যখন আপনার সংস্থা পাসওয়ার্ডগুলি এনক্রিপ্ট করবে না তখন কী করবেন

13

পটভূমি

কোনও সংস্থাকে তাদের সার্ভার বজায় রাখতে সহায়তা করার জন্য আমার সাথে চুক্তি করা হয়েছে। আমি কয়েকটি ছোট পিএইচপি প্রকল্পগুলিতে কাজ করি তবে কার্যকারিতা সম্পর্কিত সমস্যাগুলি এবং সম্প্রতি হ্যাকারদের জন্য লগ স্ক্যান করি look

এই ছেলেরা কিছুদিন ধরে তাদের সার্ভারটি চালাচ্ছে এবং এর শেষ পায়ে আমি কোনও উত্তরাধিকার অ্যাপ্লিকেশন কল করব what এটি ম্যাজিক কোট, গ্লোবাল ভেরিয়েবল (যা $idওভাররাইট করার অনুমতি দেয় $_GET['id']) ব্যবহার করে, কিছু পরিস্থিতিতে তাদের একমাত্র সুরক্ষা হিসাবে .htaccess ব্যবহার করে, আপনি এটির নাম দিন। একটি সুরক্ষা এবং প্রোগ্রামিং দুঃস্বপ্ন।

আমরা অতীতে হ্যাক হয়েছি, বেশিরভাগ এসকিউএল ইঞ্জেকশন সহ, যা SLEEP(99999999)কমান্ড চালায় এবং ডস-অ্যাটাক হিসাবে কাজ করবে। ভাগ্যক্রমে তারা "ছোট ববি টেবিল" চালায় না,

http://xkcd.com/327/

এক্সকেসিডি: http://xkcd.com/327/

সুতরাং আমি mysql_query()পিডিও লেনদেনের জন্য তাদের দুর্বল এসকিউএল স্টেটমেন্টগুলি (মাইসকিলি নয়) থেকে আবার লিখেছি । আমি SLEEPএবং এর জন্য অনুসন্ধানগুলি বিশ্লেষণ করছি UNION, যা আমরা ব্যবহার করি না তবে ইনজেকশনগুলি রয়েছে। এ পর্যন্ত সব ঠিকই.

সর্বশেষ ইস্যু

সম্প্রতি আমাদের বলা হয়েছে যে ডিবিতে ব্যবহারকারীদের রেকর্ড পরিবর্তন হচ্ছে যেমন স্প্যামারদের দ্বারা সম্ভবত তাদের ইমেল ঠিকানাগুলি ones

আমি লক্ষ্য করেছি যে তাদের কলামগুলিতে একটি last_modifiedকলাম নেই, তাই আমরা কখনই সেগুলি পরিবর্তিত হচ্ছিলাম তা জানতে পারি না, কার দ্বারা। আমি সেই কলামটি যুক্ত করেছি, তবে এটি সবে প্রথম পদক্ষেপ।

আমি যখন এই টেবিলটির দিকে তাকাচ্ছিলাম তখন আমি লক্ষ্য করেছি যে পাসওয়ার্ডগুলি সল্ট করা হয়নি এমনকি হ্যাশও করা হয়নি, কেবল সরলখরচি হিসাবে সংরক্ষণ করা হয়েছে।

ক্লায়েন্ট যোগাযোগ

একজন পাগলের মতো আমার বাহুতে ঝাঁকুনি না দিয়ে আমি কীভাবে ঠিকাদার হিসাবে পুরো পরিস্থিতি সম্পর্কে তাদের কাছে যেতে পারি? কোন পরামর্শ? আমি একটি শান্ত পদ্ধতির চিন্তা ছিল,

    সমস্যা # 1
        সংক্ষিপ্তসার
        কেন এটি একটি ইস্যু
        এটি স্থির না করা হলে কী ঘটতে পারে
        প্রস্তাবিত ফিক্স

