1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Windeln.de lässt…

Die NoSQL Seuche schlägt wieder zu

  1. Thema

Neues Thema Ansicht wechseln


  1. Die NoSQL Seuche schlägt wieder zu

    Autor: derJimmy 18.09.20 - 01:21

    Ich hab das Gefühl, dass viele "Admins" / Programmierer die von PHP / SQL kommen, einfach keine Ahnung haben, wie ein NoSQL API Frontend implementiert werden muss.

    Es ist eben kein passwortgeschützter SQL Datenbankserver, der dir die Daten nur raushaut, wenn du dich authentifizierst.

    Es ist ein Backend Catalogue System, das eigendlich nicht direkt ans Netz gestellt gehört, sondern lediglich die rohen Daten intern zur Aufbereitung an die Anwendung / API liefern soll. Deshalb haben viele NoSQL System per default keine Authentifizierung.



    1 mal bearbeitet, zuletzt am 18.09.20 01:22 durch derJimmy.

  2. Re: Die NoSQL Seuche schlägt wieder zu

    Autor: JouMxyzptlk 18.09.20 - 05:54

    Es ist so sicher wie dBase, meist Clipper, von vor über 30 Jahren.
    Datenschutz ist nicht vorgesehen, jeder konnte und kann auch jetzt noch die .DB Dateien mitten während der Arbeit wegkopieren. Mit dem Explorer... Da nützen die aktuellen Versionen welche immer noch mit .DB2 oder .DB3 Dateien arbeiten auch nichts, das ist by Design.

    Ultra HD ist LOW RES! 8K bis 16K sind mein Metier.

  3. Re: Die NoSQL Seuche schlägt wieder zu

    Autor: LH 18.09.20 - 08:30

    Solch eine allgemeine Aussage ergibt keinen Sinn, da es keine Gemeinsamkeit der verschiedenen NoSQL Systeme gibt. Selbst der Name deutet ja schon an, dass ihre einzige Gemeinsamkeit das Fehlen einer bestimmten Funktion ist, aber mehr auch nicht. Weder die Authentifizierung noch die Speicherung noch das Nutzungsszenario sind irgendwo definiert.
    In diesem Fall war es laut Artikel Elasticsearch, aber das ist nun einmal nicht die einzige NoSQL Datenbank. Zudem ist dort üblicherweise nichts "roh", sondern die häufige Nutzung von Elasticsearch dürfte tatsächlich die Speicherung bereits aufbereiteter Daten für die Suche sein, wo dieses System auch seinen Ursprung hat.

    Die bei einigen fehlende Authentifizierung sagt nichts über den Einsatzzweck aus, sondern dient lediglich der einfacheren Einrichtung für Erstnutzer auf lokalen Entwicklungssystemen, man will also die Hemmschwelle zur Nutzung senken. Daher sind bei vielen dieser Systeme auch die Zugriffe auf localhost-only definiert (z.B. bei mongodb). Wer das deaktiviert, aber trotz Warnung in der Doku dann kein Auth aktiviert, ist halt kein guter Admin. Nach meiner Erinnerung ist dies bei Elasticsearch früher ähnlich gewesen. Weiß jemand, wie es heute aussieht? Ich habe auf die schnelle den Punkt nicht in der Doku gefunden.

  4. Re: Die NoSQL Seuche schlägt wieder zu

    Autor: derJimmy 18.09.20 - 13:41

    Das ist Quatsch.
    NoSQL Systeme wurden als Backend Systeme entwickelt, die nur in "trusted environments" zum einsatz kommen. Mit der einfachen Ersteinrichtung hat das nichts zu tun. Bei den meisten NoSQL Produkten wird auch explizit darauf hingewiesen, dass man eine zusätzliche, Anwendungsabhängige Sicherheitsebene implementieren muss, um sie zu benutzen.

    https://www.usenix.org/system/files/1401_08-12_mickens.pdf
    https://www.computerweekly.com/tip/Securing-NoSQL-applications-Best-practises-for-big-data-security

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Mitarbeiter Arbeitszeitmanagement / Projektleitung (w/m/d)
    Medizinische Einrichtungen des Bezirks Oberpfalz - medbo KU, Regensburg, Parsberg, Wöllershof
  2. UI Softwareentwickler C++/QML (m/w/d)
    Bertrandt Ingenieurbüro GmbH, München
  3. Entwickler Elektronik und Kommunikationstechnik (IoT) (m/w/d)
    Gratz Engineering GmbH, Stuttgart
  4. Sachbearbeiter Laufendhaltung Dokumentenmanagementsystem DMS (m/w/d)
    GDMcom GmbH, Leipzig

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 59,99€ (PC), 69,99€ (Xbox One/PS4), 79,99€ (Xbox Series X/PS5) - Release 22.10.
  2. (u. a. Battlefield V für 9,99€, Star Wars Jedi: Fallen Order für 19,99€, Battlefield 1 für 5...
  3. 54,49€
  4. Über 3400 Angebote mit bis zu 90 Prozent Rabatt


Haben wir etwas übersehen?

E-Mail an news@golem.de


Dragonbox-Pyra-Macher im Interview: Die Linux-Spielekonsole aus Deutschland
Dragonbox-Pyra-Macher im Interview
Die Linux-Spielekonsole aus Deutschland

Mit viel Verspätung ist die Dragonbox Pyra erschienen. Entwickler Michael Mrozek musste ganz schön kämpfen, damit es überhaupt dazu kam. Wir haben ihn in Ingolstadt zum Gespräch getroffen.
Ein Interview von Martin Wolf


    Kia EV6: Überzeugender Angriff auf die elektrische Luxusklasse
    Kia EV6
    Überzeugender Angriff auf die elektrische Luxusklasse

    Mit einer 800-Volt-Architektur und Ladeleistungen von bis zu 250 kW fordert Kias neues Elektroauto EV6 nicht nur Tesla heraus.
    Ein Hands-on von Franz W. Rother

    1. Elektroauto Der EV6 von Kia kommt im Herbst auf den Markt
    2. Elektroauto Kia zeigt unverhüllte Fotos des EV6
    3. Elektroauto Kia veröffentlicht erste Bilder des EV6

    Army of the Dead: Tote Pixel schocken Zuschauer mehr als blutrünstige Zombies
    Army of the Dead
    Tote Pixel schocken Zuschauer mehr als blutrünstige Zombies

    Army of the Dead bei Netflix zeigt Zombies und Gewalt. Viele Zuschauer erschrecken jedoch viel mehr wegen toter Pixel auf ihrem Fernseher.
    Ein Bericht von Daniel Pook

    1. Merchandise Netflix eröffnet Fanklamotten-Onlineshop
    2. eBPF Netflix verfolgt TCP-Fluss fast in Echtzeit
    3. Urteil rechtskräftig Netflix darf Preise nicht beliebig erhöhen