1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Datenleck: Windeln.de lässt…

Die NoSQL Seuche schlägt wieder zu

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Die NoSQL Seuche schlägt wieder zu

    Autor: derJimmy 18.09.20 - 01:21

    Ich hab das Gefühl, dass viele "Admins" / Programmierer die von PHP / SQL kommen, einfach keine Ahnung haben, wie ein NoSQL API Frontend implementiert werden muss.

    Es ist eben kein passwortgeschützter SQL Datenbankserver, der dir die Daten nur raushaut, wenn du dich authentifizierst.

    Es ist ein Backend Catalogue System, das eigendlich nicht direkt ans Netz gestellt gehört, sondern lediglich die rohen Daten intern zur Aufbereitung an die Anwendung / API liefern soll. Deshalb haben viele NoSQL System per default keine Authentifizierung.



    1 mal bearbeitet, zuletzt am 18.09.20 01:22 durch derJimmy.

  2. Re: Die NoSQL Seuche schlägt wieder zu

    Autor: JouMxyzptlk 18.09.20 - 05:54

    Es ist so sicher wie dBase, meist Clipper, von vor über 30 Jahren.
    Datenschutz ist nicht vorgesehen, jeder konnte und kann auch jetzt noch die .DB Dateien mitten während der Arbeit wegkopieren. Mit dem Explorer... Da nützen die aktuellen Versionen welche immer noch mit .DB2 oder .DB3 Dateien arbeiten auch nichts, das ist by Design.

    Ultra HD ist LOW RES! 8K bis 16K sind mein Metier.

  3. Re: Die NoSQL Seuche schlägt wieder zu

    Autor: LH 18.09.20 - 08:30

    Solch eine allgemeine Aussage ergibt keinen Sinn, da es keine Gemeinsamkeit der verschiedenen NoSQL Systeme gibt. Selbst der Name deutet ja schon an, dass ihre einzige Gemeinsamkeit das Fehlen einer bestimmten Funktion ist, aber mehr auch nicht. Weder die Authentifizierung noch die Speicherung noch das Nutzungsszenario sind irgendwo definiert.
    In diesem Fall war es laut Artikel Elasticsearch, aber das ist nun einmal nicht die einzige NoSQL Datenbank. Zudem ist dort üblicherweise nichts "roh", sondern die häufige Nutzung von Elasticsearch dürfte tatsächlich die Speicherung bereits aufbereiteter Daten für die Suche sein, wo dieses System auch seinen Ursprung hat.

    Die bei einigen fehlende Authentifizierung sagt nichts über den Einsatzzweck aus, sondern dient lediglich der einfacheren Einrichtung für Erstnutzer auf lokalen Entwicklungssystemen, man will also die Hemmschwelle zur Nutzung senken. Daher sind bei vielen dieser Systeme auch die Zugriffe auf localhost-only definiert (z.B. bei mongodb). Wer das deaktiviert, aber trotz Warnung in der Doku dann kein Auth aktiviert, ist halt kein guter Admin. Nach meiner Erinnerung ist dies bei Elasticsearch früher ähnlich gewesen. Weiß jemand, wie es heute aussieht? Ich habe auf die schnelle den Punkt nicht in der Doku gefunden.

  4. Re: Die NoSQL Seuche schlägt wieder zu

    Autor: derJimmy 18.09.20 - 13:41

    Das ist Quatsch.
    NoSQL Systeme wurden als Backend Systeme entwickelt, die nur in "trusted environments" zum einsatz kommen. Mit der einfachen Ersteinrichtung hat das nichts zu tun. Bei den meisten NoSQL Produkten wird auch explizit darauf hingewiesen, dass man eine zusätzliche, Anwendungsabhängige Sicherheitsebene implementieren muss, um sie zu benutzen.

    https://www.usenix.org/system/files/1401_08-12_mickens.pdf
    https://www.computerweekly.com/tip/Securing-NoSQL-applications-Best-practises-for-big-data-security

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Leiter Digital Sales - DE/AT/DK (m/w/d)
    Lidl Digital, Neckarsulm, Berlin
  2. Senior Projektleiter - Connected Car (m/w/d)
    operational services GmbH & Co. KG, Wolfsburg
  3. Business Analyst / Buchhalter mit IT-Affinität (m/w/d)
    Allianz Lebensversicherungs-AG, München, Stuttgart
  4. Information Security Experts (m/w/d)
    Allianz ONE - Business Solutions GmbH, Unterföhring, Stuttgart

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 109,99€
  2. 6,99€
  3. 17,99
  4. 79,99€ (Release: 28.10.)


Haben wir etwas übersehen?

E-Mail an news@golem.de