Seguridad en encriptado de datos en la DDBB

Runig666

#60 Tengo ahora mismo, y te juro que me gustaría decirte que es mentira, un cliente de cierto ayuntamiento con datos de tarjeta de crédito a palo seco.
Pero a palo seco es que es hasta el numero secreto, el nombre, fecha de caducidad...todo vamos, aproximadamente 2500 tarjetas.

Ya no usan esa tabla porque tal cual vi la pelicula dije que todo a Stripe y que yo no quería saber nada de como estaban operando, pero cada vez que digo de borrarla o cifrarla "No...que igual la necesitamos para alguna cosa"

El día que alguien de verdad se ponga serio con el tema de los datos, vamos a flipar con la de burradas que vamos a ver.

1 respuesta
L
#61Runig666:

un cliente de cierto ayuntamiento con datos de tarjeta de crédito a palo seco.
Pero a palo seco es que es hasta el numero secreto, el nombre, fecha de caducidad...todo vamos, aproximadamente 2500 tarjetas.

Virgen santísima.

Kaledros

Mi mejor amigo es funcionario en recaudaciones y me cuenta cada historia para no dormir que no pasan cosas mucho más gordas que las que pasan de puto milagro.

1 respuesta
B

Yo lo que no entiendo es la liada para crear un hash... Tienes, por ejemplo, la implementación de Java, de 64bits... probada con millones de registros y ni una sola colisión.

¿Pero para que quiero un hash único de un teléfono, que necesito el teléfono para enviar el SMS?

1 respuesta
MisKo

#64 La idea es guardar el teléfono encriptado en la ddbb, pero poder buscar si el teléfono está en la propia base de datos.

1 respuesta
itonny

#63 los de hacienda mismo instalando clientes VPN en sus portátiles personales teniendo acceso a todos los recursos locales xd

2 respuestas
B

#65 En vez de llamar a la columna "phone", llámala "temp_hex_ref".... eso los confundirá (le metes si eso letras intercaladas que luego omites al leer). :P

Es que el tema de "buscar", entiendo que ya implica que el servidor lee el telefono, lo convierte a un hash mágico y mira si lo tiene. Si estamos en el supuesto de que tenemos al atacante en la cocina y no nos enteramos (porque si no, todo esto lo solucionas teniendo la "passphrase"/"salt" en un servicio como vault y que se recupere en el momento... si pasa algo, precintas vault y a correr... tienes todo el tiempo del mundo para ver que ha pasado).

Soltrac

De todas formas, no tenéis que asociar el teléfono al usuario, porque si hackean una lista de teléfonos, con todos mis respetos, ya estamos todos en listas públicas de teléfono. Con que de llamada el teléfono cuando se le llama, ya se sabe que tiene servicio activo.

Dicho esto, no se necesitan tantas complicaciones. Si se hackea la DB, lo que se saca como máximo es una lista de teléfonos asociados a nadie, ya que lo único que hay que comprobar es si el teléfono ha sido usado, no por quien ha sido usado.

2 respuestas
MisKo

#68 Habría que ver el aspecto legal, por que si te das de baja voluntariamente de un sitio, deberían de borrar también tus datos incluido el teléfono, de ahí la asociación.

Pero creo que eso estaría fuera de este tema xD, porque era un supuesto del otro hilo y tampoco afecta a como guardar el teléfono más allá de asociarlo o no.

1 respuesta
PiPePiTo

#46 #48 esto, basado en mi curro anterior, es compliant y válido.

La idea siempre es tener el teléfono asociado a los menores datos posibles.

El problema es lo que comenta #68, que sería una lista de teléfonos válidos xD lo cual en sí ya es bastante.

Soltrac

#69 ya eso es otro tema, aparte que pedir un teléfono para registrarse en mv con lo fácil q es pillar uno online para recibir sms..

B

Desarrollar MVAC (MediaVida Anti-Cheat)... un programa espía enquistado en lo más profundo del sistema, imposible de borrar una vez instalado.

1 respuesta
Runig666

#72 Siempre se ha dicho que eso ya "existía" para ver las cuentas dobles
#66 Bueno...esperate...sientante que hacienda siempre va por separado.

No se en otras administraciones, pero os voy a contar la liada en Guzman el Bueno...que debe de ser LA administración de hacienda en Madrid.

Llega la pandemia, y dentro de lo malo, hacienda tiene buenos informáticos, y programadores ni os cuento, y en 1-2 días ya tienen el sistema de remoto, con el que ya contaban algunos, para todo el mundo preparado. Con sus certificados electrónicos, sus usuarios, todo bastante limpio para el poco tiempo que tuvieron.

Algunos les costaba más, algunos menos, pero funcionaba acojonadamente bien y la mayoría trabajaban como si estuvieran allí, así que la gente encantada claro. No había que instalar nada, ni configuraciones raras, enganchabas certificado, entrabas en la URL y listo.

OK, todo perfecto maravilloso. Se acaba la pandemia ponen los horarios de turno y el remoto sigue funcionando perfectamente porque el sistema quitando a los de siempre que les gusta ir a calentar silla todo el mundo encantado con que se quede.

Total que después de X meses, los informáticos con un cabreo de la polla porque les habían dicho de, a grandes rasgos, tirar la mayoría de ordenadores y cambiar el remoto...porque ahora todo iba a ir con unos portátiles mu majos...y unas funditas muy majas. Su cabreo era a meses antes del cambio claro, pero obviamente no les apetecía ni a perder el tiempo ni tirar lo que ya estaba montado.

Así que el sistema remoto que la gente estaba ya más que acostumbrada a la puta mierda, y ahora enchúfate este portátil al monitor de tu casa que si no no te dejan entrar porque el certificado de tal no vale y ahora lo que valia era el que llevase el portatil...una reputa mierda que no les gustaba ni a ellos porque no lo veian seguro, ni a los funcionarios que les daba por culo tener que usar unos portatiles bastante pequeños.

Pero eso no es lo mejor de todo, lo mejor es lo que os he dicho es lo de las funditas que intentaron hacer de USO OBLIGATORIO. Yo se que aquellos que conozcan Madrid han podido sumar 2 + 2 en el problema...pero para los que no, la administración de Guzman el Bueno...se encuentra en la parada de metro de...bueno...pues Guzman el Bueno. Así que imaginaos ahora el pánico de los funcionarios al salir igual 2000-3000 personas del puto metro con EXACTAMENTE la misma mochilita. Claro cuando van todos para alla pues queda la duda de quien va a consultar algo y quienes eran funcionarios...ahora no, ahora quedaba jodidamente claro porque solo había que ver la puta mochilita.

El resultado final es que cada uno ha hecho lo que le ha salido de los mengues y han podido defender el remoto original, porque lo de los portatiles era una puta mierda en la mayoría de casos se han quedado allí enchufados y punto, porque eran una estupidez.

PD: Muy mono tu avatar. Buenas pelotas tienes.

Runig666

Sorry Doble