Пароли ToadStudio в файле настроек, проблема безопасности - PullRequest
Новая
       9

Пароли ToadStudio в файле настроек, проблема безопасности

1 голос
/ 25 июня 2011

Мне нужно предоставить общий доступ к файлу настроек соединений для ToadStudio SQLeditor.

У меня есть некоторые опасения по поводу паролей, которые хранятся в файле настроек.

Файл в настоящее время выглядит следующим образом:

<ToadStudio>
  <FileVersion Encryption="3Des">3</FileVersion>
  <ConnectionHierarchy>
    <DbPlatform name="MySQL">
      <Path />
      <Connections>
        <Connection type="MySQL" autoCommit="True">
          <Path>MySQL</Path>
          <AutoConnect>False</AutoConnect>
          <Database>db</Database>
          <Host>localhost</Host>
          <User>dbuser</User>
          <Password>EF9ED08748C745FC</Password>
          <WinAuth>False</WinAuth>
          <LastConnectionDate>0001-01-01T00:00:00.0000000</LastConnectionDate>
          <Options>
            <Protocol type="SSH" />
            <SSH host="127.0.0.1" user="sshuser" password="744F3C66F88E084B" />
          </Options>
        </Connection>
      </Connections>
      <Groups />
    </DbPlatform>
  </ConnectionHierarchy>
</ToadStudio>

Он предназначен для подключения к базе данных через туннель SSH.

Итак, проблема в том, как пароли хранятся в этом файле.Глядя на первые строки в файле, я предполагаю, что пароли зашифрованы с помощью тройного DES.

В приведенном выше примере пароли равны именам пользователей (dbuser, sshuser)

Поскольку я могу поделиться этим файлом, любой другой экземпляр TOADStudio может расшифровать его до исходного простого текста, поэтому я могу только догадываться, что toadStudio использует жестко закодированное начальное число для шифрования.

У меня нет секретов состоянияна моем сервере, но я хотел бы немного заверить, что для кого-то будет непросто получить открытый текст пароля на основе этих файлов настроек.

Любое понимание будет оценено.

1 Ответ

0 голосов
/ 20 августа 2011

Для меня это похоже на 3DES, что, честно говоря, более безопасно, чем ваше обычное приложение - посмотрите, как VNC хранит свои пароли однажды, очень страшно.

В любом случае, это определенно звучит так, как будто вы на правильном пути. Вы действительно проверяли, что совместное использование этого файла позволяет другим пользователям TOAD подключаться с использованием сохраненной вами информации? Если так, то, вероятно, было бы довольно легко (хотя и не тривиально) для кого-то получить эти пароли. Тем не менее, 3DES не совсем подходит в наши дни, и его можно взломать, но если кто-то имеет достаточный доступ к вашей машине, чтобы украсть этот файл, он может с таким же легкостью занести вас в кейлог, установить бэкдоры или любые другие вещи. С точки зрения безопасности, если злоумышленник имеет достаточный доступ для доступа к этому файлу, возможно, игра в любом случае окончена.

...