Гость
Map
Форумы / Вопросы по форуму [закрыт для гостей] / Шифрование персональных данных в форуме / 11 сообщений из 11, страница 1 из 1
27.04.2022, 12:20
    #23730
basename
basename 
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Шифрование персональных данных в форуме
Программизд 02

Деда, вот ты шифруешь пароль пользака и в БД лежит его хэш. При этом, важен не только хэш, но ещё секретный ключ, которым ты шифруешь и который если потерять, пользак не залогинится.

А почему бы не шифровать:
- логины
- мыла
- и даже личные сообщения

В этом случае, можно безопасно выкладывать дамп, в котором персональные данные без мастер ключа Дефекатор не расшифрует. Но допустим, при подхвате флага новым одменом, прежний одмен передаёт дамп и мастер ключ новому ответственному одмену и тот накатывает. Понятно, что в любом случае новый одмен получает доступ к данным, но расшифровка какой-то лички мастер ключом - это уже не просто select из БД

кроме того, можно делать комбинации, пользовательский мастер ключ состоит из основного мастер ключа и куска, допустим, логина пользака. ну что-то в этом роде. То есть, пароль у тебя шифруется необратимо неким ключом, ведь так? логин тоже можно шифровать необратимо. если пользак логин забыл, ну блин, извините. Личку можно шифровать куском основного ключа плюс хэшом логина. В этом случае, можно свободно выкладывать даже дамп с основным ключом.

Ну как-то примерно так
...
Рейтинг: 0 / 0
27.04.2022, 12:49
    #23740
Горбатый ёж
Модератор форума
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Шифрование персональных данных в форуме
basename [игнорируется] 

Тебя за организацию даркнета посадят, а ты товарищу майору жизнь не усложняй!
...
Рейтинг: 0 / 0
27.04.2022, 15:17
    #23789
PaNik
PaNik Привилегированный пользователь
Участник
[игнорирует гостей]
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Шифрование персональных данных в форуме
Пошэгей пароли к геетанкам вообще хранит в открытом виде
...
Рейтинг: 0 / 0
27.04.2022, 15:28
    #23791
basename
basename 
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Шифрование персональных данных в форуме
basename  27.04.2022, 12:20
[игнорируется]
Программизд 02

Деда, вот ты шифруешь пароль пользака и в БД лежит его хэш. При этом, важен не только хэш, но ещё секретный ключ, которым ты шифруешь и который если потерять, пользак не залогинится.

А почему бы не шифровать:
- логины
- мыла
- и даже личные сообщения

В этом случае, можно безопасно выкладывать дамп, в котором персональные данные без мастер ключа Дефекатор не расшифрует. Но допустим, при подхвате флага новым одменом, прежний одмен передаёт дамп и мастер ключ новому ответственному одмену и тот накатывает. Понятно, что в любом случае новый одмен получает доступ к данным, но расшифровка какой-то лички мастер ключом - это уже не просто select из БД

кроме того, можно делать комбинации, пользовательский мастер ключ состоит из основного мастер ключа и куска, допустим, логина пользака. ну что-то в этом роде. То есть, пароль у тебя шифруется необратимо неким ключом, ведь так? логин тоже можно шифровать необратимо. если пользак логин забыл, ну блин, извините. Личку можно шифровать куском основного ключа плюс хэшом логина. В этом случае, можно свободно выкладывать даже дамп с основным ключом.

Ну как-то примерно так
Ну то есть у тебя должно быть два необратимо зашифрованных значения логин и пароль, а личка и мыло шифруются основным мастер ключом+хэшом или куском хэша логина. Всё. не надо ничего вычищать. Просто выкладываешь для скачки дамп + salt key
...
Рейтинг: 0 / 0
27.04.2022, 16:04
    #23807
Программизд 02
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Шифрование персональных данных в форуме
basename [игнорируется] 

Хэш однонаправленный для пароля. В принципе логин можно было бы им хэшировать.

Для мейла и личных сообщений нужно хэширование с возможностью дешифрации по ключу. Но в этом не вижу большого смысла.

