• דף הבית
  • קטגוריות
  • פוסטים אחרונים
  • משתמשים
  • חיפוש
  • חוקי הפורום
כיווץ
תחומים

תחומים - פורום חרדי מקצועי

אבטחת חיבור מרחוק ל mysql

מתוזמן נעוץ נעול הועבר ארכיון code613m
10 פוסטים 3 כותבים 460 צפיות
    • מהישן לחדש
    • מהחדש לישן
    • הכי הרבה הצבעות
תגובה
  • תגובה כנושא
התחברו כדי לפרסם תגובה
נושא זה נמחק. רק משתמשים עם הרשאות מתאימות יוכלו לצפות בו.
  • אביא מנותק
    אביא מנותק
    אבי
    כתב ב נערך לאחרונה על ידי
    #1

    המקרה: תוכנה שולחנית (#C) שמתחברת מרחוק ושולפת נתון משרת mysql.
    כדי שכל לקוח יוכל להתחבר אני מאפשר גישה מרחוק למסד נתונים עבור כל IP.
    החשש: הרי בקוד מופיעים פרטי החיבור (שם וסיסמא), אם הלקוח ינטר את החיבור או יפתח את הקוד הוא יוכל לגשת חופשי לכל הדטה בייס..

    אשמח לקבל לינק, דוגמא או כל הסבר על פתרונות ו/או אלטרנטיבות שונות.
    תודה

    פורסם במקור בפורום CODE613 ב12/07/2015 02:30 (+03:00)

    תגובה 1 תגובה אחרונה
    0
  • dovidD מנותק
    dovidD מנותק
    dovid ניהול
    כתב ב נערך לאחרונה על ידי
    #2

    כלל ברזל: כל מה שיכולה האפליקציה, יכול גם המשתמש.
    ממילא האבטחה לא אמורה להיות כלל ברמת האפליקציה.

    בצד המסד, וזה די מסובך, צריכה להיות הרשאה רק לפעולות שאתה מרשה לאפליקציה/משתמש לעשות.
    כיון שזה מאוד קשה לאכוף אבטחה עדינה במסד נתונים, דרושה תוכנת אמצע שיושבת על השרת ומתווכת ביניהם. היא יכולה להיות חכמלוגית מאוד מבחינת הרשאות וגם גמישה לשינויים.
    תוכנה זו שזה בעצם שירות רשת, נקרא בדרך כלל בשמות webservice, data service.

    אם אתה מכיר תוכנות לקוח נוספות תוכל לבדוק שחלק צעדו בדרך הזו, והם בטוחות לגמרי, וחלק הלכו בדרך הנלוזה של הסתרת המנגנון מהמשתמש כאבטחה, אם זה שם וסימת מסד, FTP, web service ועוד. כל אלו חשופים לבלגנים נחמדים ממשתמשים משועממים או מעוניינים.

    פורסם במקור בפורום CODE613 ב12/07/2015 10:38 (+03:00)

    אפשר ליצור קשר dovid@tchumim.com

    תגובה 1 תגובה אחרונה
    2
  • אביא מנותק
    אביא מנותק
    אבי
    כתב ב נערך לאחרונה על ידי
    #3

    @דוד ל.ט.

    תוכנה זו שזה בעצם שירות רשת, נקרא בדרך כלל בשמות webservice, data service.

    webservice זה שם מושג כללי לכל שרת שמעבד בקשה , לא?

    לגבי עצם השאלה, חשבתי שהתשובה הפשוטה היא, לכתוב את פרטי החיבור בצד שרת - PHP לדוגמא, והאפליקציה רק תתחבר לדף הזה עם איזשהו פרמטר שיוכנס בכתובת HTTP, ותקבל בחזרה את הערך המבוקש מתוך הטבלה שעיבד ה PHP.
    תקן אותי אם טעיתי.
    אני רואה הרבה שמשתמשים עם זה והייתי מאוד רוצה ללמוד את הנושא לעומק, מה לחפש בגוגל?

