Форум: "Базы";
Текущий архив: 2003.07.14;
Скачать: [xml.tar.bz2];
Вниз
Как скрыть имя пользователя от не слишком крутых хацкеров? Найти похожие ветки
← →
Карелин Артем (2003-06-09 12:56) [0]Моя база должна быть закрыта от посторонних глаз. Шифровать данные неприемлемо. Сделал я пару триггеров на системные таблицы, пускающие только одного юзера, сделал роль SYSDBA, которую нельзя удалить, параметры соединения хранятся в шифранутом виде, Isc4.gdb тоже немного переделан...
Осталась одна большая дыра: в природе существуют программы, которые позволяют декомпиллировать программы на дельфи или исследовать свойства обьектов в программе во время выполнения. С их помощью можно вытянуть имя пользователя в свойствах IBDataBase. А имея имя можно спокойно просматривать базу. Так вот как скрыть параметры соединения или подставить во время работы программу фиктивные данные.
P.S. Вещички типа упаковки программы просто заставляют умного человека затратить на 15 минут больше времени на вскрытие. Защиту я строю из того факта, что этому умному человеку будет доступен экзешник, база и системная база FireBird
← →
Zacho (2003-06-09 13:08) [1]Если хацкер получит доступ к файлу БД или isc4.gdb - то никак не защититься, только шифрованием данных. Почему бы просто не настроить нормально security на сервере ?
← →
Alexandr (2003-06-09 13:13) [2]
> P.S. Вещички типа упаковки программы просто заставляют умного
> человека затратить на 15 минут больше времени на вскрытие.
нормальная упаковка фиг тебе за 15минут сломается... Она может вообще не сломаться.
← →
Карелин Артем (2003-06-09 13:44) [3]Alexandr © (09.06.03 13:13)
Я проверял. На упакованных программах DeDe обломится, но есть программы, которые в режиме выполнения могут вытащить параметры.
Zacho © (09.06.03 13:08)
Если сделать роль sysdba и повесить злые триггеры с удалением данных на RDB$USER_PRIVILEGES, то фиг ему будет. То же самое можно сделать и с isc4.gdb
А чтобы хацкер не смог пробраться в базу надо скрыть от него имя пользователя.
← →
АлексейК (2003-06-09 13:46) [4]Кроме имени пользователя еще пароль нужен и как правило загвозка в нем.
>Осталась одна большая дыра: в природе существуют программы, которые позволяют декомпиллировать программы на дельфи или исследовать свойства обьектов в программе во время выполнения. С их помощью можно вытянуть имя пользователя в свойствах IBDataBase.
А зачем сохранять пользователей в свойствах объекта IBDataBase?
← →
Карелин Артем (2003-06-09 13:49) [5]во время выполнения
← →
Alexandr (2003-06-09 14:00) [6]asprotect и другие продукты этой же фирмы проверял?
← →
Карелин Артем (2003-06-09 14:05) [7]Alexandr © (09.06.03 14:00)
Ломалки видел где-то в сети.
← →
Alexandr (2003-06-09 14:08) [8]от версии к версии становится гораздо лучше и менее ломаемо.
← →
Карелин Артем (2003-06-09 14:13) [9]Если могу сломать я (просто балуюсь иногда), то запросто могут и другие.
← →
Карелин Артем (2003-06-20 09:12) [10]>от версии к версии становится гораздо лучше и менее ломаемо.
Кстати утилитка IbClean защищена AsProtect, но я это заметил уже после того, как изучил ее работу с помощью декомпиллятора ;).
Для доступа к системным таблицам использются компоненты IBO, конкретно это ib_DSQl.
← →
Alexandr (2003-06-20 09:19) [11]ок. ну что тут можно сказать...
← →
ЮЮ (2003-06-20 09:26) [12]И всё-таки я не понял. Тебе нужна защита с момента, когда ты запустил программу, введя при подключении имя и пороль и тебя связали и оттащили от работающего клиента, а хаккеры с дебаггерами накинулись на твой комп? :-)
← →
Карелин Артем (2003-06-20 09:36) [13]ЮЮ © (20.06.03 09:26)
Мне нужна защита с момента отправки дистрибутива на другой конец страны.
← →
Danilka (2003-06-20 09:37) [14]Карелин Артем ©
Если я правильно понял, весь сыр-бор из-за того, что ты хочешь распостранять свою программу вместе с файлом БД, и чтобы никто не мог в базу влезть и что-то подправить, каким-нибудь IBExpert-ом, только из твоей программы, так?
Сомневаюсь, что такое возможно.
← →
ЮЮ (2003-06-20 09:43) [15]при продаже одного дистрибутива тебе всё равно один раз придётся сказать пароль, который затем будет лежать в файле password.txt растиражированного дистрибутива
← →
Карелин Артем (2003-06-20 09:43) [16]Danilka © (20.06.03 09:37)
Думаю что справлюсь. По крайней мере я очень близок к этому.
← →
Карелин Артем (2003-06-20 09:45) [17]ЮЮ © (20.06.03 09:43)
Не понял. Прошу обьяснить слабоумному (я о себе).
← →
Danilka (2003-06-20 09:47) [18]Карелин Артем © (20.06.03 09:43)
Если известно имя пользователя которым ходят в базу из программы, то что мешает под этим именем зайти в базу из какого-нибудь другого клиента?
← →
Карелин Артем (2003-06-20 09:56) [19]Имя пользователя им не должно быть известно, оно будет генерироваться в программе. К тому же я планирую сделать нечто вроде одноразового логина на основе особенностей работы FireBird с системными таблицами.
← →
Danilka (2003-06-20 10:15) [20]Думаю, что если в руках профессионала будет база, программа-клиент и список юзеров, то ничто не защитит базу.
Даже для самой суперзащищенной клиентской программы можно анализировать пакеты которыми обменивается клиент с сервером БД.
← →
Карелин Артем (2003-06-20 10:32) [21]Danilka © (20.06.03 10:15)
Не спорю, только стоимость такого взлома может не оправдать себя.
Страницы: 1 вся ветка
Форум: "Базы";
Текущий архив: 2003.07.14;
Скачать: [xml.tar.bz2];
Память: 0.49 MB
Время: 0.009 c
