問題タブ [data-security]

会社でクラウド コンピューティングを検討しています。私が頭から離れないように見える1つの質問は次のとおりです。クラウド コンピューティング会社が廃業した場合、私のデータとそれを使用する能力はどうなりますか?

質問の言い回しが正確にわからないので、間違ったことをした場合はしばらくお待ちください。

言語の背後にあるコードとしてVBを使用してASP.NETアプリケーションを作成しています。DBに接続してクエリを実行するデータアクセスクラス（もちろんパラメーター化）と、検証タスクを実行する別のクラスがあります。このクラスには、aspxページからアクセスします。

私が望んでいるのは、データサーバー側を保存し、ユーザーがデータの有効性に基づいていくつかのオプションから選択するのを待つことができるようにすることです。しかし、私の理解が完全にずれていない限り、サーバー上に永続的なデータオブジェクトがあると、複数のユーザーが接続するときに問題が発生しますか？

私の最終的な目標は、データが検証されると、エンドユーザーがそれを変更できないようにすることです。現在、データを検証していますが、ユーザーが「OK」と言った後でも、Webフォームからデータを取得する必要があります。これにより、誤って（可能性が低い）または故意に（使用する可能性が低い）、不正なデータを挿入する可能性が明らかに残ります。しかし、私はチャンスを逃したくない）。

それで、私は完全に私の理解から外れていますか？もしそうなら、誰かが私にサーバー上に永続的なデータを保持するためのいくつかの指示を提供するリソースを指し示すことができますか、または指示を提供できますか？

ありがとう！

具体的な例：

私たちは最近、検査官ガジェットを雇って、高速道路の標識を巡回検査し、バブルガムチューインガム（通常は青年市議会の立派なメンバー）によって壊れたり盗まれたりしていないことを確認する標識検査官のデータを挿入しました。

ガジェットが彼の気概を証明することができれば、彼は実際のサイン検査を行うように昇進するかもしれません。今のところ、彼の唯一の仕事は、このイントラネットサイトにアクセスして、最新の検査に関する情報を入力することです。地区、郡、ルート番号、道路のセクション、および標識が設置され検査された日付。

もちろん、80年代後半に生きていた私たちの誰もが、ガジェットの不備に精通しています。したがって、このサイトは、私たちが作成できる限りのガジェットの証拠です。地区/郡/ルートはすべてドロップダウンリストから入力されます。彼はセクションの開始と終了、および日付を手動で入力するだけです。時々、彼はマウスをいじって、セクションの始まりと終わりを入れ替えてしまいます。そのため、テキストが赤に変わり、間違いを警告します。残念ながら、彼は今日、すべての赤い色を黒に変えるアンチレッドサングラスを着用することを選択しました。データを送信しようとすると、どこで何を修正する必要があるかを示すエラーメッセージが表示されます。残念ながら、彼はキーボードを太く指で触れ、1.337を入力する代わりに、13.37（マイル）を入力しました。道路の長さはわずか10マイルです。上手、これで、メッセージ（モーダルdiv）がポップアップし、道路の実際の走行距離は0〜10であり、彼のエントリは道路の3つのセクションを結合することを通知します。次に、3つのボタンから選択できます。キャンセルすると、データを変更できます。制約は、13.37を10に変換します。オーバーライドすると、データを入力できます。

「ヨウザ！」ガジェットは叫び、[キャンセル]をクリックして戻って間違いを修正しました。次のデータセットは正しく入力されたので、確認メッセージがポップアップ表示され、これから行う変更を示し、続行してもよいかどうかを尋ねました。残念ながら、ガジェット検査官はコーヒーカップをノックオーバーし、机全体に残骸を散乱させました。急いでクリーンアップしたので、[OK]をクリックしましたが、Go-Go-Gadget電磁石が誤ってコンピューターの数ビットを反転させ、郡をARKANSASからAKRSANASに変更する前ではありませんでした。

データがキャンパス全体のサーバーに保存されていて、渡された情報が「OK」または「キャンセル」のみだった場合、これは回避されたはずです。

もちろん、「OK」の後でいつでも再度検証できますが、それはハッキーな回避策のようです。

とにかく、これが明らかになることを願っています！

たとえば、非常に強力なシステム特権「GRANT ANYPRIVILEGE」を付与されたHRのユーザーがいます...このユーザーはこの特権を使用し、他のユーザーにいくつかの特権を付与しました...HRから「GRANTANYPRIVILEGE」を取り消したいと思いますまた、 HRユーザーがどの特権と誰に付与したかを特定します（この特権を取り消したい）。

オラクルは、メタデータにシステム特権（オブジェクト特権とは異なり）の付与者ではなく、被付与者と特権のみを保存することを知っています...

