Ich hoffe, den Download und die Installation der freien GeoIP-Datenbanken zu automatisieren und ich möchte wissen, ob zusätzliche Verifizierungsoptionen verfügbar sind, da MD5 anfälliger für Pre-Image-Angriffe wird.Überprüfen, dass GeoIP-Datenbanken von GeoIP kommen
Zusätzlich werden die MD5-Summen auf demselben Server gespeichert, was bedeutet, dass jeder Angreifer, der in diesen Server einbricht, in der Lage ist, potentiell bösartige Datenbanken hochzuladen und ohne Client zu bedienen.
GPG ist ein übliches Verifizierungstool, und es wäre für die meisten Linux-Benutzer trivial einzurichten, da ihre Paketmanager diese Art der Verifizierung bereits durchführen.
Wie groß ist das Risiko, dass jemand in den GeoIP-Server eindringt und die CSV-Datenbank in falsche Informationen umwandelt? Warum sollte man das tun? –
Erstens sollte man Sicherheit nicht ignorieren, weil "es ist nur eine Textdatei" oder "mein Dienst ist nicht wichtig". Zweitens gibt es nicht nur CSV-Dateien; Es gibt auch BIN-Dateien (in welchem Format auch immer). Und es treten ständig Fehler im Code auf, was passiert, wenn ein Angreifer einen Fehler in Ihrem Parsing-Code ausnutzt. Drittens könnte ein Angreifer die Datei einfach dazu bringen, Ressourcen und Dateispeicherplätze zu blockieren. Schließlich Automatisierung der Download GeoIP-Datenbanken bedeutet, dass die Zeit zwischen einem Hack auftritt und es auf einem Server endet reduziert wird; und die Zeit bis zum Aufprall wird ebenfalls reduziert und behoben. – Lee