PDA

Visualizza la versione completa : Criptare una password per accedere ad un DB remoto


Ado987
22-09-2015, 17:35
Salve, gestisco dei siti web su aruba con db MSSQL, e per accedere al loro DB mi hanno fornito un username ed una password.

Al momento, nei moduli asp che hanno accesso al DB, la password scritta in chiaro e sto riflettendo su come criptarla.
Ci sono in giro vari algoritmi "unidirezionali" per farlo, come ad esempio lo sha256, ma il problema che vedo che comunque la password che il db remoto si aspetta quella in chiaro quindi penso che nel mio caso siano inusabili.

Insomma quello che vorrei evitare che qualcuno/qualcosa che acceda alla mia cartella ftp remota possa leggere tra i moduli asp del mio sito la password di accesso al db remoto, c' qualche sistema per fare questo?

Grazie

MItaly
22-09-2015, 20:23
Non possibile farlo. Come dici tu stesso, alla fine al momento della connessione devi fornire utente e password in chiaro*, per cui anche se la recuperi in maniera offuscata basta che chi accede via ftp aggiunga una riga per stamparla da qualche parte subito prima di effettuare la connessione.

* anche se fosse un hash o qualche altro token opaco non servirebbe a niente - per definizione con quel token possibile fare qualunque modifica al DB che l'applicazione deve essere in grado di fare.

Ado987
22-09-2015, 20:44
Innanzitutto ti ringrazio del risposta. In effetti temevo che fosse cos, per mi chiedo: se usassi un algoritmo di criptazione bidirezionale (con una funzione asp in loco che decripta la password on the fly) alla fine non arginerei almeno i malware automatici?

Tradotto in due parole: al posto di fare

pwd=ciccio

Faccio

pwd=decrypt(xxyyzz)

Dove la funzione decrypt definita in loco, eviterebbe ad un qualcosa di non umano di parsare la password?

MItaly
22-09-2015, 22:52
Se il punto difendersi da tool automatici va bene qualunque cosa di leggermente pi sofisticato dall'inserire la stringa direttamente nella connection string (anzi, pi concretamente basta che ci sia su qualunque cosa di diverso da WordPress o altri CMS ultradiffusi); ma comunque per i tool automatici di solito non il DB che interessa (non stanno puntando il tuo sito nello specifico), quanto lo spazio FTP per poter caricare pagine di phishing, exploit o similari.

Ado987
23-09-2015, 15:41
ma comunque per i tool automatici di solito non il DB che interessa

Anche io pensavo qualcosa del genere prima di...

http://forum.html.it/forum/showthread.php?threadid=2930049

:dh:

MItaly
23-09-2015, 16:18
Se hai cambiato tutte le password del caso mi sembra pi probabile che si tratti di SQL injection... se mi giri in privato un link ad un sito magari ci butto un occhio.

Ado987
23-09-2015, 16:42
ti ho scritto in pvt, thanks

Loading