Developpez.com

Télécharger gratuitement le magazine des développeurs, le bimestriel des développeurs avec une sélection des meilleurs tutoriels

MariaDB : Google travaille sur le chiffrement du tablespace
Pour améliorer la sécurité du SGBD

Le , par Malick SECK, Community Manager
Le manque de clarté dans le développement de MySQL depuis son acquisition par Oracle avait poussé Google à abandonner le SGBD sur l’ensemble de ses systèmes pour adopter MariaDB. Il va sans dire que cela a entraîné la participation de la firme aux améliorations de la solution.

Aujourd’hui, Google fait savoir que ses développeurs sont en train de tester le chiffrement de la tablespace (espace de stockage dans lequel des données composant les bases de données peuvent être enregistrées) de MariaDB serveur 10.1, cela afin de faire face aux attaques par injection de commandes SQL.

Pour rappel, MariaDB est un système de gestion de base de données édité sous licence GPL. Il s'agit d'un fork communautaire de MySQL. L'injection SQL, quant à elle, est une façon d'exploiter une faille de sécurité d'une application interagissant avec une base de données, cela en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.


Les développeurs en charge de la mise en place de ce chiffrement affirment que cela constitue une amélioration majeure pour la sécurité de MariaDB, surtout pour les clients qui conçoivent des PCI et d'autres applications ayant besoin de chiffrement.

L'injection SQL est l'une des techniques les plus fréquemment utilisées par les hackers, et elle figure à la première ou deuxième place du top 10 des différentes méthodes d'attaques établies par l'Open Web Application Security Project (OWASP).

Le code de chiffrement de Google sera intégré au pare-feu du système de gestion de base de données MariaDB et fera ses débuts dans le prochain MariaDB Server 10.1.

L'édition communautaire de Maria Server 10.1 intégrera également une gamme de fonctionnalités ; Il s'agit notamment de Galera Cluster 4.0 et des améliorations au moteur de transaction InnoDB.

Parallèlement, les développeurs de MariaDB ont publié une nouvelle version de MariaDB Enterprise. Cette mise à jour apporte un lot important de nouveautés pour faire de MariaDB un SGBD de choix pour les entreprises. Il s’agit notamment des améliorations de la disponibilité, la mise à l’échelle et la sécurité.

Il faut noter que tout comme Google, des distributions Linux, dont Fedora et OpenSUSE, ont abandonné MySQL pour intégrer par défaut MariaDB.

Source

Et vous ?

Que pensez-vous de cette nouvelle ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de psychadelic psychadelic - Membre chevronné https://www.developpez.com
le 12/04/2015 à 16:40
c'est heureux...

ce qui l'est moins , c'est que la majorité des hébergeurs continuent toujours et encore à proposer MySQL par défaut...
Avatar de abriotde abriotde - Membre éclairé https://www.developpez.com
le 14/04/2015 à 14:03
Pour les hébergeurs, il proposent officiellement MySQL mais derrière c'est possiblement MariaDB. Le nom MySQL est très connu et donc plus vendeurs. Dans la pratique outre des fonctionnalité nouvelles et de meilleurs performances, il n'y a pas de différences. Pour un client d'un hébergeur la seul question est "Est-ce que mon application conçue pour MysSQL va tourner?" La réponse est "Oui". Nous sommes passé de MySQL à MariaDB et la seul chose que nous ayons remarqué, 'est une baisse de la charge des serveurs. Changé d'Engine SQL est beaucoup plus impactant par exemple.
Avatar de yann2 yann2 - Membre expérimenté https://www.developpez.com
le 14/04/2015 à 16:18
Bonjour

Le chiffrement ne protège pas contre les injections SQL. Les injections SQL sont une vraies menaces mais elles sont aussi très faciles à éviter par des professionnels !

Bref, tout ça pour dire que la protection contre les injections SQL et le chiffrement sont deux fonctionnalités différentes.
Avatar de tomlev tomlev - Rédacteur/Modérateur https://www.developpez.com
le 14/04/2015 à 20:38
Je ne pense pas que l'article du Register donne une vision très juste de cette nouveauté... ou alors c'est vraiment très mal expliqué. L'injection SQL est une attaque qui agit au niveau de l'interprétation des commandes SQL, donc je ne vois pas comment le fait de chiffrer le tablespace changera quoi que ce soit...

EDIT: en cherchant un peu sur Google, je ne vois personne qui fait un lien entre chiffrement du tablespace et injection SQL, à part l'article du Register et d'autres qui le reprennent. Ce billet sur le blog de MariaDB parle du chiffrement du tablespace, mais ne mentionne pas du tout l'injection SQL. Enfin, sur cette page de la Knowledge Base de MariaDB :

When is encryption no help?

Encryption provides no additional protection against threats caused by authorized database users. Specifically, SQL injections aren’t prevented.

Bref... le Register raconte n'importe quoi
Avatar de Zefling Zefling - Membre émérite https://www.developpez.com
le 15/04/2015 à 10:43
Ha, je me disais que c'était bizarre. Je ne voyais pas le rapport. Merci pour le complément d'info.
Avatar de LeBressaud LeBressaud - Membre régulier https://www.developpez.com
le 15/04/2015 à 15:11
Google

Je vais peut être ouvrir un site de news informatique s'il suffit de maitriser le copier-coller
Avatar de lenono lenono - Membre actif https://www.developpez.com
le 15/04/2015 à 16:36
Je chipotte, mais on dit un tablespace, pas une...
Avatar de Battant Battant - Membre actif https://www.developpez.com
le 15/04/2015 à 18:23
Bonjour,

Comment utiliser mariadb au lieu de mysql avec php par exemple pour installer l'erp dolibarr sur linux ou autre OS ?

Merci pour votre réponse

Salutations
Avatar de tomlev tomlev - Rédacteur/Modérateur https://www.developpez.com
le 15/04/2015 à 20:21
Citation Envoyé par lenono  Voir le message
Je chipotte, mais on dit un tablespace, pas une...

D'après qui ? Sûrement pas l'Académie Française, vu que c'est un mot anglais... D'ailleurs en anglais les choses n'ont pas de genre. Donc c'est un choix purement arbitraire. Je dis aussi "un" tablespace, mais je ne pense pas que l'un soit plus correct que l'autre.
Avatar de frfancha frfancha - Membre confirmé https://www.developpez.com
le 16/04/2015 à 9:27
Citation Envoyé par tomlev  Voir le message
D'après qui ? Sûrement pas l'Académie Française, vu que c'est un mot anglais... D'ailleurs en anglais les choses n'ont pas de genre. Donc c'est un choix purement arbitraire. Je dis aussi "un" tablespace, mais je ne pense pas que l'un soit plus correct que l'autre.

D'après le fait que si on considère que c'est un mot anglais neutre, alors c'est masculin, et si on considère qu'il faut utiliser le genre de la traduction (a space => un espace masculin) alors c'est également neutre.
L'emploi du féminin dans ce cas est donc complètement farfelu.
Offres d'emploi IT
Chef de projet technique H/F
Safran - Ile de France - Melun (77000)
Ingénieur produit (FADEC militaire) H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY
Ingénieur produit (Landing gear) H/F
Safran - Ile de France - MASSY Hussenot

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil