Friends

Login

Service

Antonio to Antonio's feed, Lega nerd
Secondo voi esiste un CMS che supporti la crittografia del database?
la situazione: voglio uno spazio web in SSL dove solo io posso vedere/modificare i contenuti. e fin qui nessun problema. però dal momento in cui dispongo di hosting condiviso presso società di hosting, non mi sento molto al sicuro riguardo alla sicurezza dei dati. quelli dell'hosting, per esempio, possono pur sempre sbirciare nel database e trovare tutti i miei dati in chiaro. nasce quindi l'urgenza di un CMS che sia capace di leggere/scrivere nel database usando come password quella dell'account registrato nel CMS stesso. è fattibile o è un'utopia? - Antonio
Risposta breve: "no" (se il CMS sta nell'hosting e il CMS deve conoscere la chiave per decrittare sei punto a capo). - Craiv
ma la chiave è memorizzata in "hash" su database. la mia idea è che solo se l'hash della password inserita è uguale all'hash del database si può procedere a far visualizzare/modificare i dati decrittati dal/nel database tramite la password (non hashata, attenzione). però mi rendo conto che magari i cookie dovrebbero contenere la password in chiaro, altrimenti bisognerebbe inserire la password ad ogni caricamento di pagina. (craiv, abbi pazienza. sono parecchio ignorante in materia) - Antonio
non devi criptare il database, ma il file system (o la partizione del file system dove tieni il database) - Claudio Cicali
ecco, non ci avevo pensato, ora diventa tutta un'altra storia. peccato. grazie claudio. :) - Antonio
che poi se non decodifichi client-side è tutto inutile... - Francesco Mosca
Appunto, da qualche parte fra il DB e il CMS devi pure decrittare, e sei daccapo - Craiv
(che la pass sia salvata in "hash" nel database in questo contesto non vuol dire una beata fava) - Davide in the TARDIS
#pedobear - Mäckley [ein troll!]
ma ai contenuti devi accederci solo tu? ché allora ti va bene qualcosa tipo wuala che forse non esiste più o anche Dropbox o simili ma con EncFS on top of it. - Davide in the TARDIS
sì ma deve essere un CMS online e facilmente consultabile da qualsiasi postazione, mi secca dover scaricare e risincronizzare tutto ogni volta - Antonio
dropbox è online - Craiv
maniera dropbox: vai su dropbox -> user e password -> scarichi il file criptato -> inserisci una seconda password -> visualizzi/modifichi il file -> chiudi tutto -> reupload su dropbox se hai fatto modifiche (e ci mette il tempo che ci vuole) -> log out. [fine. 8 passaggi, 2 password] - Antonio
maniera CMS online: vai sul sito www.sarannoanchecazzimiei.it/encrypted -> user e password -> visualizzi/modifichi -> log out [fine. 4 passaggi e una sola password] - Antonio
vedi la differenza? - Antonio
oltretutto con il metodo dropbox devi tenere conto del fatto che se il file criptato è un semplice exe non è cross-platform. se invece è un file apribile con un'applicazione ti devi anche scaricare l'applicazione se non sei al tuo pc. - Antonio
se scarichi un exe cifrato dal tuo CMS è la stessa cosa. Cmq se è il CMS che cifra/decifra non ci son storie. A meno di usare raffinate tecniche di DRM o whitebox la chiave sta da qualche parte. Anche facendo in modo che sia cifrata con una tua password, se chi cifra e decifra è il CMS residente a casa del provider il file è bello in chiaro nella memoria. e puo essere letto dal provider. - Davide in the TARDIS
eh, infatti. comincio a capire un po' come funziona. - Antonio
quello che devi fare è cifrare/decifrare in locale. - Davide in the TARDIS
Mettiti a casa il server. Prendi un pc o laptop e lo fai lavorare solo per quel cms e sito. Il problema è che in Italia tra l'upload demmeh e il costo di un IP statico ci smeni un po'.. Ma diversamente non puoi fare. - ☥ guideugé ٩(͡๏̯͡๏)۶
se avevo la possibilità di fare un server in casa con ip statico venivo a fare tutto 'sto casino? - Antonio
La tua domanda è un po' tipo "Se abbandono il portafoglio su una panchina di un parco pubblico, come faccio a non farmelo rubare?". Voglio dire... è la domanda che è un po' - come dire - ingenua. - Claudio Cicali
ma per quale stracazzo di motivo devi criptare dei file che stanno su drobpox - Craiv
esattamente claudio. e io invece cerco una cassaforte incollata sulla panchina alla quale solo io ho la combinazione per accedervi. - Antonio
ah non so craiv. *EVENTUALI* attacchi hacker, leak vari, cose così. - Antonio
ok, quindi anche i file che stanno sul tuo server remoto devono essere già criptati e i passaggi sono comunque 2 per lo stesso motivo - Craiv
tra dropbox e il server di aruba non cambia un cazo, perché il server per servirti i file già decrittati deve conoscere la chiave per decrittarli, e se la chiave sta sul server (vedi commento #2) chiunque abbia accesso al server ha accesso alla chiave. L'unica alternativa è quella che ti ha detto Davide, decriptare in locale, ma è già lo scenario che dici tu con dropbox. - Craiv
Ma perché non puoi mettere un server in casa? Guarda che per un solo cms e sito mica c'è bisogno di roba tosta, basta e avanza un laptop o PC usato. Possibile che non ti ritrovi un attrezzo in disuso? - ☥ guideugé ٩(͡๏̯͡๏)۶
bah, vabbe' e la corrente? e tutte le beghe di configurazione per avere qualcosa di sicuro? se non è il tuo lavoro è meglio lasciar perdere. - Davide in the TARDIS
davide +1 ecco - Antonio
La corrente se usi un portatile ha la batteria eventualmente puoi mettere un UPS che gli allunga l'autonomia ed alimenta il router e altri apparecchi. - ☥ guideugé ٩(͡๏̯͡๏)۶
batteria che una volta scarica si ricarica leggendo le tue puttanate. - Davide in the TARDIS
Non ho capito cosa c'entra la batteria con i consumi di corrente. - Antonio
Davide, stanno portatili che se gli tieni chiuso il monitor, cioè chiudendo il coperchio o come lo chiamano, vanno avanti 7-8 ore a batteria, se in più gli metti un UPS ad avere 24 ore di autonomia non ci vuole una scienza. Ovviamente il portatile lo comandi da remoto senza mai attivare lo schermo. - ☥ guideugé ٩(͡๏̯͡๏)۶
insiste, oh. - Antonio
ma sei ottuso o cosa? dopo quelle 24 ore che fai? - Davide in the TARDIS
del doman non v'è certezza - Antonio
ma quindi io che non lo leggo sono destinato a farmi scaricare la batteria forever and ever? uffa - Craiv
Antò, se stai in una zona dove l'elettricità può mancare per più di 24 ore, allora cambia città oppure prendi un generatore a pedali, così per ogni blackout ti rimetti in forma. - ☥ guideugé ٩(͡๏̯͡๏)۶
Puoi sempre usare due batterie, una che carica l'altra: quando una è scarica, viene caricata da quella carica, e cosí via. Che problema c'è? - Claudio Cicali
ah tu dici per quello voleva sia la batteria del portatile e l'UPS. genio. - Antonio
Antò, non avevo scritto premesso che, allora lo dico adesso.. Ho acceso ad un server amico per la VPN, nello stesso stanno anche una serie di siti che fanno sì e no sui 70 mila visitatori unici (non pagine, non bot) giornalieri. Questo server è un vecchio laptop Dell core 2 con Windows server 2012, alimentato da una UPS. Regge tutto l'ambaradan e non ha mai dato problemi. - ☥ guideugé ٩(͡๏̯͡๏)۶
benissimo. e sticazzi? - Antonio
Certo stica, ma quello che t'ho suggerito è fattibile; l'unico problema è la velocità in upload, ma per un solo cms e sito è sufficiente. - ☥ guideugé ٩(͡๏̯͡๏)۶