    פורסם במקור בפורום CODE613 ב13/07/2015 06:23 (+03:00)

    תגובה 1 תגובה אחרונה
    1
  • dovidD מנותק
    dovidD מנותק
    dovid ניהול
    כתב ב נערך לאחרונה על ידי
    #4

    @אבי

    webservice זה שם מושג כללי לכל שרת שמעבד בקשה , לא?

    אכן. ואמרתי שאתה חייב לבנות אחת כזאת. ייעודית לתיווך בין התוכנות למסד.

    @אבי

    לגבי עצם השאלה, חשבתי שהתשובה הפשוטה היא, לכתוב את פרטי החיבור בצד שרת - PHP לדוגמא, והאפליקציה רק תתחבר לדף הזה עם איזשהו פרמטר שיוכנס בכתובת HTTP, ותקבל בחזרה את הערך המבוקש מתוך הטבלה שעיבד ה PHP.

    לא קראת טוב את תשובתי.
    יש מאות רעיונות ממש נחמדים, שירחיקו את הסכנה (DROP DATABASE 🙂 וכדומה) בעוד כמה סנטימטרים. למשל לשמור את הסיסמה בצורה מוצפנת.
    אבל שללתי את כולם.

    @אבי

    תקן אותי אם טעיתי.
    אני רואה הרבה שמשתמשים עם זה והייתי מאוד רוצה ללמוד את הנושא לעומק, מה לחפש בגוגל?

    desktop application mysql password

    פורסם במקור בפורום CODE613 ב13/07/2015 15:52 (+03:00)

    אפשר ליצור קשר dovid@tchumim.com

    תגובה 1 תגובה אחרונה
    0
  • אביא מנותק
    אביא מנותק
    אבי
    כתב ב נערך לאחרונה על ידי
    #5

    @דוד ל.ט.

    אבי כתב:
    לגבי עצם השאלה, חשבתי שהתשובה הפשוטה היא, לכתוב את פרטי החיבור בצד שרת - PHP לדוגמא, והאפליקציה רק תתחבר לדף הזה עם איזשהו פרמטר שיוכנס בכתובת HTTP, ותקבל בחזרה את הערך המבוקש מתוך הטבלה שעיבד ה PHP.

    לא קראת טוב את תשובתי.

    נו, זה בדיוק תוכנת תיווך, לא?

    פורסם במקור בפורום CODE613 ב13/07/2015 16:05 (+03:00)

    תגובה 1 תגובה אחרונה
    0
  • dovidD מנותק
    dovidD מנותק
    dovid ניהול
    כתב ב נערך לאחרונה על ידי
    #6

    ממש לא... אין שום מתווך התוכנה למסד, התקשורת ישירה. רק בתור שמירת פרטי חיבור בחרת בדף מרוחק וזה שקול לקובץ בדיסק קשיח (עם הסיומות האופייניות XNL/INI).
    הדף מחזיר פרטי חיבור, ויאללה התוכנה מחוברת. אתה לא מבין כמה קל למשתמש מנוסה לאחזר את הפרטים הללו, ואיזה שאגות צחוק הוא ירים כשהוא יראה את הדרך המשובשת בה בחרת להחביא ממנו את הפרטים.

    תוכנה מתווכת הכוונה שהיא מקבלת שם וסיסמה (שיכולים להיות חשופים למשתמש וכתובים בענק בתוכנה) ונותנת גישה למשאבי המסד לפי מה שהחלטת עבור הם והסיסמה האלו. נניח אתה עושה תוכנה לחנות מוזיקה, שאפשר להזמין דיסקים ע"י התוכנה. אז השם והסיסמה יהיו גלויים למשתמש ואדרבה, הוא אפי' יבחר אותם כמו בהרשמה לאתר. התוכנה המתווכת תיתן לשם וססימה אלו את הקניות האחרונות שהם ביצעו וכדומה. אבל הם לא יכולו לבצע SELECT ללא WHERE ולקבל קניות של אחרים.

