|
Вариант для распечатки |
Пред. тема | След. тема | ||
Форум Разговоры, обсуждение новостей | |||
---|---|---|---|
Изначальное сообщение | [ Отслеживать ] |
"В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от opennews (??) on 10-Апр-15, 00:23 | ||
Разработчики MariaDB планируют (http://www.zdnet.com/article/mariadb-corp-picks-off-speed-bo.../) включить в состав следующего значительного выпуска средства для защиты от атак, основанных на подстановке SQL-кода, а также поддержку шифрования хранимых данных. Противодействие подстановке SQL-кода осуществляется через применение специальных фильтров, отсеивающих потенциально опасные запросы. Реализация указанных возможностей передана (http://www.theregister.co.uk/2015/04/09/mariadb_google_secur.../) проекту компанией Google, которая использует (http://www.opennet.me/opennews/art.shtml?num=37905) MariaDB для обеспечения работы сервиса Cloud SQL. | ||
Ответить | Правка | Cообщить модератору |
Оглавление |
Сообщения по теме | [Сортировка по времени | RSS] |
1. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +1 +/– | |
Сообщение от Аноним (??) on 10-Апр-15, 00:23 | ||
naxsi на уровне базы? | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
2. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +6 +/– | |
Сообщение от bav (ok) on 10-Апр-15, 00:28 | ||
Лавры magiс_quotes не дают кому то покоя. В одной кривоте выпиливают, значит в другую необходимо запилить — баланс, епт. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
30. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +1 +/– | |
Сообщение от Капитан (??) on 10-Апр-15, 20:46 | ||
Разрабы MariaDB ответили, что фильтры будет в MaxScale | ||
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору |
4. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +5 +/– | |
Сообщение от Капитан (??) on 10-Апр-15, 00:36 | ||
Надеюсь это увидеть только в энтерпрайз-версии, подальше от галз нормальных людей. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
5. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | –7 +/– | |
Сообщение от cmp (ok) on 10-Апр-15, 00:38 | ||
А кто определяет степень потенциальной опасности. | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
18. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +6 +/– | |
Сообщение от омномномнонимус on 10-Апр-15, 11:17 | ||
ты знаешь что такое sql-injection? при чем здесь iptables? | ||
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору |
22. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от cmp (ok) on 10-Апр-15, 14:07 | ||
при том, что и ip пакет и post-запрос из html-ки в sql это пакет, который можно сравнить c шаблоном и принять или отклонить до того как он будет передан программе. | ||
Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору |
25. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +3 +/– | |
Сообщение от омномномнонимус on 10-Апр-15, 15:41 | ||
это как гвозди забивать микроскопом. | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
33. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +2 +/– | |
Сообщение от anonimous on 10-Апр-15, 22:23 | ||
всего-то надо всякое шифрование отключить, и запросы голым текстом гнать (чтоб iptables мог их распарсить) | ||
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору |
37. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +1 +/– | |
Сообщение от cmp (ok) on 11-Апр-15, 07:41 | ||
а кто говорит о использовании именно iptables? | ||
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору |
7. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +1 +/– | |
Сообщение от Xasd (ok) on 10-Апр-15, 02:51 | ||
> Противодействие подстановке SQL-кода осуществляется через применение специальных фильтров, отсеивающих потенциально опасные запросы | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
8. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | –1 +/– | |
Сообщение от Отражение луны (ok) on 10-Апр-15, 03:29 | ||
И давно ты долбишь втихаря?) SQL тем и полезен, что можно удобно цеплять любые данные, которые тебе нужны, причем уже в готовом виде. А большинство проблем SQL инъекций решается нормальным использованием ролей. | ||
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору |
14. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +2 +/– | |
Сообщение от Sergey722 (ok) on 10-Апр-15, 09:51 | ||
Вы это, того, сами-то поосторожнее с веществами. Товарищ абсолютно справедливо указывает, что в MySQL (в Марии, полагаю, тоже) уже давно поддерживаются подготовленные запросы, которые и являются защитой от SQL-инекций и, на мой непрофессиональный взгляд, не особо ограничивают полет фантазии "художника". А набор костылей, который анализирует содержание запроса... ну Вы поняли. | ||
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору |
15. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от anono on 10-Апр-15, 10:52 | ||
Не по теме, но всегда хотелось узнать почему SQL - "сиквел". Он с 86-го года уже "эскуэль". | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
17. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | –1 +/– | |
Сообщение от клоун on 10-Апр-15, 11:13 | ||
Чтобы произносить на одном дыхании: | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
19. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от anono on 10-Апр-15, 11:51 | ||
> Не по теме, но всегда хотелось узнать почему SQL - "сиквел". Он | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
20. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +2 +/– | |
Сообщение от Sergey722 (ok) on 10-Апр-15, 12:43 | ||
Опыт семейной жизни учит меня не быть слишком придирчивым в восприятии слов и, соответственно, я теперь не особо заморациваюсь, когда сам употребляю слова (иногда это выходит боком, но в целом выгоднее), забочусь в основном о том, чтобы меня правильно поняли. Что касается Вашего вопроса, уже очень давно я начинал читать книгу по MySQL, где автор настаивал, что в случае ЯП правильно говорить "сиквел", а в случае MySQL - "МайЭсКьюЭль" (при этом он говорил, что это не строго и сколько людей - столько мнений). Т.ч. в этом смысле я не совсем корректно выразился, но как я уже говорил не придаю значения таким вещам. Линукс / Линэкс / Гню Линэкс, какая разница? Кто в теме тот поймёт, что имеется ввиду под словом Линукс (в зависимости от контекста). | ||
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору |
28. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +1 +/– | |
Сообщение от Moomintroll (ok) on 10-Апр-15, 17:24 | ||
> не особо заморациваюсь | ||
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору |
16. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от йцу on 10-Апр-15, 11:03 | ||
Подготовленные запросы не предотвратят подобного: | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
21. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от userd (ok) on 10-Апр-15, 13:02 | ||
> ...не особо ограничивают полет фантазии "художника". | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
23. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +3 +/– | |
Сообщение от тоже Аноним (ok) on 10-Апр-15, 14:40 | ||
Собственно, инъекции отбиваются даже простейшими обертками типа safemysql. | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
31. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от Crazy Alex (ok) on 10-Апр-15, 21:31 | ||
Ну вот и вкрутили бы именованные вместо вот этого... не знаю даже, как назвать. И какая там потеря? Просто одна фаза подготовки к исполнению запроса (парсинг SQL во внутренние структуры) выполняется заранее. | ||
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору |
24. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от userd (ok) on 10-Апр-15, 15:28 | ||
> З.Ы.: Грешно так говорить, но меня не покидает мысль, что те, кто не использует подготовленные запросы, должны страдать, потому что это настолько эффективное и простое решение... | ||
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору |
27. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от Sergey722 (ok) on 10-Апр-15, 16:18 | ||
Я готов признать, что есть неудобные моменты. | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
29. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от anonymous (??) on 10-Апр-15, 18:32 | ||
> Нетрудно представить себе ситуацию, когда появляется запрос типа | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
32. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от Crazy Alex (ok) on 10-Апр-15, 21:33 | ||
такое, как вы написали - можно. Нельзя скормить сет из нескольких заначений из приложения одним параметром. Что решается простейшей обёрткой, разумеется. | ||
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору |
34. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от userd (ok) on 10-Апр-15, 22:50 | ||
простейшей обёрткой похвастаетесь? | ||
Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору |
38. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от Bx (ok) on 13-Апр-15, 00:06 | ||
>> З.Ы.: Грешно так говорить, но меня не покидает мысль, что те, кто не использует подготовленные запросы, должны страдать, потому что это настолько эффективное и простое решение... | ||
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору |
39. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от userd (ok) on 13-Апр-15, 13:00 | ||
> Это только на первый взгляд. Вред таких запросов не очевиден, но есть. До сих пор бегают пара-тройка перловых скриптов, которым на вход IN может иногда попасть несколько сот параметров. Или даже тысяч, редко. Вместо ожидаемых единиц. :( | ||
Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору |
40. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от Bx (ok) on 13-Апр-15, 17:46 | ||
Я не против оператора IN, я против prepared statement с неопределенным, заранее неизвестным кол-ом входных параметров. Мне фантазия позволяет представить число праметров числом с 6 нулями. Или с 8. | ||
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору |
41. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от userd (ok) on 13-Апр-15, 20:55 | ||
> Зачем? | ||
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору |
26. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +5 +/– | |
Сообщение от Verbum (ok) on 10-Апр-15, 16:01 | ||
На уровне базы не должно работать никаких встроенных фильтров, | ||
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору |
35. "В MariaDB будет встроен механизм борьбы с атаками, манипулир..." | +/– | |
Сообщение от anonymous (??) on 10-Апр-15, 22:53 | ||
Ну что за категоричность, такая! | ||
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору |
Архив | Удалить |
Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема |
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |