A felhős alkalmazásokban mennyire látják a saját alkalmazottak a felhasználók feltöltött adatait?
Jómagam is a számítástechnika területén tevékenykedem, így tisztában vagyok azzal, hogy mennyire más a valóság és amit egy cég állít magáról. Már csak azért is, mert jogi oldalról is védenie kell magát.
Hivatalosan a felhasználók jelszavát sem láthatja a rendszergazda/admin, csak jogköre van resetelni azt, mégis még manapság, 2018-ban is akadnak olyan oldalak, ahol emailben küldik el a plain/text jelszót és ahol az adminfelületen mindenbe belelát a rendszergazda, jelszavakba, privát üzenetekbe.
A magyar állami szférában minden nap rácsodálkozom, hogyan nem omlasztotta még valaki teljesen össze az egész rendszert, legyen szó kórházakról, önkormányzatokról vagy iskolákról.
Másfelől viszont a szakma legjobbjait gyűjti össze az összes nagy multinacionális vállalat, méretükből és befolyásukból fakadóan sokkal többen támadják őket a világ minden pontjáról a sötét oldal (szürke és fekete kalapos hackerek) legjobbjai és sokkal nagyobb százalékban vannak a hálózaton is. Ez is egy lényeges pont, ugyanis állami intézményekben talán pont azért nem lett még katasztrófa, mert egy Mancika ellen intézett social engineering csak az adott intézmény hálózatát fektetné meg, a többivel nincsenek kapcsolatban közvetlen hálózaton.
válasza:A cím és a leírás két teljesen más témáról szól. De...
Minden valamire való rendszer hash-t tárol és nem a jelszót, azaz ha akarnák se tudnák megnézni a jelszavakat, mert egyirányú algoritmussal vannak kódolva és sózva. Ilyen esetben nyilván egy elfelejtett jelszót is csak resetelni lehet.
Az állami rendszerek azért olyanok, amilyenek, mert a közbeszerzést kiírják, amit a haverok cége nyer meg 100 millióért, majd a "szomszéd Pistike" megcsinálja 200 ezerért és a maradék pénzt elteszik. Ezeket a rendszereket olyanok írják, akik kiolvastak egy 20 oldalas PHP alapozót és azt hiszik, tudnak programozni, aztán kapásból szűrés nélkül engedik a user inputot az SQL querybe.
A felhőtárhely az más. Ott általában ha látják is a tartalmat, a lőtéri kutyát sem érdekli, meg kapacitás sem lenne mindent átnézni. Egyébként meg felhőből is van zero-knowledge, ami már a kliensen titkosít, azaz a szolgáltató sem tudja, milyen adat van fent.
válasza:Mennyire!? Nagyon. ;-)
Sőt ha a közvetlen adatbázisba titkosítva tárolja,
sokszor egy másodlagosa adatbázist is építenek.
(pl. ha titkosítási eljárás változik, újra generálják...)
Fájlok esetén is sokkal egyszerűbb titkosítás nélkül tárolni.
(Többek közt nagy CPU igénye lenne a titkosítási eljárásoknak.)
A kliens oldali titkosítás az egyetlen tényleg biztonságos mód.
Nekem csak egy német, viszonylag nagy adatközponttal rendelkező cégnél voltam.
Ott bármely még virtuális környezetben futó rendszerhez is root/rendszergazdaként hozzáférhettem.
De időnk se lett volna bogarászni, átlag adatforgalom 120 Tbit/s.
Csak olyankor mikor konkrét szerver iránt és hatósági megkeresés volt.
(Németeknél ez 90% -ban a jogvédő szervezetek által indított feljelentések tették ki, zene és videó tartalom irányába, illetve nagy méretű ott a warez felhasználású bérelt szerverek száma, amit csak prviát módon értékesítenek, és mivel ott büntet a letöltés is, így gyakran elég vaskos IP - dátum listával távoznak amivel mennek az internet szolgáltatókhoz, azaz nem csak a szerveren tárolt adatokat, hanem annak elérési adatai is elérhetőek.)
Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!