Тайните тайни

 Consultant, Общи  Коментарите са изключени за Тайните тайни
Дек. 182006
 

Скорошната новина, че е откраднат бекъп на БД на известен сайт и признанието, че в този бекъп има потребителски пароли в чист текстов вид за пореден път събужда в мен спомена за JABORAC.
Всеки, който е чел поне малко за сигурността знае, че не трябва да се пазят чувствителни данни (пароли, номера на кредитни карти, лични данни) в чист вид. И това не е въпрос на дизайн – това си е постулат. И въпреки това все още има много системи, които го правят. Много. Не искам да споменавам имена, те си знаят.
Как са го допуснали хората от reddit? Те, по принцип, са известни като добри програмисти. Не са го направили от глупост. Не. Те са го направили за удобство.
Сигурността на данните винаги е компромис с удобството. Да използваш по-дълга парола е неудобно. Удобно е да влизаш автоматично в сайта/програмата/windows-a, а не да пишеш всеки път username/pass. Удобно е да получиш паролата, ако си я забравил.
Но не е сигурно.
Толкова е лесно да се вземат мерки, особено за потребителите на Oracle! Пакетите DBMS_OBFUSCATION_TOOLKIT и DBMS_CRYPTO (последният е новост в Oracle 10g) имат повече от достатъчно функции. Дизайна на една достатъчно сигурна система е обсъждан къде ли не. Достатъчно е само едно „посоляване” (salting) и хеширане на паролата и всички опити за разбиването са де факто обречени. Не е необходимо разработчиците да имплементират някакви тежки алгоритми и процедури – всичко е на готово.
Само трябва да се вземат предвид елементарни правила при дизайна на БД (същото важи и за самото приложение, особено ако е уеб-базирано). Трябва малко да се помисли за сигурността.
Така че, ако някой още пази паролите в чист вид или ключа за криптиране е в БД, да се замисли. Пак. Моля.

 Posted by at 14:47

Намерих слънцето!

 Personal  Коментарите са изключени за Намерих слънцето!
Дек. 182006
 

За всички хора, забутани във мъгливата ни столица, която може би ще трябва да преименуваме на Fogville или Fogcity… Тук, където мъглата не се е вдигала от 3-4 седмици… Трябва да знаете, че има място, където грее слънце. Вчера го намерих. Всеки, който се осмели да го потърси, който наистина иска да рискува и да се огледа, който поема смело шанса да види това, което може да му поднесе гмуркането в релаността… Там има слънце, и аз го намерих.
Имам даже и снимки, но няма да ги публикувам. Ще си ги гледкам сам 🙂
А вие просто ще трябва да ми повярвате.

 Posted by at 11:50