[pgsql-jp: 25092] Re: 暗号化?

Ken-ichi Nakayama aguri @ ssl.fujitsu.com
2002年 3月 6日 (水) 10:00:36 JST


なかやまといいます。

DBの通信プロトコル解析は、できるんじゃないでしょうか?
# PostgreSQLに限らず
snifferなどで覗き見して、クライアントの通信層のソースコードを眺めながら
解析すれば、一目瞭然とまではいかないかもしれませんが、確認できますよね。
ある程度のスキルがあれば。数値データが数値型ではなく、文字列型など
で実装されていればもっとわかりやすいかも。

そのためにPostgreSQLではKerberosやSSLなどによる暗号化
通信オプション設定が(実際使ったこと無いので詳しい方お願いします)
ODBC経由でも可能かどうかまで私は検証しておりませんが。

有償ならデジタルデザイン(http://www.d-d.co.jp)さんのFCシリーズが
圧縮に加えて独自暗号化を行うとありましたね。


[On Wed, 6 Mar 2002 00:38:35 +0900] "formiss" <formiss99 @ ybb.ne.jp> wrote:

formiss99> こんにちは、田中と申します。
formiss99> 
formiss99> 現在インターネット上にRedHad7.2+PostgreSQL7.2のサーバーをたてて、
formiss99> それにODBC経由でクライアントアプリケーションから顧客データ等の更新を
formiss99> しようとしています。
formiss99> 
formiss99> ここで1つ問題提起されたのが、ODBC経由で顧客情報を流した場合、パケット
formiss99> モニタ(?)等を使用されて個人情報が漏えいするのでは?という心配です。
formiss99> 
formiss99> そこでお聞きしたいのですが、グローバルにあるDBにデータ更新する際に
formiss99> 平文としてSQL文が流れ、簡単に情報を取得できるものなんでしょうか?
formiss99> またそうであれば、皆さんはどのような方法で情報を隠蔽しているのですか?
formiss99> 
formiss99> 完全なWEBサービス(APACHE+PHP等)ならSSLなどを使用して可能だとは
formiss99> 思うのですか、クライアントアプリケーションから事前に登録されたデータを
formiss99> 更新する場合はどうしたら良いのでしょう・・・(^^;
formiss99> 
formiss99> 間違いの指摘・アドバイス・関連HP・過去ログ等、よろしくお願いします。
formiss99> 
formiss99> 


==================================================================
中山 賢一  >>  mailto:aguri @ ssl.fujitsu.com
株式会社富士通ソーシアルサイエンスラボラトリ (富士通SSL)
第三事業本部 ネットワークシステム事業部 セキュリティシステム部 Webシステム課
Office URL>>  http://www.ssl.fujitsu.com




pgsql-jp メーリングリストの案内