Drupal 6 нужно считать небезопасным?

После того, чтобы читать сообщение о linkedin на безопасности IT-систем и этой проблеме я думал бы, что, имея установку Drupal 6 по умолчанию без, например, phpass модуль нужно считать довольно небезопасным, так как пароли хранятся способом, который не требует, чтобы много силы предположило и проверило.

Я должен выполнить и установить phpass на каждом сайте Drupal 6?

3
11.01.2020, 14:55
2 ответа

Да!

Необходимо полагать, что Drupal 6 без phpass излишне небезопасен. И да, необходимо использовать phpass на всех приложениях D6. Существуют причины, они изменили способ, которым вещи работают в Drupal 7 и сделали те же изменения доступными как модуль пользователям D6.

Нет никакой серебряной пули, но нет никакой причины проигнорировать простой в использовании модуль, который значительно увеличит Ваш уровень безопасности.

Не использование его немного похоже на не износ ремня безопасности: конечно, Вы не хотите когда-либо быть в результате несчастного случая для начала (аналогичны когда-либо разрешению любому получить доступ к Вашим данным), но после того как Вы попадаете в аварию, слишком поздно, чтобы попытаться коробиться. Коробьтесь теперь!

Обновление: специалист по безопасности, кажется, соглашается со мной:

... получите представление, что взломщики в конечном счете войдут в Вашу сеть, получить доступ к Вашим данным... необходимо смотреть на проблему по-другому.

5
24.01.2020, 23:09
  • 1
    Аналогия имеет смысл мне, и стоит отметить, что так большая часть мира рада управлять в автомобилях без ремней безопасности ;), я определенно поощрил бы любого использующего Drupal 6 устанавливать модуль PHPass и конкретно ответвление 6.x-2.x. –  greggles 13.06.2012, 18:14
  • 2
    276,294 D6 в дикой природе и только 809 установках phpass. Если проблема так страшна почему огромное несоответствие? –  Mark Ferree 13.06.2012, 21:23
  • 3
    @MarkFerree: "так страшный" Ваша фраза, не моя. И какой вывод Вы делаете из тех чисел? –  iconoclast 21.06.2012, 19:29
  • 4
    Трудно сделать вывод. Или подавляющее большинство владельцев Drupal 6 сайтов не рассматривает это как проблему или более вероятно не знает о проблеме вообще. –  Mark Ferree 21.06.2012, 21:02

Безопасность происходит во многих различных точках в системе. Что касается меня, если у хакера уже есть полный доступ к базе данных, это игра закончена.

Чтобы помочь защитить конфиденциальность Вашего пользователя, я сделал бы все, что Вы можете на уровне сервера для предотвращения этого.

Другой шаг, который можно сделать, санирует пользовательские данные, в которых Вы не нуждаетесь при перемещении баз данных разработки. Если Вы не используете хэши пароля в разработке, оставляют их на рабочем сервере, где они безопасны и менее вероятны быть неуместными.

Так как тот упомянутое добавление phpass, определенно не причиняет боль. Моя философия на безопасности должна покрыть максимально слабые места придиры, не управляя собой сумасшедшие пограничные случаи преследования, и кажется достаточно легким добавить к соединению.

2
24.01.2020, 23:09
  • 1
    Вероятно, безопасность не является точным термином здесь (ни конфиденциальность), и я сожалею, что не могу думать о лучшем. Ваш комментарий об "игра закончена" был адресован, я думаю в связанной проблеме. В основном - Вы не знаете, что у кого-то есть Ваша база данных (или часть этого), и они могут считать пароли Ваших пользователей, которые доверяли Вам. Я предполагаю, что poeple linkedin теперь ударяют головы в каждую доступную стену, бормоча, "почему не сделал нас...". –  mojzis 13.06.2012, 02:20
  • 2
    Где я пытался пойти, здесь не тратит впустую слишком много энергии, вызывающей беспокойство об алгоритме хеширования, когда существуют другие шаги для взятия, чтобы не вовлекать себя в проблему. Наличие захвата взломщика база данных является все еще серьезной проблемой, даже если они не взламывают пароли пользователя. копии –  Mark Ferree 13.06.2012, 21:20
  • 3
    Да, я понимаю Вашу мысль, но как @Brandon говорит выше: кто-то будет всегда врываться, если они действительно захотят. И затем Вы испытываете затруднения, но в случае, если Вы не защитили пароли, даже клиенты / посетители / участники испытывают затруднения - потому что многие из них просто используют тот же пароль везде... Мы говорим об этой дополнительной проблеме, которой можно легко избежать. –  mojzis 13.06.2012, 21:25

Теги

Похожие вопросы