PROSAGA码农传奇-天网安防-安全/服务器系统记录准备好的语句

<div class =“post-text”itemprop =“text”>
  <P>
    你害怕的是绝对可能的。但是，它不应该成为一个问题。让我解释：
  </p>
  <P>
    MySQL目前使用许多不同类型的日志：
  </p>
  <OL>
    <LI>
      <a href="http://dev.mysql.com/doc/refman/5.5/en/binary-log.html" rel="nofollow">
        二进制日志
      </A>
        - 这些用于复制并将每个写入查询写入其中（以可逆的二进制形式）。如果您正在进行复制，则需要这些日志。
    </LI>
    <LI>
      <a href="http://dev.mysql.com/doc/refman/5.5/en/query-log.html" rel="nofollow">
        查询日志
      </A>
        - 这些用于调试（通常）。它们通常不会在生产中启用（它们应该被禁用）。
    </LI>
    <LI>
      <a href="http://dev.mysql.com/doc/refman/5.5/en/innodb-data-log-reconfiguration.html" rel="nofollow">
        InnoDB事务日志
      </A>
        - 这用于每次写入以允许事务符合ACID（详细信息超出了本答案的范围）。
    </LI>
    <LI>
      <a href="http://dev.mysql.com/doc/refman/5.5/en/server-logs.html" rel="nofollow">
        其他日志
      </A>
        - 这里没有你需要知道的（错误日志，慢查询日志等）。
    </LI>
  </醇>
  <P>
    因此，数据通常至少写入一个日志文件，但可能写入3个（取决于服务器配置）。
  </p>
  <P>
    但它也被写入磁盘。它以合理的纯文本格式存储在表空间中。因此，如果我（作为攻击者）可以访问磁盘，我将跳过日志并直接获取表信息本身。
  </p>
  <P>
    现在，如果您正在“散列”数据库层中的密码（意味着明文密码进入查询，并且数据库发出散列函数），那么您是正确的，日志可能会产生纯文本密码。
  </p>
  <H2>
    这不值得
  </H2>
  <P>
    通过刷新日志来隐藏此信息是不值得的。最好从源代码修复问题（在应用程序中使用更好的散列方法）。
  </p>
  <P>
    问题是MySQL使用的任何哈希都是一个简单的原始哈希（例如
     <code>
      MD5()
    </code>
     要么
     <code>
      SHA256()
    </code>
    ）。两者都是为了设计的
    <EM>
      快速
    </EM>
    。因此，如果我可以从表中获取哈希值，我可以使用原始密码轻松攻击它。为什么？因为快速的哈希很容易暴力
    <a href="http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/" rel="nofollow">
      使用GPU
    </A>
    。
  </p>
  <H2>
    TLDR
  </H2>
  <P>
    基本上，你必须做两件事（至少从我的角度来看）：
  </p>
  <OL>
    <LI>
      阻止人们访问数据库的文件系统。这是第一个和最好的。
    </LI>
    <LI>
      使用正确的密码存储技术（bcrypt等）。这将减轻日志文件可能构成的任何向量。
    </LI>
  </醇>
</DIV>