Heslo ve scriptu (diskuse)

OpenSSL mi hlásí varování:

$ echo ahoj | openssl enc -aes-256-cbc -a -salt -pass pass:heslo
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.
U2FsdGVkX1/MmdqIhLBWQQxQ1RM1OguQlsQVjCxe5OU=

Lepší by tedy bylo použít:

$ echo ahoj | openssl enc -aes-256-cbc -a -pbkdf2 -pass pass:heslo
U2FsdGVkX1/MXOXIoTimxz/EwJpqshL6s/iGbm7aDWI=

Nicméně celé šifrování je tu trochu nadbytečné, když jsou zašifrovaná data i heslo v souborech hned vedle sebe. Když už, tak se dělá aspoň to, že zašifrovaná data jsou v souborech a heslo v databázi – nebo naopak – takže kdyby někdo ukradl zálohu jen souborů nebo jen databáze, k datům se nedostane, takže to trochu nějaký smysl má (byť je to pořád v podstatě security through obscurity).

Pokud by šlo jen o to „aby nebilo do očí, když skript prohlížíte / upravujete, a někdo, koho nemůžete odehnat, vám stojí za zády“ – tak na to stačí i kódování Base 64, není potřeba šifrovat.

Důležité je, aby byla hesla/klíče oddělená od programu/skriptu a nemohla se ani náhodou dostat do historie verzovacího systému.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

11.7.2019 11:48 Milan Uhrák | skóre: 31 | blog: milan_at_ABC
Rozbalit Rozbalit vše Re: Heslo ve scriptu

Hm, ssh mi tuto hlášku nehodilo, ale jistě je to dobrý posun vpřed ( opustit salt ).

Co se týče toho zašifrování, tak ano , na zamýšlený účel je to kanón na vrabce a na pořádné zabezpečení slabý půlkrok vpřed.

Ale touhle cestou jsem se dal, a došel jsem do cíle. Řešení se dá později uzpůsobit k různým vylepšením, což base64 už nenabízí.

Díky za ohlas ..

11.7.2019 23:16 ACSA
Rozbalit Rozbalit vše Re: Heslo ve scriptu

Pojem security through obscurity se používá pro tři úplně odlišné věci:
1) místo toho abych to zabezpečil pořádně, tak to jen zobfuskuju.
- Tohle je samozřejmě fuj.
2) zabezpečím to a obfuskuju (nebo k tomu třeba aspoň nezveřejním zdrojáky).
- Může snižovat udržovatelnost
- Může snižovat šanci odhalit chyby, které tam přecejen omylem udělám - žádný program není bez chyb
- Ztěžuje automatické zneuití průniku, což v globálu vede ke zvyšování nákladů útočníka - pokud díky chybě v nějaké serverové komponentně ukradnu 10 000 všemožně zašifrovaných databází, je to fakt opruz i když ty klíče mám k dispozici.)
3) zabezpečit to nejde, tak to aspoň obfuskuju.
- Bezpečné to není
- Dokáže nechutně ztížit práci. Patří sem třeba ochrana proti kopírování programů, DRM, nebo viry. A v tom fakt není sranda se hrabat.

12.7.2019 15:14 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Heslo ve scriptu

3) má zajímavý důsledek že typicky znemožňuje adminovi který to nechce crackovat pochopit co na čem závisí a kudy jaká citlivá data tečou a na základě toho učinit správné rozhodnutí o zabezpečení. Celá ta Pass-The-Hash sága + toto vzniklo podle mě přesně z tohoto důvodu.

12.7.2019 17:01 ACSA
Rozbalit Rozbalit vše Re: Heslo ve scriptu

No... Já vidím problém v tom, že Microsoft napřed dal lidem iluzi alespoň nějaké bezpečnosti (a tím je přesvědčil že sdílet ten soubor s lidmi není naprosto nepřípustné), a pak to celé sabotoval tím že to heslo napsal na web.

12.7.2019 17:25 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Heslo ve scriptu

IMHO kdyby ho nenapsal na web tak to stejně za chvíli někdo reverzne. Viz třeba mimikatz.

12.7.2019 18:42 ACSA
Rozbalit Rozbalit vše Re: Heslo ve scriptu

Já bych to nepsal na web a do toho souboru napsal takové to klasické "nikomu tenhle soubor neposílejte". Jinak díky za tip na zajímavej SW.

12.7.2019 18:45 ACSA
Rozbalit Rozbalit vše Re: Heslo ve scriptu

Byť je teda otázka, jestli to někdo nezreverzí už týden po vydání, no..

Hele pokud má mít skript přístup k nějakému zdroji a ty máš přístup ke skriptu, tak to je asi neřešitelný problém bych řekl. :-)

Navrhoval bych znepřístupnit ten soubor všem kromě root uživatele daného serveru.

12.7.2019 11:35 xsubway | skóre: 13 | blog: litera_scripta_manet
Rozbalit Rozbalit vše Re: Heslo ve scriptu

To ale neřeší "čumili", tedy jen částečně :-)

Ty se totiž řeší jinak. Ale samozřejmě je vhodné oddělit kód a hesla.

12.7.2019 20:27 Milan Uhrák | skóre: 31 | blog: milan_at_ABC
Rozbalit Rozbalit vše Re: Heslo ve scriptu

Jasně ... takto není vidět heslo, ani když zkontroluji ( otevřu a mrknu se ) na obsah souborů s hesly a s čumilem za zády ...

Myslím, že zašifrování hesla tímto způsobem splňuje přesně to, co jsem chtěl a umožňuje případné rozšíření o různé skrývačky a vylepšení.

Ale nejsem v situaci, kdy by stálo za to komplikovat si toto dalšími labyrinty ... prozatím.

Díky za reakce

15.7.2019 15:00 ::: | skóre: 14 | blog: e_lama
Rozbalit Rozbalit vše Re: Heslo ve scriptu

Jasně ... takto není vidět heslo, ani když zkontroluji ( otevřu a mrknu se ) na obsah souborů s hesly a s čumilem za zády ...

Proc by ses do toho souboru dival kdyz tam to heslo neuvidis ani ty? :-)

16.7.2019 10:11 Milan Uhrák | skóre: 31 | blog: milan_at_ABC
Rozbalit Rozbalit vše Re: Heslo ve scriptu

to byl myšlen případ, kdy hesla vysourcuju v otevřeném textu do vedlejšího souboru...

17.7.2019 16:55 Gilhad | skóre: 20 | blog: gilhadoviny
Rozbalit Rozbalit vše Re: Heslo ve scriptu

Treba pokud mam takovych vic a vim, ze to je na tri ruzne stroje a u jednoho to zakodovane zacina AA u druheho to konci 222 a ten treti je proste divnej, tak mi jedno mrknuti staci, abych videl, zda paruju spravny stroj se spravnym heslem :)