Файл Config.php содержит пароль Mysql в виде обычного текста, это разумно?
Название в основном говорит само за себя, файл config.php по умолчанию, созданный при установке продукта / интерфейса CRM (SugarCRM), который мой клиент приобрел, имеет пользователь MySQL db ' пароль хранится в нем в виде обычного текста?
Есть ли хороший способ зашифровать сам пароль, чтобы он не лежал в легко читаемом файле?
Или это просто вопрос, если у кого-то уже есть доступ к файлу, значит, у вас уже куча проблем, поскольку они уже есть в вашей системе?
Просто интересно, можно ли / каковы лучшие практики для такой ситуации?
Файлы конфигурации веб-приложений обычно содержат секреты в виде обычного текста.
Большинство поставщиков облачного хостинга (IaaS / PaaS) поддерживают передачу пользовательских данных при запуске экземпляров, чтобы они были доступны как переменные среды. Однако приложение должно быть изменено для поддержки чтения секретов из переменных среды. Обратитесь к примеру от Heroku.
Есть ли какой-нибудь хороший способ зашифровать сам пароль, чтобы он не лежал в файле, легко читаемый?
Права доступа к файлу не должны быть доступны для чтения всем.
Или это просто вопрос, если у кого-то уже есть доступ к файлу, значит, у вас уже куча проблем, поскольку они уже в вашей системе?
Да. Доступ к системе - это мат. Укрепление системы - это первый шаг. Усиление защиты должно выполняться на всех уровнях, в приложении, базе данных, ОС, сети и т. Д.
Помните, безопасность - это подвижная цель, и ее никогда не делают.
Или это просто вопрос, если у кого-то уже есть доступ к файлу, то у вас уже куча проблем поскольку они уже есть в вашей системе?
Да.
Есть способы частично смягчить это с помощью схем шифрования, загрузки паролей и т. Д. Непосредственно в память и т. Д., Но на самом деле эти схемы связаны с обфускацией. Если вы хотите, чтобы что-то автоматически подключалось к чему-то еще, у вас нет выбора, кроме как настроить какой-то секрет, простой текст или нет, чтобы дать ему возможность сделать это. Как только вы это сделаете, компрометация системы всегда означает, что секрет также скомпрометирован. Схемы, которые усложняют эту задачу, делают именно это ... они не делают это невозможным.
Системы с высоким уровнем безопасности, которым требуется автоматический вход в систему, обычно используют подробный мониторинг для обнаружения шаблонов злоупотреблений, а не запрета доступа.
Единственное. способ быть уверенным - никогда не сохранять пароль в цифровом хранилище и позволить людям вводить его.
В будущем у нас будет ИИ, который сделает это за нас, но пока это то, что у нас есть .