Ha Python-ban írnék meg egy programot és azt átfordítom egy fix, értelmező nélkül futtatható binárisba, azt utána mennyire könnyű visszafejteni? Megnehezíthető ez valahogy az illetéktelenek számára?
Például : tegyük fel, hogy bejutnak valahogy a szerver feladatokat ellátó gépre. Nyilván ez már egy nagyon rossz helyzet... De abban gondolkodom, hogy talán egy plusz védelmi vonal felhúzható azzal, hogy a használt adatbázisokat, pl. a jelszó hash adatbázist egy teljesen saját formátumban tárolom, ill. egy saját algoritmussal olvasom ki; ezt a programot pedig valamelyik Python fordítóval (tudtommal léteznek ilyenek) lefordítom binárisba, és akkor ha be is jutnak a gépre, legalább rögtön nem fogják tudni visszafejteni az egész hash táblát, ill. nem tudják olyan egyszerűen módosítani az azt kezelő kódot.
Szóval, egy ilyen python scriptről fordított bináris mennyire őriz meg debug adatokat ill. magát a forráskódot? Ezek az adatok kitörölhetőek valahogy a binárisból?
válasza:Nyitott ajtókat döngetsz: "réges-régen" jópáran használtak natív binárisokat szerver oldali kód futtatására. CGI-nek hívták ezt a technikát (igazából akármit lehetet CGI-hez használni, ami a standard kimenetre képes volt írni, szóval nem csak natív futtathatókat, de akármilyen szkriptnyelvvel megírt értelmezett programoz is lehetett futtatni), csak akkoriban nem binárisra fordítható Python programokban gondolkoztak, hanem inkább C-ben, Pascalban, vagy C++-ban. És az egyik érv valóban az volt, hogy így nem tudják visszafejteni a programot, ha esetleg megszerzik, de sokkal nyomósabb érv volt, hogy így nehezebben lehetett az esetleges sebezhetőséget kihasználni, ugyanis a támadónak fogalma sem volt, hogy a .cgi kiterjesztés mögött valójában mi van: egy Perl-szkript? Vagy egy bináris? És ha utóbbi, akkor milyen nyelven íródott? Bár az igazán nyomós érv az erpforráshatékonyság volt. Egy jól megírt C, C++, vagy Pascal-program natív kódra fordítva nagyságrendekkel kevesebb erőforrást igényelt, és potenciálisan jóval gyorsabban futott. Viszont ma, a többtíz magos procik, és a többtíz GB-os RAM-ok korában ennek a jelentősége már eléggé visszaszorult. Ki lehet maxolni a doglokat ma is, ha van egy saját szervered (akár VPS), senki nem tiltja meg, hogy natív progrmaok állítsák elő a weboldal tartalmát, de azért az esetek 99%-ában erre nincs rákényszerülve az ember.
A saját hash meg tényleg elég kérdéses, nem valószínű, hogy jobbat sikerül alkotni, mint amit a szakma krémje alkotott és gondoz jónéhány éve. Bár az igaz, hogy bármi jobb a plain text jelszótárolásnál, márpedig még ma is sajnos sokan csinálják...
"Az a baj a saját hash-sel, hogy nincs tesztelve, és nem értesz annyira hozzá, hogy annyira jól írd meg, mintha létező, erre kitaláltat használnál."
De erről szó sem volt!!
Nem a hash függvény lenne saját! Eszembe nem jutott az Argon2-n kívül mást használni.
A hash adatbázis az, amit vagy saját algoritmussal titkosítanék, vagy ha azt nem is, akkor egy már meglevő, "hivatalos" algoritmussal DE úgy, hogy ahhoz semmi könyvtárt (az alap matematikain kívül) vagy külső meghívást nem használok, hanem egy natív implementációt.
"A saját hash meg tényleg elég kérdéses, nem valószínű, hogy jobbat sikerül alkotni, mint amit a szakma krémje alkotott és gondoz jónéhány éve."
Mondom, eszembe se jutott ezt megkérdőjelezni, én is ezen a véleményen vagyok. A hash adatbázis az, amit titkosítanék, arra az esetre, ha valamiféle táveléréssel bejutnának a szerverre.
A tűzfalakban, szervervédelemben nem vagyok jártas, és erre sajnos nem is fogok tudni szakembert megfizetni. Egy programozót tudok csak elég olcsón megfizetni, akit érdekel a project, ezért vállalta olcsón. De ő nyilván nem fog mindennek utánajárni, csak az alapok megírására van kapacitása.
Márpedig nekem távolról is el kéne érjem azt a szervert, sőt, mivel Windows specifikus dolgok is fognak rákerülni... 🙄 igen, tudom, szörnyen hangzik, de az a szerver valójában egy tenyérnyi méretű Windows LTSC-t futtató ASUS miniPC.
Szóval tuti, hogy van rajta kiskapu, amiről nem tudok. Egyenlőre annyit csinálok, hogy egy Mullvad VPN regisztráción keresztül megy ki a netre (mivel a kapcsolat lassulása nem nagy érvágás a feladat szempontjából), de ez állítólag már csak a pistikék ellen véd.
válasza: válasza:#15 Kulcsszavakból még nem fogok érteni.
Igen, tudom mi a kétfaktoros hitelesítés fogalma, felhasználói szinten. És?
Pontosan mit tudok vele kezdeni?
Vagy a Remote Utilities rendszerével érem el jelenleg a gépet, vagy AnyDesk-en. Sima otthoni hálózatban működik a gép, se publikus se statikus IP-m nincsen, úgyhogy jobbat nem tudtam kitalálni.
De gondolom a betörő nem ezeken fog bejönni. Tippem szerint FTP-n, mert szüleimnek egyenlőre egy ilyet is be kellett állítanom; igen, tudom, hogy mennyire csóró vagyok, hogy rendes NAS-t se tudok venni. Ha lenne valami kicsi, kiskapacitású (max. 4 GB), kis fogyasztású NAS szerűség forgalomban, azt persze, megvenném, de ilyenre senkinek sincs igénye, így nem gyártanak ilyet.
válasza:Kapcsolódó kérdések:
Minden jog fenntartva © 2025, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!