abonnement iBood bol.com Vodafone Ziggo Coolblue
pi_201768895
Hey beste mensen,

Ik heb een database (voor een website) op een VPS. De VPS is nu wel adequaat beveiligd. De database wordt alleen maar benaderd via eloquent van laravel 8 dus in principe ook veilig.

Maar.

Het enige waar ik over in zit is beveiliging. Dus ik zou graag van jullie willen horen hoe jullie verder databases beveiligen (of als de database uitlekt de data onleesbaar is). Zelf zat ik eraan te denken om een stuk code toe te voegen. Als je bijvoorbeeld als voornaam Jan heet dan zet ik het in de database als Kbo. Gewoon +1.

Nou en dan een stuk ingewikkeldere code, voor de voornaam, achternaam verschillend etc.

Maar dit is eigenlijk vooral een ingeving die ik heb (en ja alles gaat daarna veel trager zoals zoekfunctionaliteiten etc.) en vrij simpel/amateuristisch

Wat zijn meer gangbare manieren?

[ Bericht 2% gewijzigd door Phoenyx-God op 15-10-2021 19:56:34 ]
The only thing I can really speculate on, is the very existence of my life with or without my wife in terms of the human relationships, the juxtaposition of one person to another. The form, the content.
pi_201769150
Security by Obscurity, altijd een goed idee.

Iets met encryptie ofzo...
M'n schoenen zijn gejat, maar ik hoef niet meer naar buiten, want er is nog wel wat.
pi_201769318
quote:
0s.gif Op vrijdag 15 oktober 2021 20:01 schreef Het_Bokje het volgende:
Security by Obscurity, altijd een goed idee.

Iets met encryptie ofzo...
Ja en op dit soort posts zit niemand te wachten. Wees gewoon duidelijk en volledig. Niet dit soort geblaat zoals iedereen in elk subforum
The only thing I can really speculate on, is the very existence of my life with or without my wife in terms of the human relationships, the juxtaposition of one person to another. The form, the content.
pi_201771315
quote:
0s.gif Op vrijdag 15 oktober 2021 20:10 schreef Phoenyx-God het volgende:

[..]
Ja en op dit soort posts zit niemand te wachten. Wees gewoon duidelijk en volledig. Niet dit soort geblaat zoals iedereen in elk subforum
Je vraagt om gangbare manieren... En dat is encryptie.

Waar je nu mee bezig bent, is op lange termijn niet haalbaar, immers zoals je zelf aangeeft je code gaat complex worden, indexen kunen er mogelijk niet goed mee overweg.
En zoals bokje aangeeft, het is Security by Obscurity, wat eigenlijk niets opleverd, afgezien voor jouw een hoo kopzorgen.
pi_201771409
Is er iemand die wel gewoon NL kan typen?

Ik had dit topic beter maandag kunnen starten
The only thing I can really speculate on, is the very existence of my life with or without my wife in terms of the human relationships, the juxtaposition of one person to another. The form, the content.
  vrijdag 15 oktober 2021 @ 21:50:20 #6
272296 Jan_Lul
Ik zit hier niet voor
pi_201771453
quote:
0s.gif Op vrijdag 15 oktober 2021 19:50 schreef Phoenyx-God het volgende:
Hey beste mensen,

Ik heb een database (voor een website) op een VPS. De VPS is nu wel adequaat beveiligd. De database wordt alleen maar benaderd via eloquent van laravel 8 dus in principe ook veilig.

Maar.

Het enige waar ik over in zit is beveiliging. Dus ik zou graag van jullie willen horen hoe jullie verder databases beveiligen (of als de database uitlekt de data onleesbaar is). Zelf zat ik eraan te denken om een stuk code toe te voegen. Als je bijvoorbeeld als voornaam Jan heet dan zet ik het in de database als Kbo. Gewoon +1.

Nou en dan een stuk ingewikkeldere code, voor de voornaam, achternaam verschillend etc.

