רוטר - איך נחשבת רמת האבטחה בבסיס נתונים מסוג MySQL?

יומן פעילות	לוח שנה	מבזקי חדשות	תקנון	RSS	כותרות	כותרות לפי תגובה	ניקוי קוקיז	IP	להורדת אפליקציה
eBay	AliExpress	GearBest	Amazon	Booking	Kiwi	SkyScanner	Trip Advisor

"איך נחשבת רמת האבטחה בבסיס נתונים מסוג MySQL?"

גירסת הדפסה

קבוצות דיון בניית אתרים נושא #10451	מנהל סגן המנהל מפקח Winner צל"ש מומחה

אשכול מספר 10451

MrSus
חבר מתאריך 8.5.09
1801 הודעות, דרג אמינות חבר זה

01:26 11.02.12

איך נחשבת רמת האבטחה בבסיס נתונים מסוג MySQL?

אני מנהל בסיס נתונים שמכיל נתונים על עשרות עובדים, כולל המשכורות שלהם.. זה עסק פרטי קטן והמשכורות שלהם מתבצעות על-ידי אחד המנהלים באופן עצמאי.
בהנחה שהסיסמא לבסיס הנתונים היא ממש ממש מורכבת, מה רמת האבטחה של בסיס הנתונים הזה? כמובן שאני שואל מה רמת האבטחה אני לא מצפה שתגידו לי איזה מספר שמייצג את ה"רמה", אלא האם נהוג להשתמש בבסיס נתונים כזה לאחסן נתוני משכורות של עובדים? האם האבטחה שלו נחשבת לגבוה יחסית בסטדרטים המקובלים היום?

ברור לי שאין שום דבר שהוא 100% חסין לפריצות, אבל מצד שני אני יודע שהיום נהוגים כל מיני סטנדרטים של אבטחת נתונים, ואני אשמח לשמוע חוות דעת.

שתף

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

האשכול	מחבר	תאריך כתיבה	מספר
זה תלוי באיך בניתם אותו ממש ככה.. הוא יכול להיות מאוד פריץ ומאוד חסין	afroman50	11.02.12 03:15	1
בדיקות קלט ועיבוד נתונים חכם יכול לעזור, אם אין את זה אז SQLI מאוד קל	afroman50	11.02.12 03:15	2
כנראה שאתה שואל לגבי הבסיס נתונים עצמו ולא על האפליקציה	CaTz	11.02.12 13:03	3
הבנתי	MrSus	11.02.12 13:44	4
כדי שהאקרים לא יחדרו,	CaTz	11.02.12 22:20	5

afroman50
חבר מתאריך 16.8.04
12555 הודעות, 1 פידבק, 0 נקודות

03:15 11.02.12

1. זה תלוי באיך בניתם אותו ממש ככה.. הוא יכול להיות מאוד פריץ ומאוד חסין
בתגובה להודעה מספר 0

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

afroman50
חבר מתאריך 16.8.04
12555 הודעות, 1 פידבק, 0 נקודות

03:15 11.02.12

2. בדיקות קלט ועיבוד נתונים חכם יכול לעזור, אם אין את זה אז SQLI מאוד קל
בתגובה להודעה מספר 1

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

CaTz
חבר מתאריך 2.10.04
14537 הודעות, דרג אמינות חבר זה

13:03 11.02.12

3. כנראה שאתה שואל לגבי הבסיס נתונים עצמו ולא על האפליקציה
בתגובה להודעה מספר 0

כלומר, בתור בסיס נתונים יש לו את כל מנגנוני האבטחה שיש בגדולים.
אם זה הרשאות אם זה VIEWS אם זה כל מה משתמע מזה,
העניין הוא האם אתם עובדים עם אפילקציה WEBית או אחרת, אם כן עליה חשוב מאוד לבדוק אבטחה, (וזה לא ממש קשור לאבטחה של הבסיס נתונים אלא יותר לאפליקציה עצמה.)

שוב מבחינת DB, אתה יכול להגדיר משתמשים והרשאות לטבלאות או לVIEWS שלהם
וכל מה שרק תחשוב עליו, ולכן או מאובטח!

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

MrSus
חבר מתאריך 8.5.09
1801 הודעות, דרג אמינות חבר זה

13:44 11.02.12

4. הבנתי
בתגובה להודעה מספר 3

אכן אנחנו עובדים עם אפליקציית WEB.
שאלתי על הבסיס הנתונים עצמו, ללא קשר לאפליקציה אבל שניכם עניתם תשובה שמחייבת אותי להתייחס גם לאפליקציה.. אז כן, עיבוד הנתונים נעשה בצורה חכמה, כמובן שכל פעם שאני חושב על דברים חדשים אני משפר, אי אפשר לחשוב על הכל בפעם הראשונה..
תאמת אני יותר מפחד מחדירות לא מכוונות מאשר כאלה שנעשות בכוונה תחילה.. הלא מכוונות יכולות להגיע בצורה של האקרים שסורקים פורטים בצורה אקראית ומחפשים DB פעיל ומנסים לחדור אליו ללא ידיעה מה ה DB הזה מכיל..
כמובן שאנחנו עושים גיבויים כל הזמן, אבל עדיין מדובר על נתונים חסויים של עובדים ואין לי רצון שמישהו יראה את זה או ישנה שם משהו בלי ידיעה.

לגביי חדירות מכוונות, אני פחות חושש מזה, כי מדובר בעסק קטן, רוב העובדים כלל לא בקיאים בענייני מחשבים וגם אם יש כאלו שכן, מהם אני לא חושש.

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

CaTz
חבר מתאריך 2.10.04
14537 הודעות, דרג אמינות חבר זה

22:20 11.02.12

5. כדי שהאקרים לא יחדרו,
בתגובה להודעה מספר 4

אתה צריך להכן על האפליקציה כיוון שדרכה יש תקשורת עם הבסיס נתונים,
אלא אם כן יתחברו אליך לרשת פיזית עם כבלים או WIFI.

אחרת האפליקציה שלך היא הדלת, (כמובן שגם השרת שעליו יושב הDB, צריך להיות מעודכן ומוגן)

(ניהול: מחק תגובה)

מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד