ওয়েব অ্যাপ্লিকেশনগুলির জন্য এসকিউএল সার্ভার অ্যাক্সেসের জন্য কি ইন্টিগ্রেটেড সিকিউরিটি (এসএসপিআই) ব্যবহার করা ভাল?

13

কোনও প্রোডাক্ট পরিবেশে ওয়েব অ্যাপ্লিকেশনগুলি (। নেট) মোতায়েন করার সময়, সংহত সুরক্ষা ব্যবহার করা কি ভাল বা এটি কী গুরুত্বপূর্ণ?

আমার কাছে মনে হয় যে কোনও হ্যাকার যদি ওয়েব সার্ভারটি ভেঙে দেয় তবে তারা মেশিনটিকে সহজেই ছদ্মবেশে ফেলতে পারে বলে এগুলি আসলেই আসবে না।

থটস?

sql-server  security  web-applications 
আমি না
সূত্র
এখানে অনেক ভাল উত্তর আছে; এটি একটি বিজয়ী বাছাই কঠিন ছিল। সবাইকে ধন্যবাদ.
নোটমে

উত্তর:

8

আমি বলতে চাই এসকিউএল প্রমাণীকরণের দুটি বৈধ কারণ রয়েছে:

  1. আপনি ডোমেনের বাইরে থেকে সংযোগ করছেন, তাই সংহত লেখক।
  2. আপনি একটি টিপিসি-সি মাপদণ্ড চালাচ্ছেন এবং প্রতিটি চক্র গণনা করা হচ্ছে। এসকিউএল লেখক একটি সামান্য বিট দ্রুত।

আপনি যে দৃশ্যের প্রস্তাব দিচ্ছেন তার জন্য (ওয়েব সার্ভার হোস্টটি সম্পূর্ণ আপোস করেছে) কিছুই আপনাকে রক্ষা করতে পারে না। হ্যাকার ডিবি সার্ভারে ওয়েব সার্ভারের সর্বনিম্ন যা কিছু করতে পারে তা করতে পারে । এবং আমি বলব যে গভীরতার সাথে প্রতিরক্ষা আপনাকে এ জাতীয় ক্ষতি হ্রাস করতে শেখাতে পারে: আপনার ওয়েব সার্ভার দ্বারা ব্যবহৃত অ্যাকাউন্টের ডিবি অধিকারগুলি একেবারে ন্যূনতম প্রয়োজনীয় এবং আরও কিছু না হ্রাস করুন। দ্বিতীয়টি নিশ্চিত করুন যে ওয়েব সার্ভার হোস্টটি আপোস করা থাকলে এটি ওয়েব সার্ভার অ্যাকাউন্টের চেয়ে উচ্চতর সুবিধাগুলি উন্নত করতে ব্যবহার করা যাবে না (যেমন ডাব্লুডাব্লুডাব্লু হোস্টে অন্য কোনও পরিষেবা নেই যা ডাব্লুডাব্লুডাব্লু অ্যাকাউন্টের চেয়ে ডিবিতে উচ্চতর সুবিধাগুলি সহ শংসাপত্র ব্যবহার করে)। এগুলি মৌলিক সুরক্ষা নীতিগুলি এবং ব্যবহৃত প্রমাণীকরণ স্কিমের সাথে তাদের কোনও সম্পর্ক নেই।

উইকিপিডিয়ায় স্কুয়েল লেখক বনাম আপনার দৃশ্যে কোনও সুস্পষ্ট সুবিধা দেয় না, তবে অন্যান্য বিষয়গুলি বিবেচনা করতে হবে:

