Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

Legge Privacy e database

Problemi di HTML? Di PHP, ASP, .NET, JSP, Perl, SQL, JavaScript, Visual Basic..?
Vuoi realizzare programmi in C, C++, Java, Ruby o Smalltalk, e non sai da che parte cominciare?
Entra qui e troverai le risposte!

Moderatori: Triumph Of Steel, archimede

Legge Privacy e database

Postdi astroalex » 14/07/09 23:45

Ciao a tutti,
vorrei adeguare e alla normativa sulla Privacy un sistema Database - che memorizza informazioni di tipo anagrafico e di contatto, che ho creato e che gestisco per conto di un'associazione. Trattandosi di poche centinaia di records, il sistema è molto semplice ed è così costituito:

Su un PC con WinXP è installato EasyPHP (quindi Apache + MySQL).
Ho creato una piccola applicazione in PHP che gestisce il DB in locale, ma - devo dire - senza nessuna attenzione alla sicurezza (non era un obiettivo prioritario). Ad es.: l'accesso al DB avviene come root (!!!).
Quindi, quando una persona desidera accedere al DB, naviga in locale sulle pagine PHP che ho predisposto ed effettua le operazioni necessarie.

Mi chiedo: sistemare la questione sicurezza impostando credenziali d'accesso personalizzate per gli operatori, creando utenti multipli protetti da password con permessi adeguati attraverso GRANT et similia e crittografando i dati prima di salvarli nelle tabelle, può bastare?

Ha senso un'impostazione del genere, considerando che il server MySQL (e quindi i file dei dati) risiede sulla stessa macchina e che, montando WinXP, qualunque utente con tali file ci può fare qualsiasi cosa?

E se decidessi di passare a Linux (ma per le altre persone che dovrebbero usare il DB potrebbe essere fastidioso), la cosa cambierebbe?

Avete qualche consiglio a riguardo?

Vi ringrazio anticipatamente!
Alex
Alex

"Eterologico è autologico?"
astroalex
Newbie
 
Post: 4
Iscritto il: 12/01/08 10:45

Sponsor
 

Re: Legge Privacy e database

Postdi Dylan666 » 15/07/09 10:21

magari in MySQL crei degli account con diritti limitati su quelle tabelle (tipo lettura o lettura e modifica se è necessario) e fai in modo che il PHP li richieda ogni volta prima di fa girare la pagina con le varie operazioni.

Poi comunichi tale password agli operatori che dovranno immetterla a ogni accesso.

Naturalmente NON deve essere la password di root...
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Re: Legge Privacy e database

Postdi Dylan666 » 15/07/09 10:23

astroalex ha scritto:Ha senso un'impostazione del genere, considerando che il server MySQL (e quindi i file dei dati) risiede sulla stessa macchina e che, montando WinXP, qualunque utente con tali file ci può fare qualsiasi cosa?


Mica vero... anche in questo caso devi avere una password di accesso al DB o i dati non li leggi... spero ovviamente che tu abbia personalizzato la password di root...
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46

Re: Legge Privacy e database

Postdi astroalex » 15/07/09 17:13

Ok...quindi creando i vari utenti al DB e i relativi permessi ed imponendo l'inserimento delle credenziali di autenticazione all'inizio di ogni sessione di lavoro il sistema dovrebbe essere ragionevolmente sicuro...

Ma in questo articolo:
http://www.work4net.it/2008/05/non-mi-r ... mysql.html

pare piuttosto semplice resettare la password di root senza conoscerla, se - come accade in Windows - si ha la possibilità di giocare con il server MySQL liberamente.

A quel punto l'eventuale malintenzionato potrebbe fare qualsiasi operazione sulle tabelle...o no?

Certo, la crittografia dovrebbe almeno impedire che i dati diventino leggibili senza conoscere la password di decrittazione che, nella mia idea, conserverei in una tabella apposita, crittata con un sistema one way. Giusto?

E quindi, l'utente utilizzatore lecito del sistema, oltre alle proprie credenziali di accesso, dovrebbe anche inserire la password di decrittazione "in chiaro" (che verrebbe criptata al volo dal PHP e confrontata con la versione criptata della password vera conservata in tabella)...o no?

Chiedo scusa per tutti i miei dubbi, ma sto cercando di capire bene le basi della sicurezza.
Grazie mille per la pazienza!

Ciao,
Alex
Alex

"Eterologico è autologico?"
astroalex
Newbie
 
Post: 4
Iscritto il: 12/01/08 10:45

Re: Legge Privacy e database

Postdi Dylan666 » 15/07/09 20:52

NB: i mei suggerimenti sono tecnici, non legali.
Il servizio MYSQL non lo puoi stoppare, ne puoi lanciare il prompt mysqld_safe se sul l'utente PC è loggato con un account limitato.
Certo, se fa eseguire XP da amministratore è tutto un cavolo, ma tu lasceresti un account con privilegi massimi a degli operatori di passaggio su una postazione "delicata"?
Avatar utente
Dylan666
Moderatore
 
Post: 38040
Iscritto il: 18/11/03 16:46


Torna a Programmazione


Topic correlati a "Legge Privacy e database":

Database CM
Autore: peppespina
Forum: Software Windows
Risposte: 1

Chi c’è in linea

Visitano il forum: Nessuno e 4 ospiti