加密数据
刚刚完成将attr_encrypted添加到某些模型后,我认为黑客的工作可能并不那么困难。Ruby on Rails - 为什么某些数据需要加密?
我有一个数据库在不同的服务器上的应用服务器 - 但是,如果有人设法到数据库服务器,该人也可以访问存储密钥的应用服务器(可能该假设是不正确的),因为它们具有相同类型的安全措施。
问题Rails代码被存储在服务器上的一个可读的文本格式,因此,秘密密钥可被访问。当然,如果某人确实掌握了数据库,并且持有这些密钥,那么整个数据加密变得无关紧要,因为它只是(稍微)延长黑客时间来解密信息。
如果是这样,是否还有进一步的安全措施可以采取,或者我完全错过了加密的概念?
我查看了attr_encrypted gem以及相关的自述文件和问题,但找不到任何有用的东西。
嗨@swards,感谢您的帮助。 它鼓励我将其移出回购协议(尽管我必须交换所有的密钥,因为它们自开始以来都是版本化的)... 对不起,但如果服务器是擦去,你的本地安全副本消失(笔记本电脑失窃,数据损坏等)。如果不是在回购中,你会如何备份这些密钥,但某些开发人员仍可访问这些密钥? – cb24