Likes: 0
16/05/06 17:15
Ik heb een paar misschien wat simpelle basis vragen...
Is het mogelijk om een mysql database te kraken op een shared hosting?
Kan ik hier wel zeer gevoelige gegevens in opslaan?
Is het verzenden van een email veilig of kan die zo onderschept worden?
Alvast bedankt voor jullie antwoorden
16/05/06 17:21
Dat hangt heel erg van de setup af. In ons geval krijgen klanten alleen die rechten die ze nodig hebben op MySQL, ze kunnen dus alleen hun eigen databases zien, en verder niks.
Dankzij het dichttimmeren van PHP (redelijk extreem paranoide zelfs) kunnen ze ook nooit bij de raw mysql data komen.
Mail kan ook niet zomaar onderschept worden, alles wordt of over SMTP afgeleverd bij onze mailserver, of via de lokale MTA doorgestuurd daarnaartoe, en er is voor een shared klant geen mogelijkheid om daar tussen te komen.
Qua gevoelige gegevens, hangt er ook van af. Als jij namen en email adressen opslaat, dan tja, ach, dat kan. Gebeurt genoeg. Ga jij echter hele bendes met prive gegevens opslaan dan denk ik dat je beter een dedicated/colocated server kan nemen, die server zo dicht mogelijk timmeren, en dan sta je er een stuk beter voor. Omdat je in dat geval zelf de enige gebruiker bent op die server
16/05/06 17:31
Dus mysql kan je zegmaar wel onkraakbaar maken?
16/05/06 17:33
Alles is te kraken.Oorspronkelijk geplaatst door d.sp1d3r
Ceph, CloudStack en ZFS consultancy: 42on B.V.
Lees hier de webhostingtalk.nl forum regels en voorwaarden!
16/05/06 22:21
Nee, niks is onkraakbaar. Je kan alleen de lat zo hoog leggen dat de skript kiddiez in ieder geval de moeite niet gaan nemen.
Als ze er echt in willen, komen ze er in
16/05/06 22:37
ja.Ik heb een paar misschien wat simpelle basis vragen...
Is het mogelijk om een mysql database te kraken op een shared hosting?
Kan ik hier wel zeer gevoelige gegevens in opslaan?
Is het verzenden van een email veilig of kan die zo onderschept worden?
Alvast bedankt voor jullie antwoorden
ja.
nee, ja.
:-)
Iets uitgebreider:
Alles is te kraken. Je kan het wel lastiger maken door de rechten per account zo strak mogelijk te maken dus niet 1 account gebruiken maar meerdere mysql users, dit vereist mogelijk medewerking van je hoster..
Geen onnodige shell access geven en nog wat zaken zoals de PHP code met bijv ioncube onleesbaar te maken.
Je kan ook denken aan het encrypen van gegevens die je opsla. Zorg er wel voor dat de key niet als cleartext opgeslagen staat en niet te simpel is. Draai verder geen gatenkaas software..
E-mail is alleen veilig(er) als het encrypted is.
18/05/06 01:08
Als je echt veilig wilt zitten moet je dus een dedicated of colocated server nemen.
1 van de grote risico's op een shared server is dat het voor de andere gebruikers al weer wat makelijker is om jouw database te kunnen lezen.
Dit omdat zei zelf ook op de zelfde server zitten.
(hoeft natuurlijk niet maar is wel degelijk een extra mogelijkheid om gekraakt te worden)
Verder is het natuurlijk belangrijk dat je eigen script ook goed waterdicht is.
Er zijn legio scripts op internet te vinden met lekken die het mogelijk maken om de gehele database te rippen.
18/05/06 07:54
Op een goed dicht getimmerde server is het nogal lastig om de database van een ander te lezen. Verder kan encryptie hier zeker helpen zodat, al zou men (een deel) van de inhoud kunnen lezen, men er nog niet direct iets mee kan..
Wil je het op shared hosting zetten dan denk ik dat het van belang is om de provider zorgvuldig uit te kiezen. Ook is het van belang om zo min mogelijk zaken als mysqladmin, phpbb etc op hetzelfde account te gebruiken.
Vraag maar aan domenico hoe het voelt als script kiddies je database onder handen nemen..
