Código, Datos y Passwd encriptados? sqlplus $ USER / $ PASSWORD @ $ ORACLE_REMOTE_SID

Navega tus respuestas
3

Muchos de nuestros scripts * NIX usan "sqlplus $ USER / $ PASSWORD @ $ ORACLE_REMOTE_SID"

Sé que no es bueno tener una contraseña de texto claro en los scripts (no hay alternativa en este momento). Pero la pregunta

  • ¿el nombre de usuario y la contraseña transmitidos a través de la red están encriptados de manera segura?
  • ¿el código SQL transmitido a través de la red está encriptado de manera segura?
  • ¿Los datos transmitidos a través de la red están encriptados de manera segura?
pregunta Ivanov 01.12.2012 - 20:03
fuente

4 respuestas

1

Depende de su configuración. Oracle admite TLS como parte de su protocolo y controladores de datos, por lo que puede autenticarse y comunicarse completamente a través de TLS (SSL).

El hecho de que esto esté habilitado o no depende de:

  • Qué versión de Oracle DBMS está utilizando.
  • El controlador de datos que estás utilizando.
  • La versión del controlador de datos.

No estoy seguro de si es posible autenticarse a través de TLS y hacer el resto de la comunicación en texto sin formato, pero lo dudo, no sería muy seguro.

    
respondido por el Polynomial 01.12.2012 - 23:33
fuente
1

Las respuestas son

  1. No (el nombre de usuario es visible) / sí (la mayoría de las contraseñas están ocultas)
  2. y 3 No normalmente, a menos que pague extra e implemente las Opciones de seguridad avanzadas.

Para completar (1). La base de datos Oracle tiene un hash de la contraseña, no la contraseña real. Cuando se conecta, Oracle elige un valor y lo envía al cliente. El cliente tiene la contraseña ingresada por el usuario para obtener el mismo hash que la base de datos está almacenando, y luego la utiliza para calcular el valor enviado por la base de datos. Envía eso de vuelta a la base de datos. Mientras tanto, la base de datos también ha generado ese valor con la misma contraseña de hash.

Si el cliente tiene el mismo valor que la base de datos, se supone que proviene del mismo punto de inicio (es decir, la contraseña del usuario). Explicación completa

El algoritmo 11g es un poco diferente, pero la idea fundamental es que no se pasa la contraseña En texto claro o hash trivial. Se necesitaría un atacante serio.

Si el script se encuentra en el servidor de la base de datos, puede usar la autenticación del sistema operativo en lugar de una contraseña. Hay otros trucos que puede hacer (por ejemplo, hacer que la base de datos determine de qué dirección IP proviene una lista blanca / negra).

    
respondido por el Gary 04.12.2012 - 10:49
fuente
0

Por lo que sé, diría:

  • No
  • No
  • No

Y lo resumirá bastante :) Si desea una configuración de seguridad VPN a DB (la conexión dedicada es mejor). Y usar la autenticación de certificado (poca sobrecarga).

    
respondido por el damiankolasa 01.12.2012 - 22:13
fuente
0

consulte TNSALIAS que oculta la contraseña en Oracle Wallet. Claro, no está oculto para todos, pero le permite imponer la separación entre los administradores de bases de datos y el administrador de secuencias de comandos de las contraseñas y las cadenas TNS.

    
respondido por el Callum Wilson 04.12.2012 - 13:32
fuente

Lea otras preguntas en las etiquetas

¿Está representando una transacción de tarjeta de crédito? Problema Burp entre dispositivos no aptos para proxy