問題タブ [security-by-obscurity]

発見したばかりのWebアプリを継承し、SQLServerデータベースに300,000を超えるユーザー名/パスワードをプレーンテキストで格納しています。これはVeryBadThing™だと思います。

ログインとパスワードの更新プロセスを暗号化/復号化するために更新する必要があり、システムの他の部分への影響を最小限に抑える必要があることを知っているので、データベースからプレーンテキストのパスワードを削除する最良の方法として何をお勧めしますか？

どんな助けでも大歓迎です。

編集：申し訳ありませんが、不明な点がある場合は、特定の暗号化/ハッシュ方法ではなく、パスワードを暗号化/ハッシュする手順を尋ねるつもりでした。

私はただ：

1. DBのバックアップを作成します
2. ログイン/パスワードコードの更新
3. 数時間後、usersテーブルのすべてのレコードを調べて、パスワードをハッシュし、それぞれを置き換えます
4. ユーザーが引き続きパスワードをログイン/更新できることを確認するためのテスト

私の懸念はユーザーの数の多さによるものだと思うので、これを正しく行っていることを確認したいと思います。

サービスへのアクセスを取得する手段として公開アプリケーションのパスワードとして GUID を使用する場合、このセキュリティは隠蔽によるものですか?

明白な答えは「はい」だと思いますが、GUID を推測する可能性は非常に低いため、セキュリティのレベルは非常に高いように思えます。

アップデート

GUID はデバイスに保存され、プラグインされると、SSL 接続を介して GUID を介して送信されます。

たぶん、GUID を生成し、GUID で AES 128 ビット暗号化を実行し、その値をデバイスに保存できますか?

Web サイトで外部 URL を開くことができるようにする必要があります (ブラウザーとソースの両方で)。URL をコピーしてクエリ文字列を好きなように編集できるようにしたくありません。URLをiframeなどで開き、そのソースを非表示/マスクする方法はありますか?

これは asp.net 2.0 の Web サイトです。

私は最近、base 64 エンコーディング、md5sums、およびその他のさまざまな手法を含む、さまざまな方法で隠されているルーチンによってすべての DB 接続が管理されているシステムに出くわしました。

あいまいさによるセキュリティが悪い考えであるのはなぜですか?

長い言葉の名前を削除することでトラフィックを節約する以上の効果があるかどうかはわかりませんが、命名、宣言、およびそれらの組織のシステムを隠したいと思うことは間違いありません。

問題は、手動での検索と置換には非常に長い時間がかかり、わずかな変更ごとにプロセスの一部または全体をやり直す必要がある可能性があることです。

誰もこの問題について考えたことがありますか？多分マクロを書く？CSS ファイル内の名前を検出できるほどインテリジェントになりますか? よりシンプルで優れたものはありますか?

誰かがDRMクライアントを閉じられるようにしながらオープンソースの方法でDRMのサーバー部分を作成する方法を考え出したかどうか知りたいです。クライアントがオープンソースであれば、DRMチェックを簡単に削除できることは理解していますが、サーバーが同じ問題に悩まされることはないと思います。

簡単にするために、サイトに次のような管理リンクを使用したいと思います。

http://sitename.com/somegibberish.php?othergibberish= ...

したがって、実際の URL とパラメーターは、私だけが知っている完全にランダムな文字列になります。

あいまいさによるセキュリティは一般的に悪い考えであることは知っていますが、誰かが URL を見つけることができるのは現実的な脅威ですか? ホスティング会社の従業員や回線の盗聴者を考慮に入れないでください。これはおもちゃのサイトであり、重要なことではありません。また、ホスティング会社は安全な FTP を提供してくれません。したがって、私は通常の訪問者についてのみ心配しています。 .

誰かがこの URL を見つける方法はありますか? それはウェブのどこにもないだろうから、Google も今はそれについても語らないだろう。少なくとも願っています。:)

私のスキームに見られない他の穴はありますか？

URL 変数を暗号化して、渡された情報をユーザーが見ることができないようにしたいと考えています。オンラインでいくつかのスクリプトを見つけましたが、どれも機能しません。ほとんどは base-64 の使用に傾いているようです。エンコードまたは暗号化して次のページでそれを元に戻す短いスクリプトを書くのを誰か手伝ってくれませんか? 非常に安全である必要はありません。平均的なユーザーに対して電子メール アドレスをマスクするのに十分なだけです。

まず第一に、素朴な観点からの質問：

のような製品への URL を持つ WebApplication がありますProducts?id=123。からアクセスできる管理ページがあるとしProducts?id=123&editable=trueます。

誰もこのパラメーターを有効にしようとeditableしないため、このページを保護するためにこれ以上のセキュリティ メカニズムは必要ないと考える場合、それは obscurity によるセキュリティであり、良い考えではありません。

-

私の実際の問題では、もう少し微妙な問題です。私の管理 URL を誰かに知られることには危険がありますか? たとえば、XSL を使用しているときに、次のように書きたいと思います。

しかし、潜在的な攻撃者が「重要な」ページの弱点を見つけるのは簡単ではないでしょうか?

古いDelphiアプリケーションがあります。このアプリはサーバーからセッションキーを取得し、ハッシュなどのこのキーを使用して秘密を使用していくつかの処理を実行し、暗号をサーバーにポストバックします。サーバーは、この暗号からデータを取得する方法を知っています。つまり、隠すことによるセキュリティです。

このアプリケーションをC＃を使用して書き直してから、難読化ソフトウェアを使用して秘密データの作成プロセスを非表示にしたいと思います。

C＃の難読化されたアプリは、難読化されていないがバイナリのDelphiアプリよりも多かれ少なかれ「安全」ですか？Delphiコードを解読するのはさらに難しいでしょうか？

注：隠すことによるセキュリティは実際には安全ではないことを私は完全に認識しています。