    সমস্যা # 2
        সংক্ষিপ্তসার
        কেন এটি একটি ইস্যু
        এটি স্থির না করা হলে কী ঘটতে পারে
        প্রস্তাবিত ফিক্স
php  apache  security  mysql 
bafromca
সূত্র
আমার চিন্তাটি হ'ল, সরল পাঠ্য পাসওয়ার্ড নির্বিশেষে যা কোনও বিশাল নম্বর নয়। আপনি যদি সমস্ত প্রশ্ন পিডিওতে পরিবর্তিত হয়ে থাকেন এবং আপনার ইমেল ect বিভাগ পরিবর্তন না করে আপনি প্রস্তুত বিবৃতি ব্যবহার করছেন। তারা ইমেল ঠিকানাগুলি পরিবর্তন করতে একটি এসকিউএল কোয়েরি কার্যকর করতে অক্ষম হবে
লিয়াম সর্সবি
1
আমি পিডিওতে / সমস্ত / প্রশ্নের পরিবর্তন করি নি, দুঃখিত, এসকিউএল ইঞ্জেকশনগুলির দ্বারা আমরা যেগুলি পেয়েছি সেগুলি আমি পরিবর্তন করেছি।
বাফ্রোমকা
চারদিকে আরও ভাল সমাধান হ'ল পিডিও ক্লাস যুক্ত করা এবং তারপরে সাইটটির মাধ্যমে সেই শ্রেণিটি বাস্তবায়ন করা? তারপরে পাসওয়ার্ডগুলি হ্যাশ করার বিষয়ে ভাবুন এবং লবণ ব্যবহারের ক্ষেত্রে এটি সম্ভবত কিছুটা সময়সাপেক্ষ বলে মনে হচ্ছে এটি একটি "লিগ্যাসি" অ্যাপ্লিকেশন আমি ধরে নিচ্ছি এটির বেশ কয়েকটি ব্যবহারকারী রয়েছে has
লিয়াম সর্সবি
5
আমি ইতিমধ্যে আপনার হ্যাক হয়ে যাওয়া এবং ব্যবহারকারীর শংসাপত্র হ্যাকারদের হাতে ছেড়ে দেওয়া হওয়ায় আপনার 'কী ঘটতে পারে' তা 'যা ঘটেছে' তার সংশোধন করব।
জেমস স্নেল
দেখে মনে হচ্ছে আপনার প্রশ্নটি আপনার ক্লায়েন্টের সাথে যোগাযোগের বিষয়ে। সত্যিই, আপনার পরিচিত ব্যক্তিদের এবং তাদের কাছে কীভাবে যোগাযোগ করা যায় তা আপনার জানা উচিত। শান্ত রাখা সর্বদা একটি ভাল কৌশল, কেবল আপনার ক্লায়েন্টকে ঝুঁকিগুলি নির্দেশ করুন এবং জরুরিতার বিষয়ে তাকে সিদ্ধান্ত নিতে দিন।
ডক ব্রাউন

উত্তর:

15

আপনি যে শান্ত পদ্ধতির পরামর্শ দিচ্ছেন এটি সর্বোত্তম। নির্দেশ করে যে এই ডেটা উন্মুক্ত হয়ে গেলে আপনার বেশিরভাগ ব্যবহারকারীর পাসওয়ার্ড পুনরায় ব্যবহারের কারণে পরিচয় চুরির ঝুঁকিতে পড়বে। এটি লক্ষ্য করার জন্য এটি বেশ ভাল সময় হবে যে লক্ষ্যটি প্রভাবিত করে এমন একই সমস্যাটি (ধরে নেওয়া যে সংস্থাটি টার্গেট নয়)। এবং আপনার পরিচালক এটি পরিবর্তন করার জন্য গ্রহণযোগ্য হতে হবে।

ডেটা সহ বৈধতা সম্পর্কিত, আমি বিশ্বাস করি না যে ব্যবহারকারীর নাম / পাসওয়ার্ডগুলি সিসি ডেটা, ব্যক্তিগত তথ্য ইত্যাদির সমান হিসাবে বিবেচিত হবে যদিও এটি আপনার ব্যবহারকারীদের জন্য আপনার কাছে থাকা কোনও তথ্যের উপর নির্ভর করতে পারে। আমি একজন আইনজীবী নই এবং এই দিকগুলি আপনার প্রকাশে সর্বোত্তমভাবে উত্থাপিত হবে এবং আইন নির্ধারণের জন্য আপনার সংস্থাগুলির আইন বিভাগে নিয়ে আসা উচিত।

https://en.wikipedia.org/wiki/Information_privacy_law

আপনাকেও সাহায্য করার জন্য আপনার কাছে এই এক্সকেসিডি রয়েছে:

