abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 02:48 | Nová verze

Po půl roce od vydání verze 9.0 (zprávička) byla vydána verze 10.0 zvukového serveru PulseAudio. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
dnes 00:33 | Komunita Ladislav Hagara | Komentářů: 0
včera 17:30 | Zajímavý článek

Mozilla.cz informuje, že webový prohlížeč Firefox bude od verze 53 obsahovat integrovaný prohlížeč dat ve formátu JSON. Firefox kromě strukturovaného prohlížení nabídne také možnost filtrace a uložení na disk. Dle plánu by měl Firefox 53 vyjít 18. 4. 2017.

Ladislav Hagara | Komentářů: 1
včera 11:00 | Komunita

Členové a příznivci spolku OpenAlt se pravidelně schází v Praze a Brně. Fotky z pražských srazů za uplynulý rok si můžete prohlédnout na stránkách spolku. Příští sraz se koná už zítra 19. ledna – tentokrát je tématem ergonomie ovládání počítače – tzn. klávesnice, myši a další zařízení. Také budete mít příležitost si prohlédnout pražský hackerspace Brmlab.

xkucf03 | Komentářů: 0
17.1. 21:55 | Komunita

Nadace pro svobodný software (FSF) oznámila aktualizaci seznamu prioritních oblastí (changelog), na které by se měli vývojáři a příznivci svobodného softwaru zaměřit. Jsou to například svobodný operační systém pro chytré telefony, hlasová a video komunikace nebo softwarový inteligentní osobní asistent.

Ladislav Hagara | Komentářů: 15
17.1. 16:44 | Nová verze

Byla vydána verze 2.0.0 knihovny pro vykreslování grafů v programovacím jazyce Python Matplotlib (Wikipedie, GitHub). Přehled novinek a galerie grafů na stránkách projektu.

Ladislav Hagara | Komentářů: 0
17.1. 15:33 | Komunita

V australském Hobartu probíhá tento týden konference linux.conf.au 2017. Na programu je celá řada zajímavých přednášek. Sledovat je lze online.

Ladislav Hagara | Komentářů: 0
17.1. 10:20 | Zajímavý článek

Pavel Tišnovský se v dvoudílném článku na MojeFedora.cz věnuje bitmapovým (rastrovým) grafickým editorům ve Fedoře. V prvním dílu se věnuje editorům MyPaint, MtPaint, Pinta, XPaint, Krita a GIMP. V pokračování pak editorům GNU Paint (gpaint), GrafX2, KolourPaint, KIconEdit a Tux Paint.

Ladislav Hagara | Komentářů: 1
16.1. 17:11 | Komunita

Byl proveden bezpečnostní audit svobodného IMAP a POP3 serveru Dovecot (Wikipedie). Audit byl zaplacen z programu Mozilla Secure Open Source a provedla jej společnost Cure53. Společnost Cure53 byla velice spokojena s kvalitou zdrojových kódu. V závěrečné zprávě (pdf) jsou zmíněny pouze 3 drobné a v upstreamu již opravené bezpečnostní chyby.

Ladislav Hagara | Komentářů: 0
16.1. 15:30 | IT novinky

Nadace Raspberry Pi představila na svém blogu Raspberry Pi Compute Module 3 (CM3 a CM3L), tj. zmenšené Raspberry Pi vhodné nejenom pro průmyslové využití. Jedná se o nástupce Raspberry Pi Compute Module (CM1) představeného v dubnu 2014. Nový CM3 vychází z Raspberry Pi 3 a má tedy dvakrát více paměti a desetkrát větší výkon než CM1. Verze CM3L (Lite) je dodávána bez 4 GB eMMC flash paměti. Uživatel si může připojit svou vlastní. Představena byla

… více »
Ladislav Hagara | Komentářů: 2
Jak se stavíte k trendu ztenčování přenosných zařízení (smartphony, notebooky)?
 (10%)
 (3%)
 (74%)
 (3%)
 (10%)
Celkem 317 hlasů
 Komentářů: 24, poslední 17.1. 10:14
    Rozcestník
    Reklama

    Dotaz: Ukládání plaintext hesel v databázi

    6.11.2014 01:27 gusta
    Ukládání plaintext hesel v databázi
    Přečteno: 324×
    Vážení diskutéři.