Als ze bij je database kunnen, hebben ze hoogstwaarschijnlijk ook je sourcecode waarmee jij het weer moet decrypten. Dus of je wat aan deze methode hebt, betwijfel ik.
pi_201771485
quote:
0s.gif Op vrijdag 15 oktober 2021 21:50 schreef Jan_Lul het volgende:

[..]
Als ze bij je database kunnen, hebben ze hoogstwaarschijnlijk ook je sourcecode waarmee jij het weer moet decrypten. Dus of je wat aan deze methode hebt, betwijfel ik.
Met sql injection kan je toegang krijgen tot de database maar niet tot alle andere code.. Vergeet maar dat ik het hier vroeg zeg jezus
The only thing I can really speculate on, is the very existence of my life with or without my wife in terms of the human relationships, the juxtaposition of one person to another. The form, the content.
  vrijdag 15 oktober 2021 @ 21:52:48 #8
272296 Jan_Lul
Ik zit hier niet voor
pi_201771496
quote:
0s.gif Op vrijdag 15 oktober 2021 21:51 schreef Phoenyx-God het volgende:

[..]
Met sql injection kan je toegang krijgen tot de database maar niet tot alle andere code..
dan heb je serieuze gaten in je site.
pi_201771511
Gewoon een beetje zout over je hasj jwt
  zaterdag 16 oktober 2021 @ 09:04:28 #10
496777 Emmerdeur
insanity is never reasonable.
pi_201776226
Row-level security
Column-level security
Data masking
Encrypted communications
Windows Data Protection API (DPAPI)
SQL Server Service Key
Master key
Transparent data encryption (TDE)
Data access controller
Gebruik een firewall
En doe regelmatig security audits.

Je zal vast al wat hiervan in gebruik hebben , maar dit zijn volgens mij wel een aantal goede manieren.
Eventueel azure cloud gebruiken misschien?
1 death is a tragedy, 1 million a statistic.
pi_201780858
quote:
0s.gif Op vrijdag 15 oktober 2021 21:48 schreef Phoenyx-God het volgende:
Is er iemand die wel gewoon NL kan typen?

Ik had dit topic beter maandag kunnen starten
als je niet kan begrijpen waar ze het over hebben zou ik zelf flink research doen. Je mist de kennis duidelijk om zelf iets te implementeren.

encryptie is je beste optie, daarnaast moet je db alleen te benaderen zijn door je webserver en je eigen vast ip. als je de db open zet voor de wereld moet je niet raar opkijken als het gekraakt wordt
pi_201781689
quote:
6s.gif Op vrijdag 15 oktober 2021 21:53 schreef Drxx het volgende:
Gewoon een beetje zout over je hasj jwt
Hier dacht ik ook aan, maar ik ging ervan uit dat TS dat ook wel had bedacht. Blijkbaar is de database dermate belangrijk dat er dergelijke beveiliging nodig is, maar inlezen ho maar.

Ik begrijp dat de Tweakers-way wat overdreven is (eerst zelf proberen tot je vastloopt etc), maar wel top-IT antwoorden verwachten.

Zou je niet eerst beginnen om aan te geven welke database engine er gebruikt wordt? Welke mogelijkheden heeft die? Extra beveiligen, tegen wat? Corruptie, transactie-ellende, stroomuitval, dos-aanvallen, shell-attacks...

Ik snap dat laravel een eitje is, maar dit is toch ook geen rocket science?
M'n schoenen zijn gejat, maar ik hoef niet meer naar buiten, want er is nog wel wat.
pi_201796298
Als die database server alleen maar bereikbaar is vanaf de host waar de applicatie op draait worden dat soort trucs echt bijna nooit gedaan omdat het meer moeite kost dan dat het oplevert. Als je de boel gaat versleutelen staat de sleutel ook op die server, anders werkt je website niet.

Als je VPS zelf met kernel hardening e.d. al goed beveiligd is zou ik me vooral focussen op de applicatie en niet op de database erachter, het zijn meestal lekken in applicaties die dat soort gegevens laten uitlekken (de idioten die Elasticsearch instances direct aan het internet knopen even daargelaten, maar dat ben jij niet lijkt t)
abonnement iBood bol.com Vodafone Ziggo Coolblue
Forum Opties
Forumhop:
Hop naar:
(afkorting, bv 'KLB')