এখানে চিত্র বর্ণনা লিখুন

Schleis
সূত্র
4

এটি সত্যই আপনি যে দর্শকদের সাথে যোগাযোগ করতে চাইছেন তার উপর নির্ভর করে। আমি গুরুতর সুরক্ষা সমস্যাযুক্ত সংস্থাগুলিতে কাজ করেছি যেমন আপনি বলেছেন যে তারা এগুলি শুনতে অস্বীকার করেছে যতক্ষণ না আমি তাদের কাছে এটি না দেখাই।

একটি পদ্ধতির, যদি সম্ভব হয় তবে এই হ্যাকগুলির মধ্যে ইতিমধ্যে যা ঘটেছিল তা আইটেমাইজিং হিসাবে আপনি যা করতে চান তা মূলত একসাথে করা। যদি আপনার শ্রোতাগুলি প্রযুক্তিগত না হয় তবে আপনার সম্ভবত এই সমঝোতার কারণে যে ব্যয় করতে পারে তার ব্যয়টি উল্লেখ করতে হবে। স্পষ্টতই হ্যাক করা অ্যাকাউন্টগুলি আপনার সিস্টেমে বিশ্বাসযোগ্যতা এবং আপনার পণ্যের গ্রাহক মূল্যকে হ্রাস করে। ব্যবহারকারীদের জন্য সরল পাঠ্য পাসওয়ার্ড এবং ইমেল ঠিকানা সহ কোনও আপোস করা সিস্টেমের উল্লেখ না করা একটি মারাত্মক ছড়িয়ে পড়ার প্রভাবের কারণ হতে পারে।

আপনার পরবর্তী কাজটি করা উচিত, যদি সম্ভব হয় তবে তা প্রমাণিত। আপনি যদি কোনও পরীক্ষার পরিবেশে এই সিস্টেমটিকে দাঁড়াতে পারেন তবে এটি করুন। তারপরে অ্যাপ্লিকেশনটির ক্লায়েন্ট দিক থেকে আপনার সিস্টেমে কী ধরনের প্রভাব থাকতে পারে তা তাদের সামনে প্রদর্শন করুন। এমনকি প্রযুক্তিবিদদের কাছেও এটি আমার পক্ষে বেশ দৃinc়প্রত্যয়ী প্রমাণিত হয়েছে (যদিও তারা এখনও আমার ক্ষেত্রে সাধারণত অভিনয় করে না)।

অবশ্যই, আপনি যেমন বলেছিলেন, আপনাকে কী কী ব্যবস্থা গ্রহণ করা উচিত এবং এটি সম্পাদন করার প্রয়াস সম্পর্কে একটি অনুমান হিসাবে ব্যাখ্যা করতে হবে। এটি তাদের ব্যয়কে ন্যায়সঙ্গত করতে সহায়তা করবে যদিও কিছু জায়গাগুলি কেবল কোনওভাবেই যত্নশীল নয়। কমপক্ষে আপনি আপনার সচেতন সাফ করতে পারেন এবং আপনি চেষ্টা করে জেনে এগিয়ে যেতে পারেন।

