Prefixování názvů DB tabulek pro zvýšení bezpečnosti rubrika: Databáze: SQL

6 Vojta Svoboda
položil/-a 18.10. 20:24

Používá se dneska ještě prefixování názvů DB tabulek pro zvýšení bezpečnosti, nebo už je to zastaralá technika? Mám na mysli prefixování náhodným stringem, např. "sFgM_users".

Používáte to někdo reálně? Pokud ano - máte prefix nastavený nějak globálně?

Díky za odpovědi

odkaz
11 pavel.stehule
odpověděl/-a 19.10. 6:42

Security by obscurity. Jakmile se útočník dostane do db, tak si může olíznout systémový katalog a získat vaše názvy.

O této technice jsem nikdy neslyšel - může fungovat jako obfuscace, ale jako ochrana ani náhodou.

Komentáře

  • Vojta Svoboda : Dělá to tak například plugin All In One WP Security (700 000 aktivních instalací) do WordPressu: https://pasteboard.co/HJ8xvh4.png 19.10. 9:05
  • Kit : To ovšem nevylučuje zbytečnost takového počínání. 19.10. 15:22
  • mr.fatblunt : urcitou "bezpecnost" to prinasi. Tuhle se mi dostal "utocnik" pres deravy uploader na php server a zastavil ho pouhy suhosin patch. Ne vsichni "utocnici" opravdu utoci, vetsina z nich spousti predem danou sekvenci prikazu (napriklad na take-over-wordpress) a kdyz jim to selze, jdou dal. Je to jako vypiskovat si na autosklo VIN. Nezabezpeci to proti cilenemu utoku. Je to jednoznacne security-by-obscurity. Ale v realnem, spinavem svete, to kupodivu pomuze. 27.10. 19:34
  • harrison314 : @mr.fatblunt: Pomoze to len proti ametersky napisanym botom alebo skriptom, ale uz to nepomoze proti ziakovy zakladnej skoly, ktory ani poriadne netusi co je to SQL ale vie klikat v nejakom SQL injection nastroji, vtedy to takeho utocnika zbrzdi o 3 sekundy. 27.10. 20:48
  • mr.fatblunt : @harrison314: Jasne ze proti zakovi zakladni skoly to nepomuze, ale ono je tech nedouku na internetu prekvapive hodne. Mimo jine proto ze jim to prochazi a spousti si ty sve skripty o kterych ani nevi co delaji, hlavne ze maji svuj botnet. A jasne ze cloveka ktery kouka na ten stroj osobne to zdrzi o 3 sekundy. Takovych ale prekvapive tolik nepotkas, ve srovnani s temi predskolnimi kiddies. A ty obskurity se daji na sebe vrsit a vrsit... EDIT: Rozhodne je nesmysl kryt temito obskuritami neaktualizovany WP apod. To je doufam jasne. 27.10. 22:42
  • Taco : @mr.fatblunt: Tyhlencty prefixy komplikují při vývoji. Nebylo by vhodnější, aby námaha věnovaná zakopáváním o na tyto komplikace se věnovala bezpečnostním aspektům? 28.10. 0:08
  • harrison314 : @mr.fatblunt: a hlavne, ak to prefixovanie zacne pouzivat viac ludi, tak aj tie nastroje "nedonuku" sa na to priprvia a si presne tam, kde si bol bez prefixovania, akurat si skomplikoval zivot vyvojarom, adminom, znizil si moznosti zabezpecnia inde (napr. pomocou stored procedur) a skomplikoval si moznosti optimalizacie vykonu na urovni databazy. 28.10. 7:26
  • mr.fatblunt : @Taco: Rozhodne. Ale jsou lide, kteri proste jen nainstaluji "All in one WP Security" par kliknutimi. Pak o zadnou komplikaci ve vyvoji nejde, protoze zadny vyvoj se neprovadi.. 28.10. 9:33
  • mr.fatblunt : harrison314: Souhlasim. Pokud vyvijim aplikaci od nuly, k takovymhle nesmyslum se nesnizim. Kdyz to prirovnam k tomu autu, je to jako bych v nem vozil slzny granat, pro pripad ze se mi do auta nekdo vloupa aby s tim neujel... Realne se spis stane ze mi to bouchne samo na dalnici a zabiju se (a pripadne jeste nekoho jineho). Na druhou stranu, jak jsem psal vys, jsou lide kteri nevyviji aplikaci od nuly, ale vezmou hotovy projekt ktery ma stovky milionu aktivnich kopii po internetu a trochu ho zamotaji aby nebyl uplne stejny jako ty ostatni kopie. Pritom je to stoji jen nejake to kopirovani souboru a nekolik kliknuti v administraci, zadne programovani, zadny vyvoj. 28.10. 9:38
  • Taco : @mr.fatblunt: Rozumím. V takovém případě by to jakože šlo. Ale oficiálně jsem proti :-) 28.10. 20:43
  • Vojta Svoboda : A co situace, kdy prefix DB tabulek nastavím nějak globálně v rámci ORM a vůbec nikde nepracuji s názvama tabulek? Pořád to je házení klacků pod nohy? 29.10. 9:09
  • pavel.stehule : @Vojta Svoboda: U www aplikace menšího rozsahu, ale u větší aplikace s větší databází docela často alespoň některé dotazy ručně. 29.10. 10:29

Pro zobrazení všech 6 odpovědí se prosím přihlaste:

Rychlé přihlášení přes sociální sítě:

Nebo se přihlaste jménem a heslem:

Zadejte prosím svou e-mailovou adresu.
Zadejte své heslo.