesel v databázi se dělá strašák, pak někdo tvrdí, že ukládání hesel v databázi je prostě špatné, aniž by tušil proč (a pokud možno pak vymyslí nějaký velmi nebezpečný systém nakládání s hesly). První věc samozřejmě je zabezpečit aplikaci a databázi tak, aby se tam nikdo nedostal. Dále je samozřejmě zbytečné ukládat ta hesla v otevřeném tvaru, lepší je ukládat je šifrovaná klíčem, který bude mimo databázi - například uložený v aplikaci na serveru. Nebo ještě vyšší stupeň zabezpečení je, pokud ten klíč nebude trvale uložený nikde, a bude se muset zadat vždy po startu aplikace. Případně, pokud se všechny akce provádějí třeba jednou týdně a ve stejný čas, může aplikace ten klíč vyžadovat vždy před začátkem akce, pak vše provést a klíč zahodit. Nebo místo ručního zadávání můžete mít heslo uložené na nějakém jiném systému, ke kterému se zvenku vůbec nepůjde připojit, a který se jen v zadaný čas připojí k vaší aplikaci a heslo jí předá. Nejvíc pro bezpečnost ale můžete udělat na straně těch nastavovaných systémů. Tam by bylo nejlepší vytvořit nové přístupové údaje odlišné od těch uživatelských - aby se dalo snadno rozlišit, co dělal skutečný uživatel a co vaše aplikace, a v případě kompromitace příslušný účet snadno zakázat. A dále by to chtělo těmto účtům, které bude používat vaše aplikace, nastavit minimální práva, která potřebují k provedení příslušné akce. Vzhledem k tomu, že se to provádí pravidelně bez zásahu uživatele, je dost možné, že provedení takové akce útočníkem mimo plán by nemělo žádný negativní dopad. Ale to vše samozřejmě záleží na tom, co všechno můžete s těmi nastavovanými systémy dělat. Jinak vše, co jsem tu popsal, není nic nového, běžně se to používá. Třeba pro webové aplikaci (Google, Twitter, Facebook, Dropbox a miliony dalších) si můžete vygenerovat přihlašovací token pro aplikaci (to jsou ty další přihlašovací údaje), přičemž tomu tokenu jsou přiřazena jen omezená práva. Uživatel pak v nastavení té webové aplikace může s tokeny pracovat, měnit jim práva nebo je deaktivovat. Aplikace, které se tím tokenem přihlašují (GMail klient v telefonu, Dropbox klient na počítači atd.), si jej samozřejmě někde ukládají.
    Heron avatar 6.11.2014 10:03 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    Přesně tak jak píše Filip.

    Jen ještě otázku, nerozumím k čemu přesně potřebuješ znát hesla jednotlivých uživatelů. Pokud máš přístup k DB serveru (do kterého, jak jsem pochopil, potřebuješ přistupovat do uživatelských databází), tak nepotřebuješ znát uživatelské přístupy. Stačí ti vytvořit si uživatele pro oné statistiky a dát mu práva pro čtení těch jednotlivých databází.

    Jinak (už to sice napsal Filip) na ukládání hesel v plaintextu není nic špatného. Je to jen hromada náhodných znaků unikátních pro danou appku. Není to nositel informace. Navíc, pokud už někdo prolomí zabezpečení do takové míry, že získá seznam hesel, tak už patrně stejně získal veškerá data. Heslo je to poslední, co by mě v takové situaci trápilo.
    6.11.2014 10:44 chrono
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    Email + heslo sú vo všeobecnosti tie najhodnotnejšie údaje.
    6.11.2014 19:05 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    A právě proto je potřeba je mít na jednom místě hromadně a v čitelné podobě ;-)
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    Jendа avatar 7.11.2014 20:23 Jendа | skóre: 74 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    Já si jich vůbec necením. Tady nějaké máš:

    jenda.edjbs@hrach.eu 63hvZovr

    jenda.bn28r@hrach.eu a1vpUg6g
    Tohle (mirror) podporujete.
    6.11.2014 16:27 petrfm | skóre: 23
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    To je v blede modrem to, co jsem psal. Nepouzivat pro prihlaseni k tem systemum heslo uzivatele, ale jen vygenerovany hash, ktery v pripade zcizeni nekompromituje dalsi uzivatelske ucty. Znat uzivatelske heslo je dobre leda k tomu, abych se mu prohrabat v jeho uctech, jakykoliv jiny smysl mi v tomto pripade unika, pokud teda ta apliace neni nejaka nadstavba, kam si vyplnim heslo treba na gmail a ten system se do nej potrebuje prihlasovat.

    Pak je ale treba rici, jestli ty systemy, ktere to ma nastavovat, jsou take ve vasi sprave, nebo jsou to systemy tretich firem a proto je potreba ziskat a ulozit heslo od uzivatele do nich.
    fuck the cola, fuck the pizza, all you need is slivovitza
    6.11.2014 19:07 Filip Jirsák
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    Nepouzivat pro prihlaseni k tem systemum heslo uzivatele, ale jen vygenerovany hash
    Bezpečnost systému nezávisí na tom, kolikrát při jeho popisu použijete slovo "hash". Asi jste nemyslel hash, ale náhodně vygenerované heslo, ne?

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.