 Kodowanie danych przed userami MySQL |
| Kodowanie danych przed userami MySQL |
Post
#1
|
|
|
Grupa: Zarejestrowani Postów: 57 Pomógł: 0 Dołączył: 23.06.2003 Ostrzeżenie: (0%) 
 |
Witam
Mam nastepujacy problem. Napisalem skrypt dzieki ktoremu mozna wprowadzac wyplaty do bazy danych. Szef jednak wymyslil ze te dane musza byc tajne (jest trzech informatykow i ktos moglby podejrzec bezposredniow bazie). Wymyslilem patent dzieki ktoremu wprowadzane dane sa wymnazane przez pewien ciąg liczb (wprowadzany tylko w formularzu ale nie zapisywany do bazy - zna go tylko szef) i dopiero wprowadzane do bazy. Aby zobaczyc poprawne kwoty szef musi wpisac kod usera i wyswietla sie wyplaty. Inny programista ogladajac dane widzi cyfry z kosmosu i jest ok. Pensje utajnione. Niestety nie wyklucza to ingerencji w kodzie i podpiecia funkcji ktora przechwyci ów kod ktory koduje dane a co za tym idzie pozna kwoty wyplat. Myslalem o zakodowaniu samego kawalka kodu ktory wprowadza dane jakims crypterem ale nie wiem czy to dobry pomysł. Moze macie jakies pomysły aby rozwiazac to zagadnienie. Z gory dzieki za pomoc |
 |
 
|
 |
|
Post
#2
|
|
|
Grupa: Zarząd Postów: 2 277 Pomógł: 6 Dołączył: 27.12.2002 Skąd: Wołów/Wrocław |
ale po co pisać własny algorytm kodujący, jak można skorzystać z bibliotek dostępnych w MySQL ?
Cytat("manual") AES_ENCRYPT() and AES_DECRYPT() were added in MySQL 4.0.2, and can be considered the most cryptographically secure encryption functions currently available in MySQL A skąd brać hasło? Może to być ciąg znaków, znany tylko 'szefowi'. Problem jednak pojawi się, gdyby je zapomniał - tracimy dane. Możemy jednak przygotować osobną tabelę, Users id , login, pass, zaszyfrowanyDbKey Gdzie zaszyfrowanyDbKey to AES_ENCRYPT( 'dbkey', pass ) ; Rozwiazanie takie pozwala nam na A ) utworzenie wielu profili osób mających dostęp do danych B ) pozwalamy im na zmianę hasła (wystarczy pobiem, by taka osoba zalogowała się, wtedy rozkodowujemy DbKey, prosimy o podanie nowego hasła do konta, i za jego pomocą generujemy nowy zaszyfrowanyDbKey Uwagi. Transmisja musi iść po HTTPS, to jedyne rozwiązanie, które być może ograniczy dostęp do tych danych administratorowi serwera. Dane przechowywane w sesji (głownie login i hasło do konta) musza być również zaszyfrowane, tak by ktoś ich zbyt łatwo nie podejżał. |
|
|
|
binio Kodowanie danych przed userami MySQL 4.11.2004, 10:58:41 
kszychu A nie prosciej pobawic sie uprawnieniami w samym m... 4.11.2004, 11:07:20 binio Cytat(kszychu @ 2004-11-04 12:07:20)A nie pro... 4.11.2004, 11:21:32 sf Zapisać dane na innym komputerze. Jeżeli ktoś ma r... 4.11.2004, 12:11:23 Prometeus JESLI SZEF NIE UFA INFORMATYKOWI TO POWINIEN GO WY... 4.11.2004, 16:51:19 binio Cytat(Prometeus @ 2004-11-04 17:51:19)JESLI S... 4.11.2004, 19:04:12 wojto Cytat(kszychu @ 2004-11-04 12:07:20)A nie pro... 5.11.2004, 08:30:19 binio Cytat(wojto @ 2004-11-05 09:30:19)( ... )
mo... 5.11.2004, 10:30:40 silent Cytat(binio @ 2004-11-05 10:30:40)Cytat(wojto... 5.11.2004, 10:41:46 kszychu Cytat(binio @ 2004-11-05 10:30:40)Cytat(wojto... 5.11.2004, 11:04:00 wojto CytatTak, na pewno znajdziesz taki katalog "n... 5.11.2004, 17:57:12 silent Cytat(wojto @ 2004-11-05 17:57:12)nie chodzil... 5.11.2004, 18:14:39 
binio Chyba musze cos wytlumaczyc bo dyskusja w zla drog... 6.11.2004, 23:50:02  |
|
Aktualny czas: 5.10.2025 - 13:06 |
