Datu aizsardzība

[aika]

Ir datu bāze (mysql), kas satur personu privātos datus.

Kādi pasākumi būtu jāveic šo datu aizsardzībai (pret sql dampu piemēram).

Db pārvaldei tiek lietots pnpMyAdmin. Viss stāv uz pie hostera uz Unix.

Varbūt ir nepieciešams šifrēt?

[kechums]

md5 + salt

[aika]

cik man zināms md5 ir vienvirziena šifrēšana

[Kemito]

Bet aika kur problēma, ja tā ir VIENVIRZIENA? Prom dabūsi atpakaļ nevaig!

[waplet]

tev tač viņiem paroli uzrāadīt nevajag? bet ja tā ir kkāda informāciju kura jāizvada, tad ar md5 nevar nedrīst kodēt

[marcis]

Cilvēks nevienā brīdī neteica, ka runa ir par parolēm, tika teikts "privātie dati", kas manā izpratnē ir vārds, uzvārds, personas kods (šito vispār tā pat vien nevar glabāt), utt.

[bubu]

Pret SQL dampu var līdzēt tikai drošas sistēmas veidošana. PHP līmenī tas ir aizsardzība pret SQL injekcijām, līkām inklūdēm, eval izteiksmēm. OS līmenī tā ir sekošana softu jaunākām versijām, security updeitiem utml.

 

Šifrēšana tev neko nelīdzēs, ja ļaundaris tiks pie atšifrēšanas koda/parolēm, kuras protams tev tur kautkur būs, ja ar glabājamiem datiem vajag operēt.

 

Reku palasi Alekeseja savāktos linkus par drošību: http://php.lv/f/topic/14308-dokumentipamacibas-par-php-un-web-aplikaciju-drosibu/

[Grey_Wolf]

ir vārds, uzvārds, personas kods (šito vispār tā pat vien nevar glabāt),

var gan , neviens neliedz Uzkrat Personas Privatos datus, Ja pati persona tam devusi piekrisanu.

Nedriks Vinjus Izplatiit, nodot tresajam personam, bez personas piekrisanas.

 

Vislabakais Ir Uzturet pasam savu DB serveri, ja tas nav iespejams tad

 

1. Parliecinates par Hostetaja Droshumu un peiredzi, labs hostings pienaciigi arii maksa, ar to jarekjinas

2. Noslegt Papildus ligumu, kur paredzet darbiibas ja dati tomer 'nopluudiis'

 

P.S.

par tam tresajam personam vispar ir Stipri intresanti, jo Ljoti daudzas firmas to brutali prkapj, Nododot Tavus datus citiam firmam. Piemeram ja Nesamaksa kadu rekjinu tad dati tiek nodoti PRIVATAM paradu piedzinjas kantorim, aks tos Veikli saglabaa Db

aa kaa tiri Teoretiski shadas firmas var iesudzet tiesa , preciizak ja vinji iesudz tevi tiesa tad Shis ir Ljoti Speciigs arguments :)

Edited August 30, 2009 by Grey_Wolf

[aika]

Pret SQL dampu var līdzēt tikai drošas sistēmas veidošana. PHP līmenī tas ir aizsardzība pret SQL injekcijām, līkām inklūdēm, eval izteiksmēm. OS līmenī tā ir sekošana softu jaunākām versijām, security updeitiem utml.

 

Šifrēšana tev neko nelīdzēs, ja ļaundaris tiks pie atšifrēšanas koda/parolēm, kuras protams tev tur kautkur būs, ja ar glabājamiem datiem vajag operēt.

 

Reku palasi Alekeseja savāktos linkus par drošību: http://php.lv/f/topic/14308-dokumentipamacibas-par-php-un-web-aplikaciju-drosibu/

nu pret inklūdiem un injekcijām esmu nodrošinājies...

linkus palasīšu

[krikulis]

PHP tauta ir diezgan slinka apgūt PDO un prepared statementus, kas eliminē SQL injekcijas pilnībā.

Tā vietā lietā archaisko mysql extensiju un izklaidējas ar manuālu datu eskeipošanu.

[marcis]

var gan , neviens neliedz Uzkrat Personas Privatos datus, Ja pati persona tam devusi piekrisanu.

Nepārzinu tik labi likumus, zinu tikai tik daudz, cik savas prakses laikā esmu pieredzējis.

Fakts ir tāds, ka palūdza mums neglabāt personas kodu (interneta veikalam, līzinga noformēšanai), jo to vienkārši nedrīkstot darīt.

[Grey_Wolf]

marcis --> Un kaa juus glabajat Liigumus?? Vai tos pa taisno Miskastee??

Tur atchu ir visa Peronas informacija, Vards Uzvards, personas kods, Dzivesvieats adrese, etc cita infa..

:)

[marcis]

Klients internetā aizpilda formu, kurā ievadītie dati tika saglabāti datubāzē.

[Grey_Wolf]

marcis --> ja to nedriksteetu dariit, tad NEVIENA privata struktura to nedriksteetu. Bet kaa visim labi zinams daudzas lielas kompanijas to dara. Piemeram visi sakaru operatori, lielveikali ( atlaizju/pirceju kartes) utt..

Vieniegi Shada veida Db IR JAREGISTRE. tas arii viss...

---

[Aleksejs]

Viens no relatīvi vienkāršiem, bet pietiekami efektīviem variantiem. Pieņemsim, ka tā tabula saucas Personas. Šai tabulai web-aplikācijā izmantotajam DB lietotājam ļaujam darboties ar šo tabulu tikai izmantojot "Stored procedure" - MySQL gadījumā Stored Procedure var piešķirt tiesības izpildīt to ar izveidotāja tiesībām, līdz ar to lietotājam pa taisno izpildīt brīvi izvēlētus vaicājumus pret tabulu ir liegts, taču visas darbības, kas nepieciešamas, šis lietotājs var izdarīt. Visticamāk, ka web aplikācijai ir tikai jāvar ievietot datus DB, bet klienta personas datus tai nemaz nav jāvar nolasīt, līdz ar to piešķiram web-aplikācijas lietotājam tikai tās minimālās tiesības (tikai uz tām stored procedures), kuras ļauj ievietot klienta informāciju.

 

Atkarībā no servera konfigurācijas, var DB tabulas šifrēt ar OS līdzekļiem, Failu sistēmas līdzekļiem, DBVS līdzekļiem. Laukus papildus var šifrēt ar DBVS līdzekļiem (piemēram, AES_ENCRYPT()) vai web-aplikācijas līdzekļiem. Izvēloties šifrēšanu, ir rūpīgi jāizdomā un jānotestē gadījumi, kad kāda no komponentēm nekorekti beidz darbu, jo dažādu šifrēšanas līdzekļu kombinācija var novest pie datu neatjaunojamības.