Niklas Swedenborg
Seniormoderator
Antal inlägg: 198
|
 |
« skrivet: 7 Februari, 2012, 22:29 » |
|
Är det någon som kör med SSL aktiverat i FMS? (Sist jag provade tyckte jag att prestandan gick ner rätt friskt. Men det var ett tag sen.)
Vidare, hur står sig FileMaker rent säkerhetsmässigt? Hur öppen är dörren om man förhindrat fysisk åtkomst till filerna, men *inte* aktiverat krypterad trafik i servern?
/Niklas
|
|
|
|
|
Loggat
|
Niklas Swedenborg | www.squaremoon.se | 0708-128924 | FileMaker 8/9/10/11 Certified Developer
|
|
|
David Wikström
Flitig postare
Antal inlägg: 342
|
|
« Svara #1 skrivet: 8 Februari, 2012, 00:13 » |
|
Bra fråga! Har inte mycket att bidra med. Inga av mina kunder kör med SSL, däremot är 5003 nästan aldrig öppen utan all åtkomst är inom ett VPN.
Har aldrig hört talas om någon som "sniffat" till sig information från FMS-förbindelsen. Men det går säkert!
|
|
|
|
|
Loggat
|
David Wikström
FileMaker 11/10/9/8 Certified Developer
FBA Member
FBA Trainer
|
|
|
Niklas Swedenborg
Seniormoderator
Antal inlägg: 198
|
|
« Svara #2 skrivet: 8 Februari, 2012, 01:53 » |
|
Vi rekommenderar inte heller kunder att köra "öppet".
Ni som erbjuder hosting, hur gör ni?
|
|
|
|
|
Loggat
|
Niklas Swedenborg | www.squaremoon.se | 0708-128924 | FileMaker 8/9/10/11 Certified Developer
|
|
|
Henrik Norrman
Administratör
Antal inlägg: 240
|
|
« Svara #3 skrivet: 8 Februari, 2012, 09:33 » |
|
Vi kör SSL och det är inte någon nämnvärd prestanda minskning. Nu är det en rätt bra tilltagen servern med CPU och minne.
Stänger vi av SSL, så sänker sig minne och CPU, men det är knappt märkbart.
En "bugg" som finns, är att det är lite sådär med gamla klienter. FMP 9 och 10 har ibland (1 av 20) problem att kommunicera med FMS (10 och 11) när SSL är påslaget. Avinstallerar man FMP och installerar igen så funkar det.
-- Tillägg --
Det är en Windows 2008 R2 server. Dual Quad-Core med 8 GB i RAM.
|
|
|
|
« Senast ändrad: 8 Februari, 2012, 10:14 av Henrik Norrman »
|
Loggat
|
Henrik Norrman | CD Soft AB | www.cdsoft.se | 0738-35 76 79
|
|
|
Niklas Swedenborg
Seniormoderator
Antal inlägg: 198
|
|
« Svara #4 skrivet: 8 Februari, 2012, 10:11 » |
|
Tack för feedback Henrik. Fler synpunkter? Bring it on!
|
|
|
|
|
Loggat
|
Niklas Swedenborg | www.squaremoon.se | 0708-128924 | FileMaker 8/9/10/11 Certified Developer
|
|
|
David Wikström
Flitig postare
Antal inlägg: 342
|
|
« Svara #5 skrivet: 8 Februari, 2012, 10:59 » |
|
Hej Henrik!
Hur/varför bestämde ni att aktivera SSL? Har du erfarenhet av något fall där SSL gjort någon faktisk skillnad (bortsett från att det inspirerar förtroende)?
|
|
|
|
|
Loggat
|
David Wikström
FileMaker 11/10/9/8 Certified Developer
FBA Member
FBA Trainer
|
|
|
Henrik Norrman
Administratör
Antal inlägg: 240
|
|
« Svara #6 skrivet: 8 Februari, 2012, 11:15 » |
|
Vi aktiverade SSL då vi har kunder som hanterar känsliga data (Personuppgifter) och då för att gå hand-i-hand med PuL.
|
|
|
|
|
Loggat
|
Henrik Norrman | CD Soft AB | www.cdsoft.se | 0738-35 76 79
|
|
|
|
mvRobert
Gäst
|
|
« Svara #7 skrivet: 8 Februari, 2012, 11:32 » |
|
Är det någon som kör med SSL aktiverat i FMS? (Sist jag provade tyckte jag att prestandan gick ner rätt friskt. Men det var ett tag sen.)
Japp, vi har det aktiverat och märkte ingen nämnvärd hastighetsskillnad. Vidare, hur står sig FileMaker rent säkerhetsmässigt? Hur öppen är dörren om man förhindrat fysisk åtkomst till filerna, men *inte* aktiverat krypterad trafik i servern?