    Rozšiřuji aplikaci, která by potřebovala přístup k uživatelským heslům. Ve stručnosti: pro cca několik desítek uživatelů provádí služba pravidelné připojování do nastavených systémů a něco nastavuje. Nyní se lidé musí přihlásit do webového rozhraní té aplikace a nastavování provádět "manuálně", protože v databázi ukládám jen hashe a jsem odpůrcem uklání hesel v db. V praxi to ale znamená množství problémů.

    Proto potřebuji ukládat v databázi nějak bezpečně hesla. Napadlo mě alespoň zvýšit úroveň zabezpečení šifrováním hesel nějakým klíčem, který by nebyl uložený v databázi => pokud někdo jen ukradne data z databáze a nehackne příp. celý systém, pak nemá rovnou plaintexty.

    Co si myslíte o tomto přístupu a obecně o ukládání hesel v databázi? Obecně mi to jde proti srsti, ale ta aplikace stejně potřebuje nějak komunikovat s těmi systémy, jen s těmi hashi v db by příp. útočním musel chvíli poslouchat a ne jen ukrást všechna data.


    děkuji za jakékoliv názory

    Odpovědi

    6.11.2014 01:36 petrfm
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    No a proc si pro komunikaci s temi "systemy" nevygenerujes nejake hashe jako jedinecne kody, sparovane s temi uzivateli? Ktere v pripade, ze dojde ke kompromitaci, proste a jednoduse vygenerujes znova? Nerozumim tomu, proc bys mel potrebovat cist neci heslo, k cemu to je dobre.
    6.11.2014 01:54 gusta
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi

    Jde o přístup do databází a ukládání či spíše hlavně čtení nějakých historií a statistik. K těm je potřeba právě to heslo. A ano, lze to zabezpečit tak, že případné hacknutí systému nedovolí zničit cílová data, ale jde hlavně o to, že lidé si prostě dávají stejné heslo všude - v práci i doma. Proto to heslo chci nějak šifrovat, ale bohužel ho skutečně potřebuji znát.

    Ještě mě napadl jeden způsob šifrování. Mít program, kterému bych při spouštění zadal manuálně heslo a z mé aplikace bych mu jen posílal data k šifrování/dešifrování. Takže klíč k dešifrování dat by byl jen v RAM.

    6.11.2014 19:04 Filip Jirsák
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    Je opravdu nezbytné, aby vaše aplikace ty akce prováděla pod skutečným účtem těch uživatelů? Nemůžou mít třeba dva účty, jeden svůj a jeden "strojový", který bude používat ta vaše aplikace? Pak ten strojový účet může mít jiné heslo, klidně nějaké nezapamatovatelné, protože ho uživatel jednou zadá do vaší aplikace a pak ho může zapomenout.
    6.11.2014 06:59 Filip Jirsák
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    Z ukládání hesel v databázi se dělá strašák, pak někdo tvrdí, že ukládání hesel v databázi je prostě špatné, aniž by tušil proč (a pokud možno pak vymyslí nějaký velmi nebezpečný systém nakládání s hesly). První věc samozřejmě je zabezpečit aplikaci a databázi tak, aby se tam nikdo nedostal. Dále je samozřejmě zbytečné ukládat ta hesla v otevřeném tvaru, lepší je ukládat je šifrovaná klíčem, který bude mimo databázi - například uložený v aplikaci na serveru. Nebo ještě vyšší stupeň zabezpečení je, pokud ten klíč nebude trvale uložený nikde, a bude se muset zadat vždy po startu aplikace. Případně, pokud se všechny akce provádějí třeba jednou týdně a ve stejný čas, může aplikace ten klíč vyžadovat vždy před začátkem akce, pak vše provést a klíč zahodit. Nebo místo ručního zadávání můžete mít heslo uložené na nějakém jiném systému, ke kterému se zvenku vůbec nepůjde připojit, a který se jen v zadaný čas připojí k vaší aplikaci a heslo jí předá. Nejvíc pro bezpečnost ale můžete udělat na straně těch nastavovaných systémů. Tam by bylo nejlepší vytvořit nové přístupové údaje odlišné od těch uživatelských - aby se dalo snadno rozlišit, co dělal skutečný uživatel a co vaše aplikace, a v případě kompromitace příslušný účet snadno zakázat. A dále by to chtělo těmto účtům, které bude používat vaše aplikace, nastavit minimální práva, která potřebují k provedení příslušné akce. Vzhledem k tomu, že se to provádí pravidelně bez zásahu uživatele, je dost možné, že provedení takové akce útočníkem mimo plán by nemělo žádný negativní dopad. Ale to vše samozřejmě záleží na tom, co všechno můžete s těmi nastavovanými systémy dělat. Jinak vše, co jsem tu popsal, není nic nového, běžně se to používá. Třeba pro webové aplikaci (Google, Twitter, Facebook, Dropbox a miliony dalších) si můžete vygenerovat přihlašovací token pro aplikaci (to jsou ty další přihlašovací údaje), přičemž tomu tokenu jsou přiřazena jen omezená práva. Uživatel pak v nastavení té webové aplikace může s tokeny pracovat, měnit jim práva nebo je deaktivovat. Aplikace, které se tím tokenem přihlašují (GMail klient v telefonu, Dropbox klient na počítači atd.), si jej samozřejmě někde ukládají.
    Heron avatar 6.11.2014 10:03 Heron | skóre: 50 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    Přesně tak jak píše Filip.