何かアイデアがあれば答えてください。

前回はどうもありがとうございました。

CodeIgniterで、SQLインジェクションを回避するにはどうすればよいですか？SQLインジェクションを回避するために設定ファイルに設定する方法はありますか？私は値を選択するためにこのコードを使用しています：

値を挿入するためのこれ：

データベースから値を挿入して選択するために使用される別のメソッドは、CodeIgniterinsert()とget()メソッドです。CodeIgniterのbulit-in関数を使用しているときにSQLインジェクションを行うチャンスはありますか

HKEY_LOCAL_MACHINE (HKLM) に安全なデータを書き込む必要がある Windows exe があります。また、その安全なデータを読み取る必要がある NetworkService アカウントとして実行されているサービスもあります。exe とサービスは別のユーザーとして実行されることに注意してください。

ここでの問題は、データの保護にあります。私はCryptProtectDataを試しましたが、 NetworkService アカウントを使用してデータが暗号化されていないため、サービスが復号化できないという問題があります。CryptProtectData を呼び出すときに CRYPTPROTECT_LOCAL_MACHINE フラグを使用したくありません。これは、任意のユーザーが暗号化を解除でき、本質的に安全でなくなるためです。

これは一般的なユースケースだと思いますが、解決策が見つかりません。アイデアはありますか？

参考までに、ビジュアル C++ を使用して exe とサービスを記述しています。

現在、ユーザーに関する機密情報を保持する Web アプリケーションを (PHP で) 作成していますが、DPA に準拠するために、共有サーバー上で実行するときに完全に暗号化する必要があります。この情報は、外部で特定された特定のユーザーに提供されます。

そして、私はデータが分散される方法を保護することに自信を持っており、サーバー会社にもほぼ自信を持っていますが、ただ安心したいだけです.

安全なキーを使用して保存されているデータを暗号化する方法について誰かがアイデアを持っているかどうか疑問に思っていました. 難読化されたり、何らかの方法でマスクされたりする可能性があることはわかっていますが、それは使用できます。はい、おそらく少しやり過ぎですが、確認する必要があります。

私がしばらく取り組んできたシステムには DPA が必要で、データ パスコードを安全に保つ方法について質問されました。それ以来、私は彼らがそれを修正するというアイデアを思いつきました。これには、データベースに保存されているデータベースのデータ復号化パスワードが含まれますが、別のタイプのハッシング。

問題は、パスワードを異なるキー (少なくとも 20 文字の長さで、拡張子の可能性あり) で複数回暗号化すると、パスワードに関する事前の知識や情報がなくても、解読がかなり容易になるかということです。

アプリケーションからの接続のみを許可する別のサーバーにデータを保存すること、暗号化のためのキーペアなどを含む、データを安全に保存するための概念を大部分理解しています。それははるかに安全です。

たとえば、強化された安全な Web サーバーがあり、ユーザー入力からデータをキャプチャして保存するとします。データは暗号化され、db クエリまたは Web サービスを介して db サーバーに送信されます。db サーバーは Web サーバーからの接続のみを許可し、データを暗号化された形式で保存します。したがって、誰かがデータベースにアクセスした場合、データは価値がありません。

しかし、誰かが Web サーバーにアクセスすると、暗号化アルゴリズムとキーだけでなくデータベースにもアクセスできますよね? その場合、データの転送は別の潜在的な攻撃ポイントに過ぎないのに、なぜデータを別のサーバーに置く必要があるのでしょうか。

侵害された場合に db サーバーへのアクセスが取得されないように、Web サーバー上の接続情報と暗号化アルゴリズムを隠す方法はありますか? 難読化だけでは不十分だと思います。どんなアイデアでも大歓迎です。

ありがとうブライアン

私はヘルスケアでSaaSを開発しています。ユーザーは、非常にプライベートな医療情報で私の SaaS を信頼しています。

私のプラットフォーム (LAMP ベース) は遅かれ早かれ侵害されると予想しており、データ漏えいを最小限に抑える方法を探しています。

現在、私は
- ユーザーのパスワードはハッシュ化され、ソルト化されています
- ユーザーの本名、電話番号はプレーンテキストです
- ユーザーの個人的な医療データはプレーンテキストです

私は、この主題についてどこを見ればよいか、いくつかの指針を探しています。すべてのコメントは大歓迎です！

「ワイプアウト データ」コマンド/ペイロードは、紛失したデバイスや電源がオフになっているデバイスでどのように実行されますか。

電源がオフまたはロックされているデバイスで「セキュリティ情報」コマンドを起動すると、ステータスが「Notnow」になり、コマンドがキューに入れられます。キューに入れられたコマンドは、デバイスの電源がオンまたはロック解除された直後に実行されます。

「データ消去」コマンドは「セキュリティ情報」と同じように実行されますか?

また、デバイスがロックされていても「データのワイプ」も実行する必要があると思います..そうですか？

ありがとう！