Vlákno názorů k článku Oddělte od sebe uživatele serveru Apache a PHP od killer mouse - Zajímavé…nicméně představit si to nedokážu. Můžete to rozvést?
-
echo zulu (neregistrovaný)
Rozviesť čo? Technické riešenie? To nepoznám a možno ani neexistuje :)
Z hľadiska potrieb je to v podstate idea postavená na paranoji, že keď niečo budujete, môže to byť zaujímavé pre niekoho iného, zvlášt pre niekoho, komu to vy osobne nechcete dať.
Príkladom môže byť nejaká nekomerčná komunita, ktorá potrebuje nejaké miesto, kde funguje. To, že je nekomerčná je rozhodnutie členov, no aj tak by sa mohla dať speňažiť a to napriek vôli členov, treťou osobou, ktorá má k údajom prístup. Napríklad osobné údaje členov, kontakty na nich, história komunikácie, atď.
Prístup k akýmkoľvek údajom majú správcovia hostingu. Nerád by som sa dostal k nejakému paušalizovaniu alebo podozrievaniu, no hovorí sa, že príležitosť robí zlodeja a ideálna preto by podľa mňa bola možnosť takúto príležitosť nedávať nejakým technickým opatrením, ak by existovalo.
No a ako prípadný prevádzkovateľ musíte riešiť, že či to teda pôjde na nejakom lacnejšom hostingu s rizikom, že sa to nedá zabezpečiť alebo či to pôjde na vlastnom serveri, ktorý si musíte dodať a niekde fyzicky umiestniť a už vás to bude stáť o niečo viac ako málo, pričom, keďže je to nekomerčné, peniaze sa nevrátia a musíte to dotovať.
Neviem ako sa to berie v tejto dobe, keď Facebook tvrdí, že súkromie nepotrebujete, ale naivne mám tendenciu myslieť si, že ľudia neradi dávajú niekomu to, čo nemusia a tak si, opäť naivne, myslím, že s podobným problémom musí bojovať veľa začínajúcich nadšencov, ktorí riešia dilemu v zmysle: buď si to poriadne zaplatím a nevráti sa mi to, alebo za to zaplatím menej, nevráti sa mi toho menej, ale do mojich dát bude mať možnosť vidieť aj ten, kto nechcem.
-
BLEK. (neregistrovaný)
100% bezpečně to neuděláš. Můžeš ta data před uložením do databáze třeba šifrovat, ale ty šifrovací klíče budeš mít na tom samém počítači, takže ti je správce stejně bude moct přečíst.
Tohle se dá řešit pouze technikou nazvanou „security through obscurity“ — čili to ukládání dat udělat tak složité, že se správci nebude chtít se s tím analyzovat a dekódovat to.
Obecná knihovna na ukládání dat způsobem „security through obscurity“ není a ani z principu existovat nemůže — kdyby někdo takovou knihovnu udělal, tak by někdo jiný napsal proti tomu protiútok, takže ty bys sice data pomocí knihovny zakódoval bez práce, ale zloděj by je stejně tak bez práce dekódoval.
Musíš prostě sám vymyslet a napsat nějakou metodu, jak ta data zakódovat, a naprogramovat ho způsobem, aby se to špatně četlo (ideální by byla binárka bez zdrojáků, kdyby se tam dala spustit), a doufat, že ta data nemají takovou cenu, aby správci hostingu stálo za to se s tím piplat. Pokud se s tím bude chtít piplat (např. tu binárku disassemblovat), stejně ti to prolomí.
-
BLEK. (neregistrovaný)
No, tu databázi v prvé řadě potřebuješ chránit před uživateli z internetu. Čili koncové šifrování/dešifrování celé databáze u uživatele v browseru nepřipadá v úvahu. Z té spousty návštěvníků tvého webu se určitě najde jeden, který se v tom bude chtít povrtat, dokázat, jak je to nebezpečné, a šifrování v browseru ti rozbije.
Když to budeš kódovaně ukládat do databáze na tom hostingu, tak musíš spoléhat na to, že k tomu má přístup omezený počet lidí, ne všichni umí assembler a ne všichni mají tendenci strávit několik dní na to, aby se v tom vrtali. Nic lepšího ti nezbývá, když si nechceš platit vlasní fyzický server.
I když použiješ vlastní server, tak ti stejně provozovatel v tvé nepřítomnosti může rozlomit skříň a do toho serveru strčit PCI kartu, která mu za běhu vyjede obsah paměti, ani to nepoznáš. Ale zase je to o dost dražší a nebezpečnější než šmírování na sdíleném serveru (navíc, kdyby se provalilo, že to nějaký provozovatel udělal, tak skončí). Můžeš předpokládat, že ti to provozovatel udělá jen tehdy, jsou-li ta data extrémně cenná nebo trpíš-li extrémní paranoiou.
-
„do toho serveru strčit PCI kartu“
Jde tohle udělat za chodu? S restartem si toho člověk samozřejmě všimne (a bez restartu asi taky, že přibylo nějaké nové zařízení).Šifrování v DB mi přijde trochu na nic, protože se ty data nedají indexovat a pořádně v nich vyhledávat. To už je zajímavější šifrování celého disku, jenže pak tam člověk musí osobně při každém (re)startu serveru (protože vzdálenou konsoli může poskytovatel odposlouchávat).
-
BLEK. (neregistrovaný)
Ta PCI karta nemusí odpovídat na konfigurační přístupy a může přesto požadovat bus-master — čili nebude vidět ve výpisu PCI zařízení, ale paměť bude schopna přečíst. Podle specifikace PCI se karta za běhu do počítače strčit nesmí, což ovšem neimplikuje, že to nemůže nikdy fungovat.
