Heslo ve scriptu (diskuse)

Přihlášení | Registrace

napište » Zprávičky

včera 23:55 | Nová verze

Byla vydána nová stabilní verze 24.05 linuxové distribuce NixOS (Wikipedie). Její kódové označení je Uakari. Podrobný přehled novinek v poznámkách k vydání. O balíčky se v NixOS stará správce balíčků Nix.

Ladislav Hagara | Komentářů: 0

NetworkManager 1.48.0

včera 17:33 | Nová verze

Byla vydána nová verze 1.48.0 sady nástrojů pro správu síťových připojení NetworkManager. Novinkám se v příspěvku na blogu NetworkManageru věnuje Fernando F. Mancera. Mimo jiné se v nastavení místo mac-address-blacklist nově používá mac-address-denylist.

Ladislav Hagara | Komentářů: 7

25 let Krity

včera 17:11 | Komunita

Před 25 lety, 31. května 1999, započal vývoj grafického editoru Krita (Wikipedie). Tenkrát ještě pod názvem KImageShop a později pod názvem Krayon.

Ladislav Hagara | Komentářů: 3

Novinky v Kdenlive 24.05.0

včera 12:55 | Nová verze

Farid Abdelnour se v příspěvku na blogu rozepsal o novinkám v nejnovější verzi 24.05.0 editoru videa Kdenlive (Wikipedie). Ke stažení brzy také na Flathubu.

Ladislav Hagara | Komentářů: 0

David Revoy: aktuální grafická pracovní stanice

včera 11:22 | Zajímavý článek

David Revoy, autor mj. komiksu Pepper&Carrot, se rozepsal o své aktuální grafické pracovní stanici: Debian 12 Bookworm, okenní systém X11, KDE Plasma 5.27, …

Ladislav Hagara | Komentářů: 6

Wayland 1.23.0

30.5. 22:44 | Nová verze

Wayland (Wikipedie) byl vydán ve verzi 1.23.0. Z novinek lze vypíchnout podporu OpenBSD.

Ladislav Hagara | Komentářů: 0

Novinky ve Windows Subsystému pro Linux (05/2024)

30.5. 21:22 | Zajímavý článek

Craig Loewen na blogu Microsoftu představil novinky ve Windows Subsystému pro Linux (WSL). Vypíchnout lze GUI aplikaci pro nastavování WSL nebo správu WSL z Dev Home.

Ladislav Hagara | Komentářů: 0

Maker Faire Ostrava

30.5. 12:44 | Pozvánky

V sobotu 1. června lze navštívit Maker Faire Ostrava, festival plný workshopů, interaktivních činností a především nadšených a zvídavých lidí.

Ladislav Hagara | Komentářů: 0

Caddy 2.8

30.5. 12:22 | Nová verze

Webový server Caddy (Wikipedie) s celou řadou zajímavých vlastností byl vydán ve verzi 2.8 (𝕏). Přehled novinek na GitHubu.

Ladislav Hagara | Komentářů: 13

HAProxy 3.0

29.5. 22:11 | Nová verze

Byla vydána verze 3.0 (@, 𝕏) svobodného softwaru HAProxy (The Reliable, High Performance TCP/HTTP Load Balancer; Wikipedie) řešícího vysokou dostupnost, vyvažování zátěže a reverzní proxy. Detailní přehled novinek v příspěvku na blogu společnosti HAProxy Technologies.

Ladislav Hagara | Komentářů: 7

Centrum | Napsat | Starší

navrhněte » Anketa

Podle hypotézy Mrtvý Internet mj. tvoří většinu online interakcí boti.

Jsem bot. (90%)

Jsem člověk. (3%)

Opravdu jsem člověk! (4%)

Jsem něco jiného. (4%)

Celkem 1066 hlasů

Komentářů: 17, poslední včera 15:31

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Blogy / milan_at_ABC / Heslo ve scriptu / Heslo ve scriptu (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (1) ?

Vložit další komentář

11.7.2019 10:14 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Heslo ve scriptu

Odpovědět | Sbalit | Link | Blokovat | Admin

OpenSSL mi hlásí varování:

$ echo ahoj | openssl enc -aes-256-cbc -a -salt -pass pass:heslo
*** WARNING : deprecated key derivation used.
Using -iter or -pbkdf2 would be better.
U2FsdGVkX1/MmdqIhLBWQQxQ1RM1OguQlsQVjCxe5OU=

Lepší by tedy bylo použít:

$ echo ahoj | openssl enc -aes-256-cbc -a -pbkdf2 -pass pass:heslo
U2FsdGVkX1/MXOXIoTimxz/EwJpqshL6s/iGbm7aDWI=

Nicméně celé šifrování je tu trochu nadbytečné, když jsou zašifrovaná data i heslo v souborech hned vedle sebe. Když už, tak se dělá aspoň to, že zašifrovaná data jsou v souborech a heslo v databázi – nebo naopak – takže kdyby někdo ukradl zálohu jen souborů nebo jen databáze, k datům se nedostane, takže to trochu nějaký smysl má (byť je to pořád v podstatě security through obscurity).

Pokud by šlo jen o to „aby nebilo do očí, když skript prohlížíte / upravujete, a někdo, koho nemůžete odehnat, vám stojí za zády“ – tak na to stačí i kódování Base 64, není potřeba šifrovat.

Důležité je, aby byla hesla/klíče oddělená od programu/skriptu a nemohla se ani náhodou dostat do historie verzovacího systému.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

11.7.2019 11:48 Milan Uhrák | skóre: 31 | blog: milan_at_ABC
Rozbalit Rozbalit vše Re: Heslo ve scriptu

Hm, ssh mi tuto hlášku nehodilo, ale jistě je to dobrý posun vpřed ( opustit salt ).

Co se týče toho zašifrování, tak ano , na zamýšlený účel je to kanón na vrabce a na pořádné zabezpečení slabý půlkrok vpřed.

Ale touhle cestou jsem se dal, a došel jsem do cíle. Řešení se dá později uzpůsobit k různým vylepšením, což base64 už nenabízí.

Díky za ohlas ..

11.7.2019 23:16 ACSA
Rozbalit Rozbalit vše Re: Heslo ve scriptu

Pojem security through obscurity se používá pro tři úplně odlišné věci:
1) místo toho abych to zabezpečil pořádně, tak to jen zobfuskuju.
- Tohle je samozřejmě fuj.
2) zabezpečím to a obfuskuju (nebo k tomu třeba aspoň nezveřejním zdrojáky).
- Může snižovat udržovatelnost
- Může snižovat šanci odhalit chyby, které tam přecejen omylem udělám - žádný program není bez chyb
- Ztěžuje automatické zneuití průniku, což v globálu vede ke zvyšování nákladů útočníka - pokud díky chybě v nějaké serverové komponentně ukradnu 10 000 všemožně zašifrovaných databází, je to fakt opruz i když ty klíče mám k dispozici.)
3) zabezpečit to nejde, tak to aspoň obfuskuju.
- Bezpečné to není
- Dokáže nechutně ztížit práci. Patří sem třeba ochrana proti kopírování programů, DRM, nebo viry. A v tom fakt není sranda se hrabat.

12.7.2019 15:14 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Heslo ve scriptu

3) má zajímavý důsledek že typicky znemožňuje adminovi který to nechce crackovat pochopit co na čem závisí a kudy jaká citlivá data tečou a na základě toho učinit správné rozhodnutí o zabezpečení. Celá ta Pass-The-Hash sága + toto vzniklo podle mě přesně z tohoto důvodu.

Já to s tou denacifikací Slovenska myslel vážně.

12.7.2019 17:01 ACSA
Rozbalit Rozbalit vše Re: Heslo ve scriptu

No... Já vidím problém v tom, že Microsoft napřed dal lidem iluzi alespoň nějaké bezpečnosti (a tím je přesvědčil že sdílet ten soubor s lidmi není naprosto nepřípustné), a pak to celé sabotoval tím že to heslo napsal na web.

12.7.2019 17:25 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Heslo ve scriptu

IMHO kdyby ho nenapsal na web tak to stejně za chvíli někdo reverzne. Viz třeba mimikatz.

Já to s tou denacifikací Slovenska myslel vážně.