তামাশা
সূত্র
2

যদি আপনি বলেন যে আপনি তাদের সার্ভার বজায় রাখার জন্য চুক্তিবদ্ধ হয়েছেন তবে অবশ্যই এই চুক্তিতে অবশ্যই কাজের বিবরণী কার্যাদি যেমন অপারেটিং সিস্টেমের সততা, সুরক্ষা এবং উপলব্ধতা, অ্যাপ্লিকেশন সফ্টওয়্যার এবং সমস্ত ডেটা ইত্যাদির নিশ্চয়তা অন্তর্ভুক্ত করা উচিত ?! যদি সার্ভারটি সুরক্ষিত রয়েছে তা নিশ্চিত করার জন্য যদি চুক্তিটি (এবং আপনাকে দায়বদ্ধ করে) প্রত্যাশা করে এমনটিও থাকে তবে আমি ব্যবসায়ের কেসগুলি একসাথে রাখার পক্ষে সময় নষ্ট করব না এবং সমস্যাগুলি সংশোধন হয়েছে কিনা তা নিশ্চিত করার জন্য একটি ভাল কাজ করব (গ্রহণ করা আপনার কোড পরিবর্তনের সংস্করণ ইতিহাস রাখার আগে এবং পরে একটি ব্যাকআপ।

আমি সকালের কাজের চেয়ে বেশি কাজের জন্য এই জাতীয় পরিবর্তনের প্রত্যাশা করব না এবং যদি তারা জিজ্ঞাসা করে আপনি কীভাবে আপনার সময় কাটিয়েছেন তবে আপনি আপনার ক্রিয়াকলাপকে ব্যাখ্যা করার জন্য এবং তার ন্যায্যতার জন্য একটি জার্নাল রাখতে পারেন। আপনি যদি আপনার চুক্তির আওতায় কাজ করছেন তবে এখানে কোনও সমস্যা নেই should কখনও কখনও সিদ্ধান্ত গ্রহণকারীদের সামনে সমস্ত সুরক্ষার উন্মাদ হয়ে যাওয়ার কারণে আতঙ্ক দেখা দেয় বা সবচেয়ে খারাপ ক্ষেত্রে তাদের বলার সুযোগ তৈরি করে যে তারা issues সমস্যাগুলির বিষয়ে চিন্তা করে না তাই এটি ঠিক করবেন না, এরই মধ্যে আপনি চুক্তির পরেও আপনাকে দায়বদ্ধ রাখে একটি লঙ্ঘন! সম্ভবত এটি সর্বদা সর্বাধিক ব্যবসায় বান্ধব পদ্ধতি নয় তবে আমার পেশাগত নীতিশাস্ত্রটি আমার নজরে না আসার জন্য আমি যে কোনও সিস্টেমে দায়বদ্ধ হয়েছি এমন কোনও সিস্টেমে এনক্রিপ্ট করা পাসওয়ার্ডগুলি ছাড়তে দেয় না।

ব্যক্তিগত অভিজ্ঞতা থেকে আমি যখনই নতুন নিয়োগকর্তা বা ক্লায়েন্টের জন্য কাজ করা শুরু করি, সেক্ষেত্রে পরিস্থিতি এবং প্রত্যাশাগুলি নিয়ে আলোচনা করা আপনার পক্ষে অনেক চাপ বাঁচাতে পারে, উদাহরণস্বরূপ: যদি আমি কোনও সুরক্ষা সমস্যা পাই যা আমি ঠিক করতে পারি তবে আপনি খুশি আমাকে এগিয়ে যেতে এবং প্রতিবার আপনার কাছে না এসে এই কাজটি সম্পূর্ণ করার জন্য, কেবল আপনাকে সন্দেহজনক লঙ্ঘন / ঘটনা সম্পর্কে অবহিত করে? তারা প্রায় সর্বদা এটির জন্য হ্যাঁ বলবে কারণ তাদের দৃষ্টিকোণ থেকে তারা সুরক্ষা বা কম্পিউটারের জিনিসগুলি নিয়ে উদ্বিগ্ন হতে আগ্রহী নয় - এই কারণেই তারা আপনাকে নিয়োগ দিয়েছে! আপনি যেভাবে প্রত্যাশা করেছিলেন এটি সম্ভবত প্রশ্নের উত্তর দেয় না তবে আমি আশা করি এটি চিন্তার জন্য খাদ্য দেয়। আপনাদের সকলের মঙ্গল কামনা করুন এবং আশা করুন যে সমস্যাটি সংশোধন হয়েছে!