  1. কেন্দ্রীভূত নীতি প্রয়োগকরণ: আপনার পাসওয়ার্ড নীতিগুলি সেট আপ করার জন্য আপনার কাছে এক জায়গা রয়েছে, পাসওয়ার্ডের আজীবন এবং মেয়াদোত্তীকরণ, অ্যাকাউন্ট সমাপ্তি ইত্যাদি including
  2. ছদ্মবেশ ধারণ এবং বিশ্বাসের প্রতিনিধি উপর নিয়ন্ত্রণ। একবার বিশ্বস্ত প্রতিনিধি চেইনে বর্গক্ষেত্রের লেখাগুলি ব্যবহার করা হয়ে গেলে, সমস্ত বেট বন্ধ হয়ে যায় কারণ এটি বাস্তব 'প্রতিনিধি' নয় এবং সুতরাং আপনার নীতিগুলি আরোপিত বিধিনিষেধের অধীনে আর থাকবে না
  3. নিরীক্ষণ: বর্গক্ষেত্রের লেখক এমনকি আপনার এলএসএ দ্বারা দেখা যায় না তাই আপনার সম্পূর্ণ নিরীক্ষণের অবকাঠামো সহজভাবে বাইপাস করা যায়। এসকিউএল রচনাগুলি এসকিউএল প্রমাণীকরণের ইভেন্টগুলি সম্পর্কে আপনার স্পষ্টভাবে সংযোজন করতে হবে তবে অ্যাপল এবং কমলাগুলিকে মিশ্রণ করা হচ্ছে কারণ ইভেন্টগুলির লগে ইভেন্টগুলির লোগাতে বিভিন্ন উত্স, সরবরাহকারী এবং স্কিমা রয়েছে app

একটি সর্বশেষ নোট: টিডিএস প্রোটোকল ট্র্যাফিকের উপর স্পষ্ট পাঠ্যে বর্গক্ষেত্রের পাসওয়ার্ড উন্মোচিত করে, তবে সাধারণত ট্র্যাফিকের এসএসএল এনক্রিপশনের অনুরোধ করে এটি প্রশমিত করা হয়।

সুতরাং আপনি এখনও কেন স্কিল অথথকে দেখেন ডাব্লুডাব্লুডাব্লু হোস্ট করে সেই স্টোরের পাসওয়ার্ডটি ওয়েবকনফাইগে পরিষ্কার আছে? এগুলি খারাপ বিকাশকারী / অ্যাডমিনগুলি, তাদের মধ্যে একটিও হবেন না।

msdn.microsoft.com/en-us/library/aa378326(VS.85).aspx

technet.microsoft.com/en-us/library/ms189067.aspx

রিমাস রুসানু
সূত্র
6

আপনি যদি এসএসপিআই ব্যবহার না করেন তবে আপনি উত্স ফাইলগুলিতে ব্যবহারকারীর নাম এবং পাসওয়ার্ড হার্ডকোড করছেন।

যদি আপনি উত্স ফাইলগুলিতে ব্যবহারকারীর নাম এবং পাসওয়ার্ড হার্ডকোডিং করেন তবে আপনার সমস্ত কর্মচারীর এতে অ্যাক্সেস রয়েছে।

এটি তুলনামূলকভাবে নিরাপত্তাহীন। একজন অসন্তুষ্ট প্রাক্তন কর্মচারী তথ্যটিকে দূষিতভাবে ব্যবহার করতে পারেন। কোনও দর্শক কোনও স্ক্রিনে কোথাও কোথাও কোডটি দেখতে পাবে। অথবা উত্স কোডটি দুর্ঘটনাক্রমে বন্যের মধ্যে চলে যেতে পারে।

এসএসপিআইয়ের সুবিধা হ'ল পাসওয়ার্ডটি কখনই পরিষ্কারের কোথাও সংরক্ষণ করা হয় না।

জোয়েল স্পলস্কি
সূত্র
সত্য হলেও, অসন্তুষ্ট কর্মচারী কেবল একটি ওয়েব পৃষ্ঠা ইনস্টল করতে পারে যা এসএসপিআই সংযোগটি ব্যবহার করে। যা নিজে পাসওয়ার্ড অ্যাক্সেস করার মতোই খারাপ ...
নোটমে
1
একজন অসন্তুষ্ট প্রাক্তন কর্মচারীর আর অ্যাক্সেস থাকবে না, যেহেতু তার পাসওয়ার্ডটি অক্ষম করা হত
জোয়েল স্পলস্কি
6

এখনও পর্যন্ত অন্যান্য উত্তরগুলি ভাল ছিল, তবে আমি অন্য একটিটিতে ফেলে দেব: পরিচালনা।

