免费注册	查看新帖 \|


平台论坛博客文库

› 论坛 › 程序设计 › C/C++ › 当密码保存在内存里面时，是绝对安全的吧？

12 3 4 / 4 页下一页

最近访问板块

发新帖

查看: 8290 | 回复: 34

上一主题

下一主题

[C] 当密码保存在内存里面时，是绝对安全的吧？ [复制链接]

论坛徽章:: 89

水瓶座
日期:2014-04-01 08:53:31

天蝎座
日期:2014-04-01 08:53:53

天秤座
日期:2014-04-01 08:54:02

射手座
日期:2014-04-01 08:54:15

子鼠
日期:2014-04-01 08:55:35

辰龙
日期:2014-04-01 08:56:36

未羊
日期:2014-04-01 08:56:27

戌狗
日期:2014-04-01 08:56:13

亥猪
日期:2014-04-01 08:56:02

亥猪
日期:2014-04-08 08:38:58

程序设计版块每日发帖之星
日期:2016-01-05 06:20:00

程序设计版块每日发帖之星
日期:2016-01-07 06:20:00

电梯直达

跳转到指定楼层

1楼 [收藏(0)] [报告]

发表于 2012-12-14 15:12 |只看该作者 |倒序浏览

比如我用一个字符串来保存密码（明文），打算后续使用这个密码去连接远程的数据库，这个时候会不会有安全问题呢？

文库|博客

论坛徽章:: 4

天秤座
日期:2013-10-18 13:58:33

金牛座
日期:2013-11-28 16:17:01

辰龙
日期:2014-01-14 09:54:32

戌狗
日期:2014-01-24 09:23:27

2楼 [报告]

发表于 2012-12-14 15:15 |只看该作者

你的安全要达到什么程度？或者你想防止什么样的攻击？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 324

射手座
日期:2013-08-23 12:04:38

射手座
日期:2013-08-23 16:18:12

未羊
日期:2013-08-30 14:33:15

水瓶座
日期:2013-09-02 16:44:31

摩羯座
日期:2013-09-25 09:33:52

双子座
日期:2013-09-26 12:21:10

金牛座
日期:2013-10-14 09:08:49

申猴
日期:2013-10-16 13:09:43

子鼠
日期:2013-10-17 23:23:19

射手座
日期:2013-10-18 13:00:27

金牛座
日期:2013-10-18 15:47:57

午马
日期:2013-10-18 21:43:38

3楼 [报告]

发表于 2012-12-14 15:16 |只看该作者

不安全，人家可以访问你的进程的内存

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

4楼 [报告]

发表于 2012-12-14 15:24 |只看该作者

回复 3# hellioncu

这个比较难吧？内存溢出？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 324

射手座
日期:2013-08-23 12:04:38

射手座
日期:2013-08-23 16:18:12

未羊
日期:2013-08-30 14:33:15

水瓶座
日期:2013-09-02 16:44:31

摩羯座
日期:2013-09-25 09:33:52

双子座
日期:2013-09-26 12:21:10

金牛座
日期:2013-10-14 09:08:49

申猴
日期:2013-10-16 13:09:43

子鼠
日期:2013-10-17 23:23:19

射手座
日期:2013-10-18 13:00:27

金牛座
日期:2013-10-18 15:47:57

午马
日期:2013-10-18 21:43:38

5楼 [报告]

发表于 2012-12-14 15:30 |只看该作者

zimang 发表于 2012-12-14 15:24
回复 3# hellioncu

windows下有API ReadProcessMemory，Linux不知道，不过gdb总是可以的

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 89

水瓶座
日期:2014-04-01 08:53:31

天蝎座
日期:2014-04-01 08:53:53

天秤座
日期:2014-04-01 08:54:02

射手座
日期:2014-04-01 08:54:15

子鼠
日期:2014-04-01 08:55:35

辰龙
日期:2014-04-01 08:56:36

未羊
日期:2014-04-01 08:56:27

戌狗
日期:2014-04-01 08:56:13

亥猪
日期:2014-04-01 08:56:02

亥猪
日期:2014-04-08 08:38:58

程序设计版块每日发帖之星
日期:2016-01-05 06:20:00

程序设计版块每日发帖之星
日期:2016-01-07 06:20:00

6楼 [报告]

