1

我需要共享 ToadStudio SQLeditor 的连接设置文件。

我确实对存储在设置文件中的密码有些担心。

该文件当前如下所示:

<ToadStudio>
  <FileVersion Encryption="3Des">3</FileVersion>
  <ConnectionHierarchy>
    <DbPlatform name="MySQL">
      <Path />
      <Connections>
        <Connection type="MySQL" autoCommit="True">
          <Path>MySQL</Path>
          <AutoConnect>False</AutoConnect>
          <Database>db</Database>
          <Host>localhost</Host>
          <User>dbuser</User>
          <Password>EF9ED08748C745FC</Password>
          <WinAuth>False</WinAuth>
          <LastConnectionDate>0001-01-01T00:00:00.0000000</LastConnectionDate>
          <Options>
            <Protocol type="SSH" />
            <SSH host="127.0.0.1" user="sshuser" password="744F3C66F88E084B" />
          </Options>
        </Connection>
      </Connections>
      <Groups />
    </DbPlatform>
  </ConnectionHierarchy>
</ToadStudio>

它旨在通过 SSH 隧道连接到数据库。

因此,问题在于密码存储在此文件中的方式。查看文件中的第一行,我假设密码是用三重 DES 加密的。

在上面的示例中,密码等于用户名 (dbuser,sshuser)

由于我可以共享此文件,因此任何其他 TOADStudio 实例都可以将其解密为原始纯文本,因此我只能猜测 toadStudio 使用硬编码种子来加密内容。

我没有在我的服务器上运行国家机密,但我想要一点保证,有人根据这些设置文件获取密码明文并非易事。

任何见解将不胜感激。

4

1 回答 1

0

在我看来,这确实像 3DES,老实说,它比你的普通应用程序使用的安全性更高 - 看看有一天 VNC 如何存储它的密码,非常可怕。

无论如何,听起来你肯定是在正确的轨道上。您是否实际测试过共享此文件是否允许其他 TOAD 用户使用您存储的信息进行连接?如果是这样,那么某人获得这些密码可能会相当容易(尽管并非如此)。也就是说,3DES 现在还不够用,而且相当容易破解,但是如果有人有足够的权限访问您的机器来窃取该文件,他们可以很容易地对您进行键盘记录、安装后门或各种其他东西。从安全的角度来看,如果攻击者有足够的访问权限来获取该文件,那么无论如何它可能已经结束了。

于 2011-08-20T18:21:02.240 回答