Название в основном говорит само за себя: в файле config.php по умолчанию, созданном при установке продукта / интерфейса CRM (SugarCRM), который приобрел мой клиент, хранится пароль пользователя MySQL db в виде обычного текста?
Есть ли хороший способ зашифровать сам пароль, чтобы он не лежал в легко читаемом файле?
Или это просто вопрос, если у кого-то уже есть доступ к файлу, значит, у вас уже куча проблем, поскольку они уже находятся в вашей системе?
Просто интересно, могут ли быть / какие лучшие практики для такого типа ситуаций?
Или это просто вопрос, если у кого-то уже есть доступ к файлу, значит, у вас уже куча проблем, поскольку они уже находятся в вашей системе?
Да.
Файлы конфигурации веб-приложений обычно содержат секреты в виде обычного текста.
Большинство поставщиков облачного хостинга (IaaS / PaaS) поддерживают передачу пользовательских данных при запуске экземпляров, чтобы они были доступны как переменные среды. Однако приложение должно быть изменено для поддержки чтения секретов из переменных среды. Обратитесь к пример из Heroku.
Есть ли хороший способ зашифровать сам пароль, чтобы он не лежал в легко читаемом файле?
Разрешения файла не должны быть доступны для чтения всем.
Или это просто вопрос, если у кого-то уже есть доступ к файлу, значит, у вас уже куча проблем, поскольку они уже находятся в вашей системе?
Да. Доступ к системе - это мат. Укрепление системы - это первый шаг. Усиление защиты должно выполняться на всех уровнях, в приложении, базе данных, ОС, сети и т. Д.
Помните, что безопасность - это подвижная цель, и ее никогда не решить.
Есть способы частично смягчить это с помощью схем шифрования, загрузки паролей и т. Д. Непосредственно в память и т. Д., Но эти схемы действительно связаны с обфускацией. Если вы хотите, чтобы что-то автоматически подключалось к чему-то еще, у вас нет выбора, кроме как установить какой-то секрет, простой текст или нет, чтобы дать ему возможность сделать это. Как только вы это сделаете, компрометация системы всегда означает, что секрет также скомпрометирован. Схемы, которые делают это более трудным, делают именно это ... они не делают это невозможным.
Системы с высоким уровнем безопасности, которым требуется автоматический вход, обычно используют подробный мониторинг для выявления шаблонов злоупотреблений, а не для запрета доступа.
Единственный способ быть уверенным - никогда не сохранять пароль в цифровом хранилище и позволить людям вводить его.
В будущем у нас будет ИИ, который сделает это за нас, но пока это то, что у нас есть.