richhallstoke
সূত্র
এটি একটি দুর্দান্ত উত্তর। কখনও কখনও "সম্মুখ-লাইন সিদ্ধান্ত নির্মাতারা" নিয়ে সমস্যা আনার কারণে এটি তার মূল্যবোধের থেকে বেশি আতঙ্কের কারণ হয়ে দাঁড়ায় এবং এটি কেবল পর্দার আড়ালে ঠিক করা চতুর বলে মনে হয়। কে আমার বেতন দেয় তার পিছনে কাজ করা পছন্দ করি না তবে ব্যক্তিগত দায়বদ্ধতার বিষয়টি মূল যুক্তি। আমি পাসওয়ার্ডগুলিতে সহজেই লবণ + হ্যাশ করতে পারি এবং তারপরে সবকিছু সরিয়ে ফেলা হলে ওপেনটেক্সট পাসওয়ার্ড কলামটি সরিয়ে ফেলতে পারি। তবে সবচেয়ে বড় সমস্যাটি হ'ল পাসওয়ার্ডগুলি ইতিমধ্যে দেখা এবং ক্যাপচার করা হতে পারে।
বাফ্রোমকা
দুর্ভাগ্যজনক বাস্তবতা হ'ল লঙ্ঘনের আগে সেই সময়টিকে পুনরায় বোঝানো যায় না, সুতরাং ব্যবসায়ের ক্ষেত্রে তাদের গ্রাহকদের এই লঙ্ঘন সম্পর্কে অবহিত করা উচিত কিনা তা সিদ্ধান্ত নিতে হবে, তবে আমার কাছে সবচেয়ে গুরুত্বপূর্ণ বিষয়টি সর্বদা আরও প্রতিরোধ করার জন্য পদক্ষেপ নিয়ে চলেছে ভঙ্গের। ডিরেক্টররা যদি লঙ্ঘনের বিষয়ে ব্যবহারকারীদের অবহিত করতে না চান তবে আপনি আমাদের ওয়েবসাইট সুরক্ষার জন্য নিম্নলিখিত উন্নতিগুলির মতো বার্তায় লগইন করার পরে গ্রাহকদের প্রম্পট করতে পারেন আমাদের এখন আপনার উপরের কেস, লোয়ার কেস এবং সংখ্যা সহ আরও সুরক্ষিত পাসওয়ার্ড বেছে নেওয়া দরকার এবং সর্বনিম্ন 8 টি অক্ষর দৈর্ঘ্য: '।
রিচহলস্টোক
0

অবশ্যই যদি গ্রাহকের ইমেল ঠিকানা পরিবর্তন করা ইতিমধ্যে ঘটে থাকে এবং এটিকে একটি সমস্যা হিসাবে বিবেচনা করা হয় - তবে পাসওয়ার্ড পরিবর্তন করার ক্ষমতাও একটি সমস্যা।

এখন, আপনি যদি ভবিষ্যতে এটি থেকে রোধ করতে পর্যাপ্ত পরিমাণে ডিবিটিকে সুরক্ষিত করেন, তবে যে কেউ ব্যবহারকারীর পাসওয়ার্ড সম্পাদনা করতে পারে সে সুযোগটিও ঠিক একইভাবে স্থির হয়ে গেছে এবং এখনই কেউ পাসওয়ার্ডটি পড়তে পারে কিনা তা আপনাকেই বিবেচনা করতে হবে।

অবশ্যই যদি তারা করতে পারে বা (সম্ভাব্য ঘটনাগুলিতে ) আপনি ডিবি সম্পূর্ণরূপে সুরক্ষিত করেন নি তবে অবশ্যই পাসওয়ার্ডগুলি এনক্রিপ্ট করা উচিত - এটি কীভাবে করবেন? এটি "ইমেল ঠিকানা আপডেট হওয়া" সমস্যা হিসাবে একই প্রসঙ্গে রেখে দিন। এটির জন্য অ্যাপ্লিকেশনটি পরিবর্তিত হওয়া দরকার এবং এটি "খুব জটিল" সমস্যা কিনা তা নিয়ে তাদের উত্থাপন করা দরকার। কোডটি দেখুন এবং দেখুন প্রস্তাবিত ফিক্স নেওয়ার আগে এটিকে পরিবর্তন করার জন্য কত খরচ হবে।

gbjbaanb
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.