    Jen ještě otázku, nerozumím k čemu přesně potřebuješ znát hesla jednotlivých uživatelů. Pokud máš přístup k DB serveru (do kterého, jak jsem pochopil, potřebuješ přistupovat do uživatelských databází), tak nepotřebuješ znát uživatelské přístupy. Stačí ti vytvořit si uživatele pro oné statistiky a dát mu práva pro čtení těch jednotlivých databází.

    Jinak (už to sice napsal Filip) na ukládání hesel v plaintextu není nic špatného. Je to jen hromada náhodných znaků unikátních pro danou appku. Není to nositel informace. Navíc, pokud už někdo prolomí zabezpečení do takové míry, že získá seznam hesel, tak už patrně stejně získal veškerá data. Heslo je to poslední, co by mě v takové situaci trápilo.
    6.11.2014 10:44 chrono
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    Email + heslo sú vo všeobecnosti tie najhodnotnejšie údaje.
    6.11.2014 19:05 Šangala | skóre: 56 | blog: Dutá Vrba - Wally
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    A právě proto je potřeba je mít na jednom místě hromadně a v čitelné podobě ;-)
    To, že trpíš stihomamem, ještě neznamená, že po tobě nejdou. ⰞⰏⰉⰓⰀⰜⰉ ⰗⰞⰅⰜⰘ ⰈⰅⰏⰉ ⰒⰑⰎⰉⰁⰕⰅ ⰏⰉ ⰒⰓⰄⰅⰎ ·:⁖⁘⁙†
    Jendа avatar 7.11.2014 20:23 Jendа | skóre: 73 | blog: Výlevníček | JO70FB
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    Já si jich vůbec necením. Tady nějaké máš:

    jenda.edjbs@hrach.eu 63hvZovr

    jenda.bn28r@hrach.eu a1vpUg6g
    „To jsem nedávno zjistil, že naše televize jde ovládat po síti. Docela mě to překvapilo.“ „Jo? A kdo vám ji ovládal?“
    6.11.2014 16:27 petrfm | skóre: 20
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    To je v blede modrem to, co jsem psal. Nepouzivat pro prihlaseni k tem systemum heslo uzivatele, ale jen vygenerovany hash, ktery v pripade zcizeni nekompromituje dalsi uzivatelske ucty. Znat uzivatelske heslo je dobre leda k tomu, abych se mu prohrabat v jeho uctech, jakykoliv jiny smysl mi v tomto pripade unika, pokud teda ta apliace neni nejaka nadstavba, kam si vyplnim heslo treba na gmail a ten system se do nej potrebuje prihlasovat.

    Pak je ale treba rici, jestli ty systemy, ktere to ma nastavovat, jsou take ve vasi sprave, nebo jsou to systemy tretich firem a proto je potreba ziskat a ulozit heslo od uzivatele do nich.
    fuck the cola, fuck the pizza, all you need is slivovitza
    6.11.2014 19:07 Filip Jirsák
    Rozbalit Rozbalit vše Re: Ukládání plaintext hesel v databázi
    Nepouzivat pro prihlaseni k tem systemum heslo uzivatele, ale jen vygenerovany hash
    Bezpečnost systému nezávisí na tom, kolikrát při jeho popisu použijete slovo "hash". Asi jste nemyslel hash, ale náhodně vygenerované heslo, ne?

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.