Modo sicuro per archiviare le impostazioni dell'applicazione

Naviga le tue risposte
3

Che cos'è un modo corretto o, se possibile, il migliore per archiviare la configurazione in materia di sicurezza?

Finora posso dire che un database con accesso molto limitato è un buon modo, ma per il momento escludiamo il database. Sto parlando di cose come i file delle proprietà crittografate. Poiché questo è già un suggerimento, vorrei anche sapere qualcosa come errori comuni o cose che devo assolutamente ricordare per acquisire una configurazione sicura. Ci sono già discussioni correlate su "il modo migliore per archiviare la configurazione", tuttavia non sono stato in grado di trovare qualcosa che si concentri sulla sicurezza.

L'applicazione viene eseguita non distribuita su una macchina host, quindi la configurazione viene archiviata sul sistema locale. L'applicazione è, per così dire, una singola applicazione utente. Stiamo parlando di qualcosa come un firewall software per essere concreto. In realtà sto pensando a impostazioni con ambito applicativo. Ho bisogno di protezione dei dati in un senso di privacy (non voglio esporre funzionalità e configurazione) e integrità. Non ho paura di un insider (admin) ma più di intrusi.

Ho già chiesto questa domanda su stackoverflow ma penso che sia più opportuno chiedercelo qui Eliminerò il post StackOverflow in modo tempestivo.

    
posta user2504380 22.09.2014 - 10:40
fonte

2 risposte

1

Ok, quindi se un hacker entra nel tuo sistema vuoi impedirgli di vedere le configurazioni? Secondo la logica, IMO questo non è possibile. L'applicazione deve leggere la configurazione e deve memorizzare i valori di configurazione nella memoria. L'hacker con privilegi di root può sempre scaricare la memoria e ricostruire la configurazione (se l'applicazione è in esecuzione).

Tuttavia, puoi renderlo più difficile per lui. Ad esempio, è possibile mantenere la configurazione crittografata. L'applicazione chiede la password all'avvio e usa la password per decrittografare la configurazione. Tuttavia, posso immaginare, questo potrebbe essere abbastanza fastidioso per gli amministratori di sistema; -)

    
risposta data 22.09.2014 - 15:06
fonte
1

Puoi proteggerci dagli attacchi di snooping e causali. Ma armati con una copia di IDA Pro quasi tutto può essere fatto.

Questo è simile ai problemi che devono affrontare le soluzioni di protezione dalla copia e di gestione delle licenze. E una rapida occhiata su un sito torrent ti dirà quanto è complicato. Un hacker esperto e motivato con accesso al tuo file di configurazione e al codice può quasi sempre ottenere l'accesso.

Non parli molto del tipo di dati. Ma se vuoi avere una reale sicurezza nella protezione dei dati, cercherò di spostarlo su un altro sistema e non di avere l'accesso alla macchina locale o di leggere i dati in qualsiasi momento.

Spiega un po 'di più sui dati e l'ambiente e perfezionerò la risposta un po', perché ci sono soluzioni che si applicano a situazioni particolari.

Ad esempio, un caso tipico in cui questo è un problema è dove un'app desktop ha bisogno di una password super-segreta per un server di back-end. In questo caso, la soluzione corretta consiste nel riprogettare il back-end con account individuali (e altri controlli).

Un altro esempio è dove c'è una password di accesso utente locale. In questo caso la soluzione giusta è probabilmente un hash a senso unico.

Negli altri casi, il modulo della piattaforma affidabile o una soluzione hardware sono appropriati ( link )

    
risposta data 07.01.2015 - 21:38
fonte

Leggi altre domande sui tag

Login fallito a distanza ravvicinata in auth.log Trasmettere indirettamente server intranet al mondo esterno