디비설정파일의 보안성 정보
디비설정파일의 보안성본문
대부분 웹호스팅을 사용하구 있구요. 또 웹호스팅에서는 디비 계정과 텔넷계정을 동일한 이름과 패스워드로 사용하는곳이 많거든요. 근데 답답한것은 이런 계정들에 접속하면 서로 다른 계정에 접속할수있다는겁니다. 그러면 config.php 파일을 열람할수있게 되구요. 또 패스워드를 알아볼수있기에 뭐 보안이라고 말할수없을만큼 허술한게 사실입니다. 때문에 디비설정파일에서 계정과 패스워드 혹은 패스워드만 md5 로 암호화 해서 사용을 하면 어떨지 제안을 드립니다.
현재 디비설정파일이 암호화되고있는 국산 솔루션은 테크노트하나인거 같은데 문제는 base64 로 암호화되어 이것또한 쉽게 해석이 가능하다는거죠...
현재 디비설정파일이 암호화되고있는 국산 솔루션은 테크노트하나인거 같은데 문제는 base64 로 암호화되어 이것또한 쉽게 해석이 가능하다는거죠...
댓글 전체
테크노트가 설정파일을 Base64로 인코딩을 했다는거군요..
그전에 암호화 알고리즘을 사용 안했다면 평문이나 그거나 그게 그거겠네요..
근데 간단히 대칭키 알고리즘으로 암호화를 했다 쳐도 시스템에 있는 키는 또 어떻게 감출것인가가 문제가 되겠죠..
짧은 머리로는 제대로 설정파일을 숨길 수 있는 방법을 생각해보기 힘들것같네요.. 어차피 호스팅 환경이 그렇다면..
호스팅쪽에서 계정별 차단을 제대로 처리해 주는 곳을 이용하는 수 밖에요..
저는 그냥 config.php파일 명이라도 이름을 바꿔서 사용하고 있습니다.
그전에 암호화 알고리즘을 사용 안했다면 평문이나 그거나 그게 그거겠네요..
근데 간단히 대칭키 알고리즘으로 암호화를 했다 쳐도 시스템에 있는 키는 또 어떻게 감출것인가가 문제가 되겠죠..
짧은 머리로는 제대로 설정파일을 숨길 수 있는 방법을 생각해보기 힘들것같네요.. 어차피 호스팅 환경이 그렇다면..
호스팅쪽에서 계정별 차단을 제대로 처리해 주는 곳을 이용하는 수 밖에요..
저는 그냥 config.php파일 명이라도 이름을 바꿔서 사용하고 있습니다.
뭐 웹호스팅측에서 보안설정을 잘해주시면 더 좋겠지만 그렇지 않은 회사가 많더라구요.
얘기해도 뭐 확실한 답변을 기대하기는 힘들구요.
패스워드라도 평문이 아닌 md5 로 암호화하여 저장을 해두는것이 그나마 보안성에 좋지않나 생각돼서요. 뭐 이것또한 마음만 먹으면 크랙이 되는것이니 난감하긴 하지만요.
얘기해도 뭐 확실한 답변을 기대하기는 힘들구요.
패스워드라도 평문이 아닌 md5 로 암호화하여 저장을 해두는것이 그나마 보안성에 좋지않나 생각돼서요. 뭐 이것또한 마음만 먹으면 크랙이 되는것이니 난감하긴 하지만요.
md5같이 단방향 해쉬암호화를 쓰면 설정파일을 읽어야하는 부분에서 읽을 수 없잖아요? 그래서 대칭키 알고리즘이든지 암/복호화까지 가능해야하구요..
MD5는 패스워드만 가능하지만, 그 패스워드도 DB에 입력할 내용이므로 MYSQL쪽에서 평문이 아닌 MD5로 받도록 되어야겠죠.. 여러 유저에게 DB까지 호스팅하는곳에선 이게 일방적으로 해줄 수 없는문제기때문에 더더욱 불가능하겠네요..
MySQL쪽에서 MD5로 암호를 받도록 user별 설정이 가능한지는 저도 모르겠습니다.
MD5는 패스워드만 가능하지만, 그 패스워드도 DB에 입력할 내용이므로 MYSQL쪽에서 평문이 아닌 MD5로 받도록 되어야겠죠.. 여러 유저에게 DB까지 호스팅하는곳에선 이게 일방적으로 해줄 수 없는문제기때문에 더더욱 불가능하겠네요..
MySQL쪽에서 MD5로 암호를 받도록 user별 설정이 가능한지는 저도 모르겠습니다.
적으면서 생각을 더해보니, 암호 자체가 MD5로 변환된다해도 복잡해지기만 할뿐이지 설정파일 자체가 노출된다면 암호자체가 넘어가기 전에 노출되는 문제니까, 아무 소용 없군요.. 어쨌든..암/복호화 모듈이 별도로 있다면 좋겠죠..
php 인코더를 사용해보는것도 괜찮겠는데, 이건 호스팅에서 지원되는지 저는 모르겠습니다.. ^^; 아시는분에게 저도 물어보고 싶네요
php 인코더를 사용해보는것도 괜찮겠는데, 이건 호스팅에서 지원되는지 저는 모르겠습니다.. ^^; 아시는분에게 저도 물어보고 싶네요
zend로 바꾸어 놓으면 좀 낫지 않을까요?