* Re: [room] доступ к БД из вне - секюрность
2007-04-19 5:19 [room] доступ к БД из вне - секюрность Serge
@ 2007-04-19 5:25 ` Dmitriy L. Kruglikov
2007-04-19 6:18 ` Maxim Tyurin
` (2 subsequent siblings)
3 siblings, 0 replies; 8+ messages in thread
From: Dmitriy L. Kruglikov @ 2007-04-19 5:25 UTC (permalink / raw)
To: культурный
офтопик
На календаре было: Четверг, 19 Апрель 2007 года,
Serge писал(а) в сообщении:
S == Serge
S> Нужно реализовать доступ к этой БД из вне, одновременно обезпечивая
S> безопасность контента от деструктивных действий (несанкционированного
S> доступа).
Только идеи...
Первое, что приходит в голову - проброс порта сервера БД поверх SSH.
Второе - организация VPN.
Более четких рекомендаций дать не могу, так как не тестировал.
--
Best regards,
Dmitriy L. Kruglikov .--.
Dmitriy.Kruglikov_at_gmail_dot_com |@_@ |
DKR6-RIPE |!_/ |
XMPP:dkr6@jabber.ru // \ \
(| | )
/'\_ _/`\
Powered by Linux \___)=(___/
-- Мысль --
Поджечь дом, чтобы поджарить себе яичницу, - в характере эгоиста.
-- Ф.Бэкон
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [room] доступ к БД из вне - секюрность
2007-04-19 5:19 [room] доступ к БД из вне - секюрность Serge
2007-04-19 5:25 ` Dmitriy L. Kruglikov
@ 2007-04-19 6:18 ` Maxim Tyurin
2007-04-19 7:32 ` Serge
2007-04-19 18:01 ` Anton Gorlov
2007-04-20 5:07 ` Eugene Prokopiev
3 siblings, 1 reply; 8+ messages in thread
From: Maxim Tyurin @ 2007-04-19 6:18 UTC (permalink / raw)
To: культурный
офтопик
Serge writes:
> Возникла такая проблемма:
> Есть распределенная БД. Контент в этой БД очЕнь важный.
> Нужно реализовать доступ к этой БД из вне, одновременно обезпечивая
> безопасность контента от деструктивных действий (несанкционированного
> доступа).
> Вопрос:
> 1) Какими средствами можно организовать доступ к БД из вне
> (пока в голову приходит организовать какой то web интерфейс)
> 2) Какими средствами можно реализовать защиту контента БД при доступе из вне
>
> Может быть кто то реализовывал что то подобное. Мне интерестно будет услышать
> любое Ваше мнение и рекомендации по моему вопросу.
> Заранее благодарен за ответ.
Если web-морды хватит то использовать ее.
В самой web-морде и сделать проверки на деструктивные действия.
Если не хватит - тогда писать трехзвенку. У себя держать сервер
приложений который работает с базой и обслуживает запросы клиентов.
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
___
/ _ )__ _____ ___ ____ _______ _____
/ _ / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/ \_,_/___/
/___/
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [room] доступ к БД из вне - секюрность
2007-04-19 6:18 ` Maxim Tyurin
@ 2007-04-19 7:32 ` Serge
2007-04-19 8:28 ` Aleksey Avdeev
2007-04-19 8:35 ` Денис Смирнов
0 siblings, 2 replies; 8+ messages in thread
From: Serge @ 2007-04-19 7:32 UTC (permalink / raw)
To: культурный
офтопик
> Если web-морды хватит то использовать ее.
> В самой web-морде и сделать проверки на деструктивные действия.
> Если не хватит - тогда писать трехзвенку. У себя держать сервер
> приложений который работает с базой и обслуживает запросы клиентов.
в принципе web морды хватит. Только на что обращать внимание при проверки на
диструктивные действия?
Если я прикручу SSL + сертификаты можно ли мне сказать с уверенностью что
данные защищены из инета?
есть ли в природе примеры реализация такого?
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [room] доступ к БД из вне - секюрность
2007-04-19 7:32 ` Serge
@ 2007-04-19 8:28 ` Aleksey Avdeev
2007-04-19 8:35 ` Денис Смирнов
1 sibling, 0 replies; 8+ messages in thread
From: Aleksey Avdeev @ 2007-04-19 8:28 UTC (permalink / raw)
To: культурный
офтопик
[-- Attachment #1: Type: text/plain, Size: 812 bytes --]
Serge пишет:
>> Если web-морды хватит то использовать ее.
>> В самой web-морде и сделать проверки на деструктивные действия.
>> Если не хватит - тогда писать трехзвенку. У себя держать сервер
>> приложений который работает с базой и обслуживает запросы клиентов.