    בעצם תתייחס לרעיון שלך, ותחשוב שבמקום שPHP יחזיר פרטי חיבור כמו טמבל, הוא פשוט יגיד לתוכנה "יאללה, מה את רוצה לדעת"? אז היא תגיד לו "את הסיסמה של המנהל". אז הדף ישאל אותה "רגע, מי את בכלל?" 🙂

    פורסם במקור בפורום CODE613 ב13/07/2015 16:20 (+03:00)

    אפשר ליצור קשר dovid@tchumim.com

    תגובה 1 תגובה אחרונה
    0
  • dovidD מנותק
    dovidD מנותק
    dovid ניהול
    כתב ב נערך לאחרונה על ידי
    #7

    באשכול ישן (שלך), KingYes ענה תמציתית וזה נוגע גם לכאן: http://tchumim.com/topic/509

    @KingYes

    • קח בחשבון שיהיה לך פה בעיות אבטחה מול השרת, ותצטרך לפתוח את ה-Remote Control של ה-MySQL / SQLServer לכל הכתובות האייפים. אלא אם כן תבנה לך איזה RESTful (עברית) פשוט בשביל ה-CRUD.

    פורסם במקור בפורום CODE613 ב13/07/2015 16:31 (+03:00)

    אפשר ליצור קשר dovid@tchumim.com

    תגובה 1 תגובה אחרונה
    1
  • אביא מנותק
    אביא מנותק
    אבי
    כתב ב נערך לאחרונה על ידי
    #8

    @דוד ל.ט.

    בעצם תתייחס לרעיון שלך, ותחשוב שבמקום שPHP יחזיר פרטי חיבור כמו טמבל, הוא פשוט יגיד לתוכנה "יאללה, מה את רוצה לדעת"? אז היא תגיד לו "את הסיסמה של המנהל". אז הדף ישאל אותה "רגע, מי את בכלל?"

    לא התכוונתי שהPHP יחזיר את הפרטי חיבור, אלא שהוא יבצע את השאילתה ויחזיר את הערך מתוך הטבלה.

    פורסם במקור בפורום CODE613 ב13/07/2015 16:46 (+03:00)

    תגובה 1 תגובה אחרונה
    0
  • M מנותק
    M מנותק
    magicode
    כתב ב נערך לאחרונה על ידי
    #9

    למה. דווקא זה נקרא תוכנת תיווך. שהופכת את המסד לקריאה בלבד.
    ואי אפשר לכתוב.
    אם כותבים את הPHP נכון ולא מעבירים ל PHP פרמטר שנקרא שאילתא.

    פורסם במקור בפורום CODE613 ב13/07/2015 16:48 (+03:00)

    תגובה 1 תגובה אחרונה
    1
  • dovidD מנותק
    dovidD מנותק
    dovid ניהול
    כתב ב נערך לאחרונה על ידי
    #10

    @אבי

    לא התכוונתי שהPHP יחזיר את הפרטי חיבור, אלא שהוא יבצע את השאילתה ויחזיר את הערך מתוך הטבלה.

    אכן, זה בדיוק data service ומתנצל שעניתי אחרי קריאה רופפת מידי. זה בדיוק מה שכבת בהתחלה.

    פורסם במקור בפורום CODE613 ב13/07/2015 17:45 (+03:00)

    אפשר ליצור קשר dovid@tchumim.com

    תגובה 1 תגובה אחרונה
    1

  • התחברות

  • אין לך חשבון עדיין? הרשמה

  • התחברו או הירשמו כדי לחפש.
  • פוסט ראשון
    פוסט אחרון
0
  • דף הבית
  • קטגוריות
  • פוסטים אחרונים
  • משתמשים
  • חיפוש
  • חוקי הפורום