যত তাড়াতাড়ি বা পরে, আপনি সম্ভবত একাধিক এসকিউএল সার্ভারের সাথে শেষ করতে চলেছেন। আপনার অ্যাপ্লিকেশন এবং একাধিক এসকিউএল সার্ভারের মধ্যে এসকিউএল প্রমাণীকরণ পরিচালনা করা কিছুটা বেদনাদায়ক হয়ে উঠবে, বিশেষত যখন আপনি সুরক্ষা সমস্যাগুলিতে চলে যান। আপনি যদি একবার উইন্ডোজ প্রমাণীকরণের পাসওয়ার্ড পরিবর্তন করেন তবে এটি সরাসরি আপনার সমস্ত সার্ভারে পরিবর্তিত হয়। আপনার যদি আপনার এসকিউএল প্রমাণীকরণের পাসওয়ার্ডগুলি ঘোরানোর দরকার হয় তবে এটি আরও বেদনাদায়ক - এমন বিন্দুতে যেখানে আপনি সম্ভবত এটি একেবারেই করবেন না। এটি একটি সুরক্ষা ঝুঁকি।

ব্রেন্ট ওজার
সূত্র
কর্মী প্রক্রিয়া পরিচয়ের জন্য অবশ্যই আপনাকে প্রতিটি ওয়েব সার্ভারে পাসওয়ার্ড পরিবর্তন করতে হবে? এটি একটি কনফিগার ফাইল পরিবর্তনের চেয়ে স্বয়ংক্রিয়ভাবে কঠিন বলে মনে হচ্ছে। এই দিনগুলিতে, আমার সমস্ত পছন্দ স্বয়ংক্রিয়তার স্বাচ্ছন্দ্যের উপর ভিত্তি করে।
লুক পুপলেট
2

আমি এখানে 100% নিশ্চিত নই, তবে আমি মনে করি যে মূল বক্তব্যটি এসকিউএল লেখকটি অনিরাপদ, তাই উইন্ডোজ লেখাকে ব্যবহার করা আরও ভাল। আপনার অ্যাপটি কীভাবে সেটআপ করা হয়েছে তার উপর নির্ভর করে আপনি উইন্ডোজ আথ ব্যবহার করে মেশিনে একটি এনক্রিপ্ট করা আকারে সঠিক শংসাপত্রগুলিও সংরক্ষণ করতে পারেন। আমি মনে করি না এসকিউএল লেখার মাধ্যমে এটি সত্যই সম্ভব। আপনি এটিকে অবহেলা করতে পারেন, তবে শেষ পর্যন্ত এটি অবশ্যই স্পষ্ট হওয়া উচিত।

এছাড়াও, হ্যাকার কোনও সার্ভারে প্রবেশ করতে পারে বলেই এটি শেষ হয় না game একটি হ্যাকার একটি অনিবদ্ধ প্রক্রিয়া নিয়ন্ত্রণ পেতে পারে তবে সার্ভারে অন্য কিছু না করে। এ কারণেই প্রশাসক বা সিস্টেম হিসাবে সমস্ত কিছু চালানো গুরুত্বপূর্ণ নয়, পরিবর্তে ন্যূনতম সুবিধা পরিষেবা অ্যাকাউন্টগুলি ব্যবহার করা।

Diq
সূত্র
1

সবচেয়ে ভাল কাজ হ'ল তারা / যখন ওয়েব সার্ভারে প্রবেশ করে তখন তারা কী করতে পারে তা সীমাবদ্ধ করে দেওয়া। এর অর্থ অ্যাপ্লিকেশনটির কাজ করার জন্য প্রয়োজনীয় এসকিউএল অধিকারগুলি প্রদান করা। অ্যাপ্লিকেশনটিকে ডিবিওর অধিকার দেওয়া আরও সহজ, তবে এটি ওয়েবসভারে সফল আক্রমণ হওয়ার ক্ষেত্রে তাকে ডিবি আরও বেশি দুর্বল করে তোলে।

কেভিন কলবি
সূত্র
1

আমি এই বলে আমি এই ধারণাটি করে যাচ্ছি যে আপনি অভ্যন্তরীণ ব্যক্তিগত নেটওয়ার্কের অভ্যন্তরীণ ওয়েব সার্ভারের বিষয়ে কথা বলছেন।

আসুন মেশিনটি ছদ্মবেশে শুরু করি। যদি অ্যাপ্লিকেশন পুল পরিচয়টি নেটওয়ার্ক পরিষেবা হয় এবং। নেট অ্যাপ্লিকেশনটিতে কোনও ছদ্মবেশ নেই, তবে হ্যাঁ, ওয়েব অ্যাপ্লিকেশনটি মেশিনের কম্পিউটার অ্যাকাউন্ট ব্যবহার করে ব্যাক-এন্ড এসকিউএল সার্ভারের সাথে সংযুক্ত হবে। এবং এর অর্থ হ'ল আপনি বলেছেন মেশিন অ্যাকাউন্টে অ্যাক্সেস মঞ্জুর করেছেন। মাইক্রোসফ্ট এর সিআরএম এইভাবে কাজ করে।

তবে, আপনি যদি কোনও পরিচয় নির্দিষ্ট করেছেন, তবে সেই ব্যবহারকারীর অ্যাকাউন্টটির এসকিউএল সার্ভারে অ্যাক্সেস প্রয়োজন need আপনি ঠিক বলেছেন যে কোনও আক্রমণকারী যদি ওয়েব সার্ভারের সাথে আপস করেন তবে তাদের কার্যকরভাবে পরিচয় অ্যাকাউন্টের মতোই অ্যাক্সেস পাওয়া যায়, তবে সত্য সত্য যে কোনও এসকিউএল সার্ভার লগন ব্যবহার করে এখানে কোনও পরিবর্তন হয় না। একবার আমার অ্যাক্সেস হয়ে গেলে, আমি যা করতে চাই তা করতে ওয়েব অ্যাপ্লিকেশনটি পরিবর্তন করতে পারি এবং এটি যা করতে চাইবে, ব্যাক-এন্ড এসকিউএল সার্ভারে আপনার সর্বাধিক সুরক্ষা অনুমতি দেয়।

এখন কেন এসএসপিআই ব্যবহার করবেন। প্রথম এবং সর্বাগ্রে আপনি কোনও এসকিউএল সার্ভার ভিত্তিক লগইন ব্যবহার করছেন না। তার অর্থ সক্রিয়করণের একমাত্র উত্স অ্যাক্টিভ ডিরেক্টরি। এর অর্থ আপনার কাছে অবৈধ অ্যাক্সেস নির্ধারণের জন্য সাধারণ নিরীক্ষার অর্থ। দ্বিতীয়ত, এর অর্থ এটির প্রয়োজন নেই এমন অন্যান্য অ্যাপ্লিকেশন না থাকলে আপনি আপনার এসকিউএল সার্ভারটি কেবল উইন্ডোজ প্রমাণীকরণ মোডে রেখে যেতে পারেন। এর অর্থ কোনও এসকিউএল সার্ভার লগইন অনুমোদিত নয়। তার মানে সা'র বিরুদ্ধে যে কোনও আক্রমণ তারা এমনকি শুরু করার আগেই বন্ধ করে দেওয়া হয়েছে। এবং পরিশেষে, এটি পুনরুদ্ধারকে আরও সহজ করে তোলে। আপনি যদি এসকিউএল সার্ভার ভিত্তিক লগইন ব্যবহার করেন তবে আপনাকে এসআইডি এবং এনক্রিপ্ট করা পাসওয়ার্ড সহ লগইনটি বের করতে হবে। আপনি যদি লগইন তৈরি করে কোনও নতুন এসকিউএল সার্ভারে যান আপনি যদি কোনও উইন্ডোজ ভিত্তিক ব্যবহারকারী অ্যাকাউন্টটিকে "পরিষেবা অ্যাকাউন্ট" হিসাবে ব্যবহার করেন,

কে। ব্রায়ান কেলি
সূত্র
আমি নিশ্চিত নই যে প্রকাশ্যে প্রকাশিত সার্ভার এবং অভ্যন্তরীণভাবে ব্যবহৃত একটির মধ্যে সত্যিই পার্থক্য রয়েছে। তা বাদে এটি একটি ভাল ব্যাখ্যা explanation
নোটমে
অবশ্যই আছে। একটি প্রকাশ্যে উদ্ভাসিত সার্ভার, সাধারণভাবে, ডোমেনে থাকা উচিত নয়। এর অর্থ আপনি কোনও বিশ্বস্ত সংযোগ ব্যবহার করতে পারবেন না। এসএসপিআই কোনও বিকল্প নয়।
কে। ব্রায়ান কেলি
1

