Ankündigung

Einklappen
Keine Ankündigung bisher.

Nachrichten verschlüsseln

Einklappen

Neue Werbung 2019

Einklappen
X
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • #16
    Zitat von rox0r Beitrag anzeigen
    Es werden einfach Daten in Datenbanken abgespeichert, welche verschlüsselt werden sollen.
    lg.
    gut, dann schreib doch mal auf, wie du dir das mit dem transparenten ver- und entschlüsseöln vorstellst.

    Kommentar


    • #17
      Grundsätzlich will ich dass in der DB eine Zeichenkette steht, mit der man nichts anfangen kann, wenn man die DB knackt.
      Ich erhoffte mir einfach aus diesem Thread, ein paar Ideen, wie man soetwas umsetzen kann.

      Kommentar


      • #18
        http://redensarten-index.de/suche.ph...anz&suchspalte[]=rart_ou

        Kommentar


        • #19
          Zitat von rox0r Beitrag anzeigen
          Also einfach eher auf Systemsicherheit schauen, und die Daten als Plain Text abspeichern?

          Es geht dabei um Daten wie z.B. Umsätze, Kontaktdaten und weiteres...

          lg.
          Man muss doch nicht von einem extrem ins andere wandern? Keine Ahnung, wer hier was von plain gesagt hat.

          Verschlüssel die Daten und sieh zu, dass dein System auch ordentlich geschützt ist.
          [COLOR=#A9A9A9]Relax, you're doing fine.[/COLOR]
          [URL="http://php.net/"]RTFM[/URL] | [URL="http://php-de.github.io/"]php.de Wissenssammlung[/URL] | [URL="http://use-the-index-luke.com/de"]Datenbankindizes[/URL] | [URL="https://www.php.de/forum/webentwicklung/datenbanken/111631-bild-aus-datenbank-auslesen?p=1209079#post1209079"]Dateien in der DB?[/URL]

          Kommentar


          • #20
            Nur bringt die beste Datenverschlüsselung nichts mehr, wenn der Hacker auf dein System zugreifen kann - dann hat er auch den Schlüssel. Meiner Meinung nach musst du mehr Wert auf den Schutz des Systems legen als auf die Datenbank, die auf dem System läuft. Hat der Hacker Zugriff auf eines (die DB, das FS, ...) ist anzunehmen, dass er Zugriff auf alles hat.
            [URL="https://github.com/chrisandchris"]GitHub.com - ChrisAndChris[/URL] - [URL="https://github.com/chrisandchris/symfony-rowmapper"]RowMapper und QueryBuilder für MySQL-Datenbanken[/URL]

            Kommentar


            • #21
              Zitat von ChristianK Beitrag anzeigen
              Hat der Hacker Zugriff auf eines (die DB, das FS, ...) ist anzunehmen, dass er Zugriff auf alles hat.
              Das stimmt aber nur teilweise. Oft werden die Daten aus der DB über SQL-Injektionen geklaut. Es besteht dann also kein direkter Zugriff auf irgendwas.
              Windows Server gehören NICHT ins Internet!

              Dildo? Dildo!

              Kommentar


              • #22
                Das wiederum ist ok. Gebe ich dir recht. Bleibt die Frage, wo sich die Rechenzeit für ent- und verschlüsseln lohnt und wo nicht.

                Gängige RDBMS sollten ja von Haus aus verschlüsseln können, um den Index trotzdem zu gewährleisten, habe ich das richtig im Kopf?
                [URL="https://github.com/chrisandchris"]GitHub.com - ChrisAndChris[/URL] - [URL="https://github.com/chrisandchris/symfony-rowmapper"]RowMapper und QueryBuilder für MySQL-Datenbanken[/URL]

                Kommentar


                • #23
                  Ok.
                  Also ist die schlussfolgerung folgende:

                  Am wichtigsten ist in erster Linie die Sicherheit des Systems an sich.
                  Wenn ein Hacker in das System eindringen kann, und sich die ganze Anwendung klaut, hat er natürlich auch alle verschlüsselungsmethoden bzw. kann er halt alles decryptieren.
                  Und in zweiter Linie gehts um die Sicherheit des Programms. Also SQL Injection vorbeugen und schaun dass ein Angreifer keinerlei chance bekommt auf die Datenbank über das Programm zuzugreifen.
                  Und erst an letzter Stelle steht die verschlüsselung der einzenlen Datensätze selber. Wenn man derartig heikle Daten verarbeitet, sollte man sich Profis zur Beratung holen, die einem Untstützen, und die notwendigen Informationen liefert.
                  _________________________________

                  Ich bedanke mich trotzdem für diese Diskussion, und wünsche einen angenehmen Abend!

                  Kommentar


                  • #24
                    Am wichtigsten ist in erster Linie die Sicherheit des Systems an sich.
                    Wenn ein Hacker in das System eindringen kann, und sich die ganze Anwendung klaut, hat er natürlich auch alle verschlüsselungsmethoden bzw. kann er halt alles decryptieren.
                    Und in zweiter Linie gehts um die Sicherheit des Programms. Also SQL Injection vorbeugen und schaun dass ein Angreifer keinerlei chance bekommt auf die Datenbank über das Programm zuzugreifen.
                    gilt das nicht immer?

                    Kommentar


                    • #25
                      Wenn Indexierung/Suche usw. keine Rolle spielt kannst du auch mit einem Passwort verschlüsseln, welches nur dem Client bekannt ist. Dieses Passwort wird zum ver- und entschlüsseln benutzt (Bitte per HTTPS übertragen (cookie oder post z.B.)) aber niemals auf dem Server zwischengelagert.

                      Kurzum: Sobald per Cookie kein Passwort mehr mitgeliefert wird, muss der Client es neu eingeben. Oder er muss es sogar pro Request angeben wenn er Daten haben will.

                      Kann man dann auch koppeln mit dem normalen Login. Also wenn das Session-Cookie weg ist, ist auch das PW weg. Und das PW ergibt sich aus dem gehashten Plain-PW des Users.

                      Danach einfach mit mcrypt von PHP arbeiten. Algo kannst du öffentlich zur Schau stellen. Daten in der DB theoretisch auch.

                      Kommentar

                      Lädt...
                      X