12.7.2019 18:42 ACSA
Rozbalit Rozbalit vše Re: Heslo ve scriptu

Já bych to nepsal na web a do toho souboru napsal takové to klasické "nikomu tenhle soubor neposílejte". Jinak díky za tip na zajímavej SW.

12.7.2019 18:45 ACSA
Rozbalit Rozbalit vše Re: Heslo ve scriptu

Byť je teda otázka, jestli to někdo nezreverzí už týden po vydání, no..

11.7.2019 20:27 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Heslo ve scriptu

Odpovědět | Sbalit | Link | Blokovat | Admin

Prostě to heslo dej do jiného souboru. Třeba do ~/.netrc. Nebo kamkoliv jinam. Tím také vyřešíš to, že to heslo necommitneš spolu se scriptem (pokud bys ho někam commitoval).

Hello world ! Segmentation fault (core dumped)

11.7.2019 22:45 kralyk z abclinuxu | skóre: 29 | blog:
Rozbalit Rozbalit vše Re: Heslo ve scriptu

Odpovědět | Sbalit | Link | Blokovat | Admin

A potřebuješ nutně heslo? Nemůžeš to vyřešit třeba přihlášením přes pubkey (pokud to je ssh)?

What Big Oil knew about climate change

12.7.2019 11:16 Xerces
Rozbalit Rozbalit vše Re: Heslo ve scriptu

Odpovědět | Sbalit | Link | Blokovat | Admin

Hele pokud má mít skript přístup k nějakému zdroji a ty máš přístup ke skriptu, tak to je asi neřešitelný problém bych řekl. :-)

Navrhoval bych znepřístupnit ten soubor všem kromě root uživatele daného serveru.

12.7.2019 11:35 xsubway | skóre: 13 | blog: litera_scripta_manet
Rozbalit Rozbalit vše Re: Heslo ve scriptu

To ale neřeší "čumili", tedy jen částečně :-)

Ty se totiž řeší jinak. Ale samozřejmě je vhodné oddělit kód a hesla.

12.7.2019 20:27 Milan Uhrák | skóre: 31 | blog: milan_at_ABC
Rozbalit Rozbalit vše Re: Heslo ve scriptu

Jasně ... takto není vidět heslo, ani když zkontroluji ( otevřu a mrknu se ) na obsah souborů s hesly a s čumilem za zády ...

Myslím, že zašifrování hesla tímto způsobem splňuje přesně to, co jsem chtěl a umožňuje případné rozšíření o různé skrývačky a vylepšení.

Ale nejsem v situaci, kdy by stálo za to komplikovat si toto dalšími labyrinty ... prozatím.

Díky za reakce

15.7.2019 15:00 ::: | skóre: 14 | blog: e_lama
Rozbalit Rozbalit vše Re: Heslo ve scriptu

Jasně ... takto není vidět heslo, ani když zkontroluji ( otevřu a mrknu se ) na obsah souborů s hesly a s čumilem za zády ...

Proc by ses do toho souboru dival kdyz tam to heslo neuvidis ani ty? :-)

16.7.2019 10:11 Milan Uhrák | skóre: 31 | blog: milan_at_ABC
Rozbalit Rozbalit vše Re: Heslo ve scriptu

to byl myšlen případ, kdy hesla vysourcuju v otevřeném textu do vedlejšího souboru...

17.7.2019 16:55 Gilhad | skóre: 20 | blog: gilhadoviny
Rozbalit Rozbalit vše Re: Heslo ve scriptu

Treba pokud mam takovych vic a vim, ze to je na tri ruzne stroje a u jednoho to zakodovane zacina AA u druheho to konci 222 a ten treti je proste divnej, tak mi jedno mrknuti staci, abych videl, zda paruju spravny stroj se spravnym heslem :)

21.7.2019 10:13 KS | skóre: 10 | blog: blg | Horní polní u západní dolní
Rozbalit Rozbalit vše Re: Heslo ve scriptu

Odpovědět | Sbalit | Link | Blokovat | Admin

Nebo dej heslo do proměnné prostředí. Tu proměnnou potom můžeš nastavovat ručně nebo nějakým wrapperem.

Pochybnost, nejistota - základ poznání

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje