Zitat von rox0r
Beitrag anzeigen
Ankündigung
Einklappen
Keine Ankündigung bisher.
Nachrichten verschlüsseln
Einklappen
Neue Werbung 2019
Einklappen
X
-
Gast
-
Gast
-
Zitat von rox0r Beitrag anzeigenAlso einfach eher auf Systemsicherheit schauen, und die Daten als Plain Text abspeichern?
Es geht dabei um Daten wie z.B. Umsätze, Kontaktdaten und weiteres...
lg.
Verschlüssel die Daten und sieh zu, dass dein System auch ordentlich geschützt ist.[COLOR=#A9A9A9]Relax, you're doing fine.[/COLOR]
[URL="http://php.net/"]RTFM[/URL] | [URL="http://php-de.github.io/"]php.de Wissenssammlung[/URL] | [URL="http://use-the-index-luke.com/de"]Datenbankindizes[/URL] | [URL="https://www.php.de/forum/webentwicklung/datenbanken/111631-bild-aus-datenbank-auslesen?p=1209079#post1209079"]Dateien in der DB?[/URL]
Kommentar
-
Nur bringt die beste Datenverschlüsselung nichts mehr, wenn der Hacker auf dein System zugreifen kann - dann hat er auch den Schlüssel. Meiner Meinung nach musst du mehr Wert auf den Schutz des Systems legen als auf die Datenbank, die auf dem System läuft. Hat der Hacker Zugriff auf eines (die DB, das FS, ...) ist anzunehmen, dass er Zugriff auf alles hat.[URL="https://github.com/chrisandchris"]GitHub.com - ChrisAndChris[/URL] - [URL="https://github.com/chrisandchris/symfony-rowmapper"]RowMapper und QueryBuilder für MySQL-Datenbanken[/URL]
Kommentar
-
Zitat von ChristianK Beitrag anzeigenHat der Hacker Zugriff auf eines (die DB, das FS, ...) ist anzunehmen, dass er Zugriff auf alles hat.Windows Server gehören NICHT ins Internet!
Dildo? Dildo!
Kommentar
-
Das wiederum ist ok. Gebe ich dir recht. Bleibt die Frage, wo sich die Rechenzeit für ent- und verschlüsseln lohnt und wo nicht.
Gängige RDBMS sollten ja von Haus aus verschlüsseln können, um den Index trotzdem zu gewährleisten, habe ich das richtig im Kopf?[URL="https://github.com/chrisandchris"]GitHub.com - ChrisAndChris[/URL] - [URL="https://github.com/chrisandchris/symfony-rowmapper"]RowMapper und QueryBuilder für MySQL-Datenbanken[/URL]
Kommentar
-
Ok.
Also ist die schlussfolgerung folgende:
Am wichtigsten ist in erster Linie die Sicherheit des Systems an sich.
Wenn ein Hacker in das System eindringen kann, und sich die ganze Anwendung klaut, hat er natürlich auch alle verschlüsselungsmethoden bzw. kann er halt alles decryptieren.
Und in zweiter Linie gehts um die Sicherheit des Programms. Also SQL Injection vorbeugen und schaun dass ein Angreifer keinerlei chance bekommt auf die Datenbank über das Programm zuzugreifen.
Und erst an letzter Stelle steht die verschlüsselung der einzenlen Datensätze selber. Wenn man derartig heikle Daten verarbeitet, sollte man sich Profis zur Beratung holen, die einem Untstützen, und die notwendigen Informationen liefert.
_________________________________
Ich bedanke mich trotzdem für diese Diskussion, und wünsche einen angenehmen Abend!
Kommentar
-
Gast
Am wichtigsten ist in erster Linie die Sicherheit des Systems an sich.
Wenn ein Hacker in das System eindringen kann, und sich die ganze Anwendung klaut, hat er natürlich auch alle verschlüsselungsmethoden bzw. kann er halt alles decryptieren.
Und in zweiter Linie gehts um die Sicherheit des Programms. Also SQL Injection vorbeugen und schaun dass ein Angreifer keinerlei chance bekommt auf die Datenbank über das Programm zuzugreifen.
Kommentar
-
Wenn Indexierung/Suche usw. keine Rolle spielt kannst du auch mit einem Passwort verschlüsseln, welches nur dem Client bekannt ist. Dieses Passwort wird zum ver- und entschlüsseln benutzt (Bitte per HTTPS übertragen (cookie oder post z.B.)) aber niemals auf dem Server zwischengelagert.
Kurzum: Sobald per Cookie kein Passwort mehr mitgeliefert wird, muss der Client es neu eingeben. Oder er muss es sogar pro Request angeben wenn er Daten haben will.
Kann man dann auch koppeln mit dem normalen Login. Also wenn das Session-Cookie weg ist, ist auch das PW weg. Und das PW ergibt sich aus dem gehashten Plain-PW des Users.
Danach einfach mit mcrypt von PHP arbeiten. Algo kannst du öffentlich zur Schau stellen. Daten in der DB theoretisch auch.
Kommentar
Kommentar