(ask) amankah pake server mySQL DB?

[baghostito]

Quote:

Originally Posted by bekha13

ada yg setuju klo keamanan sistem tuh materi super duper basic?

setuju.. menjadi super duper basic

awalnya seorang programer membuat program sesuai tujuannya yang akhirnya mau gak mau harus menambah materi tentang keamanan sistem,

contoh kasus terdefacenya situs depkominfo yg ITers nya udah dibayar mahal tapi situsnya masih bisa ditembus dgn sql inject (bocoran dikit) ..LoL

[bekha13]

karna anggapan sistem keamanan jadi materi super duper basic (ngeremehin kemampuan hacker & cracker lokal tuh!!), kejadian deh kasus deface & sql injection lol..

(depkominfo) dasarnya emang bener sih, progie dibikin cuma sesuai tujuannya.. ~telat sadar sama kekuatan sistem keamanan kyknya mereka..

[meongmania]

Quote:

Originally Posted by bekha13

karna anggapan sistem keamanan jadi materi super duper basic (ngeremehin kemampuan hacker & cracker lokal tuh!!), kejadian deh kasus deface & sql injection lol..

(depkominfo) dasarnya emang bener sih, progie dibikin cuma sesuai tujuannya.. ~telat sadar sama kekuatan sistem keamanan kyknya mereka..

maksud aprilus itu, bukan sistem keamanannya yg merupakan materi "super duper basic", tapi konsepsi dari topik thread ini yg notabene pertanyaannya menyangkut keamanan dari dbms mysql itu sendiri. konsepnya, teknik2 seperti sql injection itu termasuk front end app coding dan sangat jarang sekali berhubungan dengan dbms mysqlnya itu sendiri. yg dimaksud aprilus itu, ya ini basicnya... sql injection dst itu diluar topik pembahasan thread ini yg secara spesifik membahas 'dbms mysql' dan bukan web security... and permasalahan sql injection itu rata2 dibahas di web security.

pernyataan aprilus sendiri justru diperkuat ama kasus yg mas baghos ama mas bekha bilang, kasus di depkominfo, apakah itu salah mysqlnya? bukan kan? itu salah web developernya... jadi menurut gw bukan termasuk pada topik pembicaraan keamanan mysql itu sendiri

mudah2an bisa membantu meluruskan...

[bekha13]

spt yg sblmnya gw pernah bilang ngomong diluar topic keamanan MySQL jg gpp koq, asal msh berhubungan dengan penggunaan MySQL tu sendiri sebagai server databasenya.
Kasus 'SQLinjection' emg g ada hubungan dengan keamanan internal si mySQL/server SQL lainnya, tp msh ada hubungannya dengan query string yg dikirim oleh frontend apps kyk PHP. entah itu penulisan dari penulisan variabel yg dipake untuk query string ato tehnik generate query string itu sendiri.. :-) gw rasa menarik klo ngebahas sistem keamanan nggak mentok di MySQLnya aja, tapi secara keseluruhan seperti dari frontend app-nya.

klo mslh "super duper basic" versi aprilkacau sih udah bereskan..

yg skrg lg dibahas tuh "super duper basic" versi baghostito .. diliat dari arah pembicaraannya emg menjurus lebih ke arah front end app.

selama pake server database secara online, masa iya sih g ada yg nemu masalah selain dari front end application yg bener2 terjadi karena kurang pengalaman programmernya. masih ada masalah privilege, MySQL user account, field type.., mysqldump dan lain - lain.

yg pasti keep posting dah..

[meongmania]

Quote:

Originally Posted by bekha13

selama pake server database secara online, masa iya sih g ada yg nemu masalah selain dari front end application yg bener2 terjadi karena kurang pengalaman programmernya. masih ada masalah privilege, MySQL user account, field type.., mysqldump dan lain - lain.

yg pasti keep posting dah..

heheh bener kt mas bekha, previledge, roles & db users (sqlserver), accounts(oracle), field types, sampai apa yg ditaro di database itu jg berperan serta dalam "aman ato engga nya" kinerja server sql dalam konten ato aplikasi yg kita bikin. kita jg sebagai programmer atau sistem architect bertanggung jawab untuk menentukan bagaimana sebuah data disimpan ke database, dan dari pengalaman gw, ini sangat berperan langsung dengan aman ato tidaknya data yg tersimpan,

misalnya, kasus2 yg berbau managemen sekuriti pada dbms (yg kepikiran ama gw, selain dari yg disebutin ama mas bekha), penyimpanan data untuk password, sebaiknya (seharusnya) password tidak disimpan secara langsung kedalam database kedalam pair username-password tapi disimpan dalam fixed length md5 hashnya (setau gw ini umum dilakukan dimana2), karena, tidak seorangpun, bahkan admin dari sebuah database memliki hak untuk mengetahui secara gamblang si user ini passwordnya ini, user itu passwordnya itu. bahkan di beberapa negara, gw pernah baca dimana ya lupa, ada standar yg menentukan bahwa sebuah perusahaan dilarang menyimpan dan membuka kemungkinan distribusi data diri yg bersifat konfedensial (sperti password), jd kalo temen2 pernah liat ada databes yg nyimpen password seseorang selain dalam bentuk irreversible hash (md5, ato yg laen), gw yakin, ada yg ga beres dengan otak db admin ato developer2nya... hehehe gw jg dulu banget sebelum tau masalah ini sempet serem jg, misalnya gw daftar email di yahoo, gw taro password, wah, orang yahoonya tau dong password gw apa i'm so relieved it doesn't work that way

[bekha13]

beberapa aplikasi juga memiliki metode hashing thd passwordnya misalnya phpbb, dia punya metode hashing sendiri didalam script phpnya. jadi sebelum dikirim kedalam database dengan hash md5, script tsb di hash terlebih dahulu menggunakan prosedur hash mereka. intinya penggunaan md5 dictionary ga bakal terlalu berpengaruh, karena tiap data yg disimpen didalam dbmsnya sudah berbentuk biner yg sangat kompleks