0

データの暗号化

一部のモデルに attr_encrypted を追加し終えたばかりなので、ハッカーの仕事はそれほど難しくないかもしれないと考えるようになりました。

私はアプリサーバーとは別のサーバーにデータベースを持っています - ただし、誰かがデータベースサーバーにアクセスできた場合、その人はキーが保存されているアプリサーバーにもアクセスできる可能性があります (おそらくその仮定は間違っています) )同じタイプのセキュリティ対策を備えているためです。

問題 

Rails コードはサーバー上に読み取り可能なテキスト形式で保存されるため、秘密鍵にアクセスできます。確かに、誰かがデータベースを手に入れ、それらの鍵を手に入れた場合、ハッカーが情報を解読する時間を単純に (わずかに) 延長するだけなので、データの暗号化全体が無意味になります。

もしそうなら、それ以上のセキュリティ対策はありますか、それとも暗号化の概念を完全に見逃してしまったのでしょうか?

attr_encrypted gem と関連する readme と質問を調べましたが、有用なものは見つかりませんでした。

4

2 に答える 2

0

attr_encrypted単純なデータ漏洩からデータを保護します。NSA が DC 間ケーブル (データベース レプリケーション ログが送信される場所) を盗聴している、または不満を抱いた DBA (アプリ ソースにアクセスできない) がすべてのデータをインターネットにダンプしていると考えてください。

実際の侵害である場合、侵入者はアプリ コードとデータベースの両方にアクセスできない可能性があります (アーキテクチャとセキュリティ対策によって異なります)。両方ある場合は、はい、ゲーム オーバーです。

全体として、[機密データ用に] 持っていないよりは持っているほうがよいでしょう。痛くない、と私は思います。

于 2015-10-19T15:24:01.160 に答える