Tarhon-Onu Victor wrote: > On Thu, 2 Sep 2004, Elena Lazar wrote: > > >>este vreo cale ca o anumita baza de date (evenual dac anu pe MySQL, la alt >>tip de baza de date?) sa fie criptata/codata astfel incat daca un user >>care are access la baza de date sa nu isi poata da seama ce este acolo? La >>o aplicatie PHP/MySQL la care se face deployment la diversi customeri (pe > > > Odata conectat la serverul de baze de date trebuie sa poti > accesa datele pentru care ai acces. Asta e menirea unei baze de date. > Modalitatea de stocare si/sau encodare/encryptare a inregistrarilor e > deja o problema a aplicatiilor care citesc/scriu acea baza de date. > > >>serverele lor), idea e sa nu-si poata ei baga nasul. La PHP am gasit >>encodare cu Turck MM Cache dar la baza de date nu stiu ce sa-i fac pentru >>ca beneficiarii, care au access full la serverele pe care e instalata >>aplicatia, sa nu se poata uita la descrierile tabelelor, la date, etc. > > > Atunci nu le da nici un user si nici o parola de acces. > Fisierele in care sint tinute tabelele (~mysql, ~postgres, altceva) > trebuie sa nu fie accesibile nimanui, decit eventual root-ului, iar > fisierele aplicatiilor ce acceseaza acea baza de date si contin date de > acces (nume baza de date, parole, useri, etc) trebuie sa aiba acelasi > status. Daca "beneficiarii" au root pe masini atunci e nasol, trebuie sa > stabilesti o modalitate de encodare a inregistrarilor astfel incit sa nu > fie prea usor descifrabile. Insa orice om care-si poarta creierul la el > si nu-l tine acasa facind cu el culturism prin ghivece se poate prinde > pina la urma. > Probleme de genul celei expuse de tine au dat nastere la acele > masini numite si blackbox: o pui in priza, isi face treaba; se strica, o > duci la "specialist"; pe monitor nu injura nimic, la bootloader nu-i > poti face nimic, filesystem-uri encryptate, firewall paranoia mode, etc. > Deci sanatate si adio oricarui script chizd care incearca sa-si bage > labele jegoase si murdare de saliva proaspat scoase dintre urechi pe > frumusete de masina. >
Nu stiu daca se poate ca fisierele de date sa nu fie accesibile. In afara de root, ar mai fi cel putin owner-ul fisierului. In afara de asta eu as considera si backup-ul tot fisiere de date. Ce mi-e ca nu are acces la baza, dar se poate uita in backup? -- Catalin Nastase --- Detalii despre listele noastre de mail: http://www.lug.ro/
