Форум: "Прочее";
Текущий архив: 2008.06.08;
Скачать: [xml.tar.bz2];
Вниз
как скрыть логин/пароль БД? Найти похожие ветки
← →
ekto © (2008-04-24 16:22) [0]Есть БД MySQL. В табличке БД хранятся логины и пароли пользователей.
При загрузке приложения юзер вводит логин, пароль, прилож смотрит в табл.. если все ок. то работаем. Т.е. у меня в коде явно указан логин и пароль для доступа к БД. Что не желательно в моем случае - за инфу польз. платят, а вытащить это из exe-шника, как мне кажется, труда не составит. Хотел всю логику перенести на сервер, но че-то не получается создать в базе ХП. Поменять СУБД нельзя.
Вопрос: что делать?
← →
Sergey13 © (2008-04-24 16:25) [1]> [0] ekto © (24.04.08 16:22)
А что, у мускула нет встроенной аутетификации?
← →
Anatoly Podgoretsky © (2008-04-24 16:26) [2]> ekto (24.04.2008 16:22:00) [0]
Ох сколько паролей так украли.
Использовать надо хеши составные
← →
ekto © (2008-04-24 16:33) [3]
> Sergey13 © (24.04.08 16:25) [1]
Что это?
> Anatoly Podgoretsky © (24.04.08 16:26) [2]
На пальцах не поясните или где покапаться? Не пойму что составлять. Хэши кусочков логина/пароля собрать, а потом перегнать в норм вид или как?
← →
tesseract © (2008-04-24 16:46) [4]
> На пальцах не поясните или где покапаться?
В табличке хранить хэши паролей. При вводе делать хэш и сравнивать с имеющимся в табличке.
+ Сделать ввод пароля при старте программы. Заказчику сказать " для вашей же безопастности".
← →
Ega23 © (2008-04-24 16:48) [5]
> В табличке хранить хэши паролей. При вводе делать хэш и
> сравнивать с имеющимся в табличке.
Даже md5(md5(password) + Salt). Salt - например, первые 3 буквы логина.
← →
ekto © (2008-04-24 16:59) [6]
> tesseract © (24.04.08 16:46) [4]
нар-но неправильно я объяснил или ничего не понял сам.
Есть программа, котораю предоставляет некую инфу с сайта. Не всю. За всю инфу надо платить денюжку. Кто заплатил, получает логин + пароль. Программа при загрузке лезет в базу и в таблице смотрит, есть ли такой пользователь или нет - и нет разницы, что она там будет сравнивать - пароль или его хэш.
Значит, для доступа к базе у меня в исходнике есть логин+пароль пользователя БД. Вот как это спрятать?
← →
Reindeer Moss Eater © (2008-04-24 17:00) [7]зашифровать обратимо
← →
Ega23 © (2008-04-24 17:03) [8]
> Значит, для доступа к базе у меня в исходнике есть логин+пароль
> пользователя БД. Вот как это спрятать?
Никак. Обязать пользователя вводить.
← →
tesseract © (2008-04-24 17:09) [9]
> Значит, для доступа к базе у меня в исходнике есть логин+пароль
> пользователя БД.
У тебя вся система безопасности значит на честном слове. Программа на серваке выполняеться? Тогда смысл что-то прятать? Если на локальном выполянеться - тогда дёргаем скрипт серввака - получаем ID сеанса и с ним работаем.
← →
ekto © (2008-04-24 17:10) [10]
> Ega23 © (24.04.08 17:03) [8]
прогр. скачивает любой желающий. Если устраивают предоставляемые ею услуги, то польз. платит за полный доступ. Т.е. вводить пароль пользователя БД ну никак нельзя. Лан, ставлю крест.
А переделать с двух на трех-звенную архитектуру долго морочиться, учитывая, что я тока название знаю?
← →
ekto © (2008-04-24 17:12) [11]
> ekto © (24.04.08 17:10) [10]
млин, а на сервере FreeBSD...
← →
Ega23 © (2008-04-24 17:12) [12]
> А переделать с двух на трех-звенную архитектуру долго морочиться,
> учитывая, что я тока название знаю?
1. Долго. Очень.
2. А чем это поможет?
← →
Ega23 © (2008-04-24 17:13) [13]Почему Delphi-то???
Почему не Web-клиент?
← →
ekto © (2008-04-24 17:18) [14]
> Ega23 © (24.04.08 17:12) [12]
как чем? Все делает сервер, польз вводит тока пароль/логин. Свой, не польз. БД - я его прячу.
> Почему не Web-клиент?
Да эт программа для маркетинга, скорее, аналог в виде Web-клиента есть, а эт, типа удобнее будет.
← →
Дмитрий С (2008-04-24 17:30) [15]
> ekto ©
Спрятать на 100% ты его не сможешь...
В любом случае ты на какото этапе сформируешь connetion string, который можно достать из твоей проги. Например с помощью ArtMoney :)
← →
ekto © (2008-04-24 17:34) [16]
> Дмитрий С (24.04.08 17:30) [15]
ArtMoney? Ниче себе. Как эт она вытащит его?
← →
Дмитрий С (2008-04-24 17:37) [17]
> ekto ©
Очень просто. Ищется в памяти процесса строка, заведомо присутствующая в ConnectionString и далее просматривается до появления password=...
← →
umbra © (2008-04-24 17:38) [18]
> Значит, для доступа к базе у меня в исходнике есть логин+пароль
> пользователя БД.
убрать из экзешника. пусть прога коннектится не к базе, а к серверному скрипту. которй, в свою очередь уже коннектится к базе. При этом выдавать куку, чтобы пользователю не надо было каждый раз пароль вводить
← →
ekto © (2008-04-24 17:39) [19]
> Дмитрий С (24.04.08 17:37) [17]
печально...
← →
ekto © (2008-04-24 17:41) [20]
> umbra © (24.04.08 17:38) [18]
да, пожалуй, тока так. Тока как сделать обмен данных меж сервером и клиентом?
← →
Ega23 © (2008-04-24 17:42) [21]
> Тока как сделать обмен данных меж сервером и клиентом?
Web-browser и Web-Server.
О чём, собственно, тебя и спрашиваю уже давно.
← →
ekto © (2008-04-24 17:52) [22]
> Ega23 © (24.04.08 17:42) [21]
да, точно, чет сразу не догнал.
Всем спасибо.
Страницы: 1 вся ветка
Форум: "Прочее";
Текущий архив: 2008.06.08;
Скачать: [xml.tar.bz2];
Память: 0.5 MB
Время: 0.05 c