Vad jag känner till så är den öppen för att någon sniffar trafiken men vad jag vet så måste de befinna sig antingen i vårt nätverk eller i nätverket där klienten finns för att kunna göra detta. SSL är värt att slå på av den anledningen att användaren kanske sitter på ett kafé eller liknade med öppen wifi där andra i omgivningen glatt ligger och sniffar trafiken. Det är också ett sätt att förhindra "man-in-the-middle"-attacker där någon försöker kapa trafiken. |
|
|
|
|
Loggat
|
|
|
|
David Wikström
Flitig postare
Antal inlägg: 342
|
|
« Svara #8 skrivet: 8 Februari, 2012, 11:35 » |
|
Ja, med Go lär det ju verkligen vara en bra idé med SSL. Helt klart något att tänka på!
Någon som har erfarenhet av att kryptera data inne i FileMaker (med plugin exvis)?
|
|
|
|
|
Loggat
|
David Wikström
FileMaker 11/10/9/8 Certified Developer
FBA Member
FBA Trainer
|
|
|
|
mvRobert
Gäst
|
|
« Svara #9 skrivet: 8 Februari, 2012, 11:48 » |
|
Ja, jag använder 360Works ScriptMaster (har jag för mig det är) och AES-kryptering för att kryptera lösenord.
|
|
|
|
|
Loggat
|
|
|
|
David Wikström
Flitig postare
Antal inlägg: 342
|
|
« Svara #10 skrivet: 8 Februari, 2012, 11:51 » |
|
Robert - Jo, jag har testat det också, verkade fungera utmärkt, men har ännu inte lyckats övertala någon kund att de verkligen behöver kryptera.
Har du några tips utifrån dina erfarenheter vdg användningen - vad ska man tänka på vid implementering, vad kan strula? Avkrypterar du en post i taget, per session, eller...?
|
|
|
|
|
Loggat
|
David Wikström
FileMaker 11/10/9/8 Certified Developer
FBA Member
FBA Trainer
|
|
|
|
mvRobert
Gäst
|
|
« Svara #11 skrivet: 8 Februari, 2012, 12:19 » |
|
Jag kommer väl inte på så mycket "att tänka på".
Som nyckel för krypteringen sätter jag ihop en fast nyckel för databasen med kontonamn samt ett lösenord som inte finns i databasen.
Jag avkrypterar ett lösenord åt gången och har även en funktion för att tillfälligt se lösenordet som sedan raderas med automatik igen.
|
|
|
|
|
Loggat
|
|
|
|
David Wikström
Flitig postare
Antal inlägg: 342
|
|
« Svara #12 skrivet: 8 Februari, 2012, 13:03 » |
|
Har du försökt "hacka" detta? Eller mera precist, tror du man kan komma runt det hela om man har full access till filen (eller kommer över filen och slår ut full access, om det nu är kvar)?
|
|
|
|
|
Loggat
|
David Wikström
FileMaker 11/10/9/8 Certified Developer
FBA Member
FBA Trainer
|
|
|
|
mvRobert
Gäst
|
|
« Svara #13 skrivet: 8 Februari, 2012, 13:55 » |
|
Som jag ser det så är det "oknäckbart". Det hjälper inte att du hittar nyckeln som ligger i databasen (t ex genom att öppna databasen lokalt i en textredigerare) eller känner till användarnamnet eftersom ytterligare en parameter används, lösenordet, som inte ligger i databasen.
Men visst, jag kan har missat något, säkerhet är verkligen inte enkelt!
|
|
|
|
|
Loggat
|
|
|
|
Henrik Norrman
Administratör
Antal inlägg: 240
|
|
« Svara #14 skrivet: 8 Februari, 2012, 15:09 » |
|
Som jag ser det så är det "oknäckbart". Det hjälper inte att du hittar nyckeln som ligger i databasen (t ex genom att öppna databasen lokalt i en textredigerare) eller känner till användarnamnet eftersom ytterligare en parameter används, lösenordet, som inte ligger i databasen.
Men visst, jag kan har missat något, säkerhet är verkligen inte enkelt!
I teorin är ingenting oknäckbart. Idag och i praktiken är tex. hash funktionerna md5, sha1 knäckta sedan länge. AES-128 och AES-256 tar en modern dator omkring en vecka att knäcka om det är A-Ö 0-9 och 15 tecken långt. AES-512 och uppåt är inte implementerat i Java och är den som rekommenderas idag för kryptering och dekryptering. Men denna diskussionen är inte om AES utan om SSL/TLS för FileMaker Server. |
|
|
|
|
Loggat
|
Henrik Norrman | CD Soft AB | www.cdsoft.se | 0738-35 76 79
|
|
|
|