- Админ владеет и ключом/солью и если приложение может дешифровать, то и админ сможет.
- Если например у Гарына Пашэ спиздит логин/пароль, то шифрование не защитит личку, пашэ зайдет под горыном и прочитает личку так, как если бы зашел сам горын.
Цитата 
[игнорируется]
В этом случае, можно безопасно выкладывать дамп, в котором персональные данные без мастер ключа Дефекатор не расшифрует.
Я могу дать тебе скрипт для очистки базы для публичного выкладывания.
...
Рейтинг: 0 / 0
27.04.2022, 16:05
    #23808
Программизд 02
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Шифрование персональных данных в форуме
Горбатый ёж  27.04.2022, 12:49
[игнорируется]
basename [игнорируется] 

Тебя за организацию даркнета посадят, а ты товарищу майору жизнь не усложняй!
Майору можно было бы предоставить ключ который на сервере будет. А вот если сделать обмен ключом для личной переписки между клиентами минуя сервер, то да, это бы жизнь усложнило.
...
Рейтинг: 0 / 0
27.04.2022, 19:06
    #23893
Горбатый ёж
Модератор форума
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Шифрование персональных данных в форуме
Программизд 02  27.04.2022, 16:05
[игнорируется]
Майору можно было бы предоставить
Нужно.
Превентивно.
Время такое, неспокойное.
...
Рейтинг: 0 / 0
28.04.2022, 00:54
    #24073
папа акуз
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Шифрование персональных данных в форуме
вообщето, деда все пароли собирает в блокнотег... всем же известно, что айтишники заёбываются 100500 паролей держать и юзают один и тот же пароль для пт и для входа в интернет банк... а как выдумаете деда столько времни форум тянул? ну... прибанит пяток кракнутых мемберов... зато остальные не в накладе.
...
Рейтинг: 0 / 0
28.04.2022, 09:17
    #24141
basename
basename 
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Шифрование персональных данных в форуме
Программизд 02  27.04.2022, 16:04
[игнорируется]
basename [игнорируется] 

Хэш однонаправленный для пароля. В принципе логин можно было бы им хэшировать.

Для мейла и личных сообщений нужно хэширование с возможностью дешифрации по ключу. Но в этом не вижу большого смысла.

- Админ владеет и ключом/солью и если приложение может дешифровать, то и админ сможет.
- Если например у Гарына Пашэ спиздит логин/пароль, то шифрование не защитит личку, пашэ зайдет под горыном и прочитает личку так, как если бы зашел сам горын.
Цитата 
[игнорируется]
В этом случае, можно безопасно выкладывать дамп, в котором персональные данные без мастер ключа Дефекатор не расшифрует.
Я могу дать тебе скрипт для очистки базы для публичного выкладывания.
я как раз имел в виду, что логин и пароль шифруются необратимо мастер ключом, а клчю для расшифровки личной переписки и мыла состоит из мастерключа+логин пользователя, например, то есть, знать только мастер ключ недостаточно и админ не сможет прочитать.

Если Пашэ украдёт пароль Гарыныча и у него он везде один, то Пашэ сравнительно легко попадёт и в другие сервсиы. Так что случай с кражей рассматривать смысла нет, тут только двусторонняя аутентификация может помочь.

За скриптом и инструкцией по восстановлению (у тебя была вроде) позже обращусь, пока всё-равно другим занят да и выкладывать нечего особо.
...
Рейтинг: 0 / 0
28.04.2022, 09:18
    #24142
basename
basename 
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Шифрование персональных данных в форуме
папа акуз  28.04.2022, 00:54
[игнорируется]
вообщето, деда все пароли собирает в блокнотег... всем же известно, что айтишники заёбываются 100500 паролей держать и юзают один и тот же пароль для пт и для входа в интернет банк... а как выдумаете деда столько времни форум тянул? ну... прибанит пяток кракнутых мемберов... зато остальные не в накладе.
у меня для всего разные пароли и весьма длинные и сложные
...
Рейтинг: 0 / 0
Период между сообщениями больше года.
03.05.2023, 20:12
    #379752
xevexan
Участник
[заблокирован]
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Шифрование персональных данных в форуме
Картинка
https://chrome.google.com/webstore/detail/nosqlru-mod/clgebcoblohaclokpfbnmmiacjjhcdmo?hl=ru

подробности шифрования есть в теме расширения
даже если паше получит пароль гарына, без ключа, который хранится только у гарына, паше ничего ниасилит прочитать
...
Изменено: 03.05.2023, 20:17 - xevexan
Рейтинг: 1 / 0
Нравится: Гарыныч
Форумы / Вопросы по форуму [закрыт для гостей] / Шифрование персональных данных в форуме / 11 сообщений из 11, страница 1 из 1
Целевая тема:
Создать новую тему:
Автор:
Найденые пользователи ...
Разблокировать пользователей ...
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]