> в принципе web морды хватит. Только на что обращать внимание при проверки на
> диструктивные действия?
> Если я прикручу SSL + сертификаты можно ли мне сказать с уверенностью что
> данные защищены из инета?
Нет.
Надо ещё гарантировать что все запросы пользователей корректны: есть
целый класс атак, позволяющий получить доступ к содержимому БД спомощью
ввода не совсем корректных данных в веб форму. (Классика жанра --
применение "'".)
> есть ли в природе примеры реализация такого?
--
С уважением. Алексей.
[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 481 bytes --]
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [room] доступ к БД из вне - секюрность
2007-04-19 7:32 ` Serge
2007-04-19 8:28 ` Aleksey Avdeev
@ 2007-04-19 8:35 ` Денис Смирнов
1 sibling, 0 replies; 8+ messages in thread
From: Денис Смирнов @ 2007-04-19 8:35 UTC (permalink / raw)
To: культурный
офтопик
On Thu, Apr 19, 2007 at 10:32:35AM +0300, Serge wrote:
S> Если я прикручу SSL + сертификаты можно ли мне сказать с уверенностью что
S> данные защищены из инета?
С полной уверенностью это можно будет сказать после того как сервер будет
выключен :(
S> есть ли в природе примеры реализация такого?
Почти любой web-проект в той или иной степени реализует именно это.
Основное пожелание -- для web-интерфейса использовать perl с его DBI
вместо PHP. Если нет хороших навыков в написании секьюрного кода, то по
крайней мере часть уязвимостей это срежет. Но в любом случае необходимо
все данные переданые пользователем проверять на корректность и
допустимость.
--
С уважением, Денис
http://freesource.info
----------------------------------------------------------------------------
<Fred^> но вот свистеть на 9600 ща уже разучились...
<Fred^> не тот админ пошел... :)
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [room] доступ к БД из вне - секюрность
2007-04-19 5:19 [room] доступ к БД из вне - секюрность Serge
2007-04-19 5:25 ` Dmitriy L. Kruglikov
2007-04-19 6:18 ` Maxim Tyurin
@ 2007-04-19 18:01 ` Anton Gorlov
2007-04-20 5:07 ` Eugene Prokopiev
3 siblings, 0 replies; 8+ messages in thread
From: Anton Gorlov @ 2007-04-19 18:01 UTC (permalink / raw)
To: культурный
офтопик
Serge пишет:
> 1) Какими средствами можно организовать доступ к БД из вне
> (пока в голову приходит организовать какой то web интерфейс)
> 2) Какими средствами можно реализовать защиту контента БД при доступе из вне
> Может быть кто то реализовывал что то подобное. Мне интерестно будет услышать
> любое Ваше мнение и рекомендации по моему вопросу.
> Заранее благодарен за ответ.
ipsec или прочие впн.
--
np: silence
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [room] доступ к БД из вне - секюрность
2007-04-19 5:19 [room] доступ к БД из вне - секюрность Serge
` (2 preceding siblings ...)
2007-04-19 18:01 ` Anton Gorlov
@ 2007-04-20 5:07 ` Eugene Prokopiev
3 siblings, 0 replies; 8+ messages in thread
From: Eugene Prokopiev @ 2007-04-20 5:07 UTC (permalink / raw)
To: культурный
офтопик
Serge пишет:
> Возникла такая проблемма:
> Есть распределенная БД. Контент в этой БД очЕнь важный.
> Нужно реализовать доступ к этой БД из вне, одновременно обезпечивая
> безопасность контента от деструктивных действий (несанкционированного
> доступа).
> Вопрос:
> 1) Какими средствами можно организовать доступ к БД из вне
> (пока в голову приходит организовать какой то web интерфейс)
> 2) Какими средствами можно реализовать защиту контента БД при доступе из вне
>
> Может быть кто то реализовывал что то подобное. Мне интерестно будет услышать
> любое Ваше мнение и рекомендации по моему вопросу.
> Заранее благодарен за ответ.
Пользователи БД знают, что такое SQL? ;)
Если нет (либо это знание им не нужно), то писать/использовать
какую-либо морду к БД (не обязательно web) необходимо в любом случае,
даже если удаленного доступа не предполагается. Если морда все-таки web,
достаточно будет ssl + нормально ее написать, защитившись от sql
injection и т.д. Если не web, то нормально писать нужно все равно, но
шифровать придется левыми средствами (ssh, vpn, ...)
Если пользователи знают о SQL, то нужно попробовать использовать
средства СУБД (например, многие умеют ssl), а если не выйдет, то
использовать левые средства.
--
С уважением, Прокопьев Евгений
^ permalink raw reply [flat|nested] 8+ messages in thread