发表于 2012-12-14 15:38 |只看该作者

hellioncu 发表于 2012-12-14 15:16
不安全，人家可以访问你的进程的内存

那该如何是好啊？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 324

射手座
日期:2013-08-23 12:04:38

射手座
日期:2013-08-23 16:18:12

未羊
日期:2013-08-30 14:33:15

水瓶座
日期:2013-09-02 16:44:31

摩羯座
日期:2013-09-25 09:33:52

双子座
日期:2013-09-26 12:21:10

金牛座
日期:2013-10-14 09:08:49

申猴
日期:2013-10-16 13:09:43

子鼠
日期:2013-10-17 23:23:19

射手座
日期:2013-10-18 13:00:27

金牛座
日期:2013-10-18 15:47:57

午马
日期:2013-10-18 21:43:38

7楼 [报告]

发表于 2012-12-14 15:48 |只看该作者

fender0107401 发表于 2012-12-14 15:38
那该如何是好啊？

常规的是校验密码的SHA-1之类算法的摘要值，一般数据库似乎没有提供这方面的支持，那只能这么做，尽量让密码存在的时间短，系统控制好权限一般没问题的。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 89

水瓶座
日期:2014-04-01 08:53:31

天蝎座
日期:2014-04-01 08:53:53

天秤座
日期:2014-04-01 08:54:02

射手座
日期:2014-04-01 08:54:15

子鼠
日期:2014-04-01 08:55:35

辰龙
日期:2014-04-01 08:56:36

未羊
日期:2014-04-01 08:56:27

戌狗
日期:2014-04-01 08:56:13

亥猪
日期:2014-04-01 08:56:02

亥猪
日期:2014-04-08 08:38:58

程序设计版块每日发帖之星
日期:2016-01-05 06:20:00

程序设计版块每日发帖之星
日期:2016-01-07 06:20:00

8楼 [报告]

发表于 2012-12-14 15:54 |只看该作者

回复 7# hellioncu

我想写个操作数据库的程序，就像是phpmyadmin那样可以管理mysql的，自然我需要用户输入用户名和密码去连接数据库了，所以这个程序肯定就需要保存密码的明文了，不过我感觉，让密码存在的时间尽量的短点倒是很好，我用root连接完数据库就干掉密码。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 8

CU大牛徽章
日期:2013-04-17 10:59:39

CU大牛徽章
日期:2013-04-17 11:01:45

CU大牛徽章
日期:2013-04-17 11:02:15

CU大牛徽章
日期:2013-04-17 11:02:36

CU大牛徽章
日期:2013-04-17 11:02:58

技术图书徽章
日期:2013-12-04 10:48:50

酉鸡
日期:2014-01-03 10:32:30

辰龙
日期:2014-03-06 15:04:07

9楼 [报告]

发表于 2012-12-14 15:57 |只看该作者

不在内存保存密码……

一个可行的方案：在有数据库访问密码文件访问权的用户下执行启动和链接数据库操作；链接之后清除内存中的密码并放弃配置文件访问权（也就是切换成nobody之类用户提供服务）。如果数据库意外断开，则记录日志、发送信号并退出当前服务。

然后，再在有数据库访问密码文件访问权的用户下执行一个监控进程，发现上面提到的服务进程退出就再拉起一个……

因为监控进程根本就不对外服务；服务进程有权限访问密码时不对外服务且不属于nobody用户；然后等服务进程在对外服务时自己也没了访问敏感信息的权力：这样一来，只要服务器本身不在用户权限上出问题，就可以保证绝对安全。

当然，如果服务进程本身漏洞太多，那么nobody权限下，服务进程仍能访问的东西还是免不了要被黑的。但只要总体设计比较合理，这个危害范围就小得多了。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

taotao_112206_c

论坛徽章:: 0

10楼 [报告]

发表于 2012-12-14 16:42 |只看该作者

问题可大了，人家可以直接访问你的内存，读出你的数据，在linux下这个是常用技术。进程间通信好好看看

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

12 3 4 / 4 页下一页

发新帖

Chinaunix › 论坛 › 程序设计 › C/C++ › 当密码保存在内存里面时，是绝对安全的吧？

北京盛拓优讯信息技术有限公司. 版权所有京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号：11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员联系我们：huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP