Foros del web, para los que viven de bits

el_cesar · 05-may-2006, 15:39

tengo dos dudas con referencia a AES Encrypt, primero, que tan seguro es este metodo de encryptacion, es decir, estoy a punto de construir una BD que contiene informacion muy confidencial sobre algunas empresas y pues va a ser parte de un proyecto que va a estar en linea asi que necesito que sea algo muy seguro.

y segundo:

he visto esta estructura de utilizacion del AES

Código PHP:


			
INSERT INTO t VALUES (1,AES_ENCRYPT('text','password')); 

SELECT AES_ENCRYPT('text','password2');

mi pregunta es, a que se refiere text y password, en ese caso como inserto los datos a la bd o como es que funciona puntualmente

gracias

deadlykyo · 05-may-2006, 16:41

AES_ENCRYPT() y AES_DECRYPT() son algoritmos de encriptacion bastantes seguros, dependiendo tambien de cuantos bits se usen para eso si no me equivoco en MySql por defecto es 128 pero extensible a 256 bits, pero me parece si es que la informacion que deseas proteger va estar en linea tienes no tanto es la conexion a la base de datos si no mas bien como enviaras por internet la informacion, ahi es donde deberias hacer uso de ssl(secure socket layer) para el acceso a tus datos a traves de clientes en la web , ya que si no tu informacion viajaria en texto plano a traves de internet y eso es mas facil de sniffear que cuando mandas la informacion cifrada, ahora si quieres tambien puedes crear politicas de acceso a la base de datos, restringiendo permisos y dando tambien acceso a la base con conexiones ssl, eso lo puedes hacer con el comando GRANT, otra cosa si pondra la informacion en linea el server es el que accede a la base y no los clientes web, es decir que la mayor proteccion seria pensar en dar cifrado a los datos en el envio, ahora si tambien habra acceso directo a la base de datos, seria bueno que les crees usuarios con conexiones ssl y que restrinjas sus ip's para que no accedan desde otra direccion, uyy es un mundo grande sobre seguridad, por cierto esto son solo sugerencias, espero te sirvan y te ayuden, ahora sobre el uso de las funciones AES de mysql, el primer parametro es el texto que deseas encriptar o desencriptar y el segundo es la llave que se usara para encriptar o desencriptar, claro que si quieres recuperar el texto desencriptado tienes que usar la misma llave que usaste al encriptar, saludos, cya

el_cesar · 05-may-2006, 17:47

Cita:

Iniciado por deadlykyo

....y que restrinjas sus ip's para que no accedan desde otra direccion....

me interesa mucho esta parte, como se puede hacer esto?

deadlykyo · 08-may-2006, 07:50

al crear el usuario que hara la conexion a la base de datos le dices que permisos tendra (Insert,uptdae,delete,etc) o todos (ALL PRIVILEGES) y a que base y a que tablas accedera (base.tablas), despues le das el usuario y desde donde accedera ('usuario'@'ipEquipo')

Código PHP:


			
//
//    Privilegios    base.tablas 'usuario'@'ipEquipo'
GRANT ALL PRIVILEGES ON test.* TO 'root'@'localhost' IDENTIFIED BY 'password'

ahora tambien puedes restringir acceso a tu base de datos fuera de las herramientas que te provee el mismo mysql, con un firewall o tambien con iptables si usas linux, cya

05-may-2006, 15:39	#1 (permalink)
el_cesar Fecha de Ingreso: noviembre-2002 Ubicación: Cali Mensajes: 1.216	con referencia a AES_Encrypt tengo dos dudas con referencia a AES Encrypt, primero, que tan seguro es este metodo de encryptacion, es decir, estoy a punto de construir una BD que contiene informacion muy confidencial sobre algunas empresas y pues va a ser parte de un proyecto que va a estar en linea asi que necesito que sea algo muy seguro. y segundo: he visto esta estructura de utilizacion del AES Código PHP: `INSERT INTO t VALUES (1,AES_ENCRYPT('text','password')); SELECT AES_ENCRYPT('text','password2');` mi pregunta es, a que se refiere text y password, en ese caso como inserto los datos a la bd o como es que funciona puntualmente gracias __________________ Quien dijo yo?????

05-may-2006, 16:41	#2 (permalink)
deadlykyo Fecha de Ingreso: noviembre-2005 Ubicación: Cbba - Bolivia Mensajes: 743	AES_ENCRYPT() y AES_DECRYPT() son algoritmos de encriptacion bastantes seguros, dependiendo tambien de cuantos bits se usen para eso si no me equivoco en MySql por defecto es 128 pero extensible a 256 bits, pero me parece si es que la informacion que deseas proteger va estar en linea tienes no tanto es la conexion a la base de datos si no mas bien como enviaras por internet la informacion, ahi es donde deberias hacer uso de ssl(secure socket layer) para el acceso a tus datos a traves de clientes en la web , ya que si no tu informacion viajaria en texto plano a traves de internet y eso es mas facil de sniffear que cuando mandas la informacion cifrada, ahora si quieres tambien puedes crear politicas de acceso a la base de datos, restringiendo permisos y dando tambien acceso a la base con conexiones ssl, eso lo puedes hacer con el comando GRANT, otra cosa si pondra la informacion en linea el server es el que accede a la base y no los clientes web, es decir que la mayor proteccion seria pensar en dar cifrado a los datos en el envio, ahora si tambien habra acceso directo a la base de datos, seria bueno que les crees usuarios con conexiones ssl y que restrinjas sus ip's para que no accedan desde otra direccion, uyy es un mundo grande sobre seguridad, por cierto esto son solo sugerencias, espero te sirvan y te ayuden, ahora sobre el uso de las funciones AES de mysql, el primer parametro es el texto que deseas encriptar o desencriptar y el segundo es la llave que se usara para encriptar o desencriptar, claro que si quieres recuperar el texto desencriptado tienes que usar la misma llave que usaste al encriptar, saludos, cya __________________ "El Conocimiento es de todos, no solo de algunos"

05-may-2006, 17:47	#3 (permalink)
el_cesar Fecha de Ingreso: noviembre-2002 Ubicación: Cali Mensajes: 1.216	Cita: Iniciado por deadlykyo ....y que restrinjas sus ip's para que no accedan desde otra direccion.... me interesa mucho esta parte, como se puede hacer esto? __________________ Quien dijo yo?????

08-may-2006, 07:50	#4 (permalink)
deadlykyo Fecha de Ingreso: noviembre-2005 Ubicación: Cbba - Bolivia Mensajes: 743	al crear el usuario que hara la conexion a la base de datos le dices que permisos tendra (Insert,uptdae,delete,etc) o todos (ALL PRIVILEGES) y a que base y a que tablas accedera (base.tablas), despues le das el usuario y desde donde accedera ('usuario'@'ipEquipo') Código PHP: `// // Privilegios base.tablas 'usuario'@'ipEquipo' GRANT ALL PRIVILEGES ON test.* TO 'root'@'localhost' IDENTIFIED BY 'password'` ahora tambien puedes restringir acceso a tu base de datos fuera de las herramientas que te provee el mismo mysql, con un firewall o tambien con iptables si usas linux, cya __________________ "El Conocimiento es de todos, no solo de algunos"

Herramientas
Mostrar Versión Imprimible Enviar por Correo
Desplegado
Mode Lineal Cambiar a Modo Hibrido Cambiar a Modo Hilado