প্রশ্নটি কোনটি "ভাল"? যার উত্তর দেওয়া শক্ত কারণ এটি প্রশ্নকারীর প্রসঙ্গ, মান এবং অগ্রাধিকারের উপর নির্ভর করে।

ব্যক্তিগতভাবে, আমি এসকিউএল auth পছন্দ করি।

  • AD অ্যাকাউন্ট চালানো এবং সমর্থন করা এবং পরিষেবা অ্যাকাউন্ট পরিচালনা করা অন্য জিনিস।
  • আপনার হোস্টিং পরিবেশে এডি উপলভ্য হওয়া দরকার।
  • এডি ক্লাউড বা হাইব্রিড মেঘে স্থানান্তরিত করতে শক্ত করে তোলে।
  • বিজ্ঞাপনগুলি আপনার সংস্থার অন্য কোনও অংশের প্রশাসকদের মধ্যে থাকা উচিত নয় এমন গোষ্ঠীগুলিতে পরিষেবা অ্যাকাউন্টগুলি যুক্ত করা সহজ করে তোলে।
  • এসএসপিআই আপনার সংযোগ স্ট্রিংটিকে এনক্রিপ্ট করার বিষয়টি বাইপাস করে না যেহেতু আপনাকে কনফিগারেশনে আপনার এসকিউএল হোস্টনামটি এনক্রিপ্ট করা উচিত।
  • এসকিউএল প্রমাণীকরণ সহজ এবং নিখুঁত পাঠ্য কনফিগারেশন, স্থাপন করা সহজ।
  • অ্যাপ পুলের পরিচয় সেট করা স্বয়ংক্রিয় করার জন্য এবং তারপরে প্রতিটি পরিবেশের জন্য সেই অটোমেশন স্ক্রিপ্টগুলিতে ব্যবহারকারীর নাম এবং পাসওয়ার্ড আড়াল করা thing
  • দুটি সংযোগের স্ট্রিং ব্যবহার করে রোলিং পাসওয়ার্ডগুলি ব্যবহার করা সহজ করে তোলে, তাই আপনি ডাউনটাইম ছাড়াই পাসওয়ার্ড আপডেট করতে পারেন।

শেষ পয়েন্ট: আপনি প্রতিটি সংযোগের স্ট্রিংয়ের চেষ্টা করার জন্য আপনার সংযোগ ব্যবস্থাপক শ্রেণিকে কোড দিন, আপনি কনফিগের প্রথমটিতে পাসওয়ার্ডটি পরিবর্তন করতে পারবেন, পরিবর্তনটি আউট করতে পারবেন এবং এটি দ্বিতীয় সংযোগে ব্যর্থ হবে, তারপরে আপনি এমএসকিউএল-এ পাসওয়ার্ড আপডেট করবেন এবং প্রথমটি আবার ব্যবহার করা হবে। পরের বারের জন্য প্রস্তুত দ্বিতীয় পাসওয়ার্ডকে একই হিসাবে সেট করতে একটি চূড়ান্ত কনফিগার পরিবর্তন প্রয়োজন।

লুক পুপলেট
সূত্র
0

যদি ব্যবহারকারীরা সরাসরি ডেটাবেসটি হস্তান্তর না করে (এসকিউএল সার্ভার ম্যানেজমেন্ট স্টুডিওর মতো অন্যান্য ক্লায়েন্ট সরঞ্জামগুলির মাধ্যমে) তবে আমি সাধারণত আবেদনের জন্য একটি একক এসকিউএল লগইন তৈরি করব এবং এটির প্রয়োজনীয় অ্যাক্সেসটি দেব grant সেই সময়ে ব্যবহারকারীরা ওয়েব অ্যাপ্লিকেশন ইন্টারফেসের দ্বারা অনুমোদিত হিসাবে তারা কী করতে পারে তা সীমাবদ্ধ।

squillman
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.