Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

MariaDB : Google travaille sur le chiffrement du tablespace
Pour améliorer la sécurité du SGBD

Le , par Malick

43PARTAGES

4  0 
Le manque de clarté dans le développement de MySQL depuis son acquisition par Oracle avait poussé Google à abandonner le SGBD sur l’ensemble de ses systèmes pour adopter MariaDB. Il va sans dire que cela a entraîné la participation de la firme aux améliorations de la solution.

Aujourd’hui, Google fait savoir que ses développeurs sont en train de tester le chiffrement de la tablespace (espace de stockage dans lequel des données composant les bases de données peuvent être enregistrées) de MariaDB serveur 10.1, cela afin de faire face aux attaques par injection de commandes SQL.

Pour rappel, MariaDB est un système de gestion de base de données édité sous licence GPL. Il s'agit d'un fork communautaire de MySQL. L'injection SQL, quant à elle, est une façon d'exploiter une faille de sécurité d'une application interagissant avec une base de données, cela en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.


Les développeurs en charge de la mise en place de ce chiffrement affirment que cela constitue une amélioration majeure pour la sécurité de MariaDB, surtout pour les clients qui conçoivent des PCI et d'autres applications ayant besoin de chiffrement.

L'injection SQL est l'une des techniques les plus fréquemment utilisées par les hackers, et elle figure à la première ou deuxième place du top 10 des différentes méthodes d'attaques établies par l'Open Web Application Security Project (OWASP).

Le code de chiffrement de Google sera intégré au pare-feu du système de gestion de base de données MariaDB et fera ses débuts dans le prochain MariaDB Server 10.1.

L'édition communautaire de Maria Server 10.1 intégrera également une gamme de fonctionnalités ; Il s'agit notamment de Galera Cluster 4.0 et des améliorations au moteur de transaction InnoDB.

Parallèlement, les développeurs de MariaDB ont publié une nouvelle version de MariaDB Enterprise. Cette mise à jour apporte un lot important de nouveautés pour faire de MariaDB un SGBD de choix pour les entreprises. Il s’agit notamment des améliorations de la disponibilité, la mise à l’échelle et la sécurité.

Il faut noter que tout comme Google, des distributions Linux, dont Fedora et OpenSUSE, ont abandonné MySQL pour intégrer par défaut MariaDB.

Source

Et vous ?

Que pensez-vous de cette nouvelle ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de tomlev
Rédacteur/Modérateur https://www.developpez.com
Le 14/04/2015 à 20:38
Je ne pense pas que l'article du Register donne une vision très juste de cette nouveauté... ou alors c'est vraiment très mal expliqué. L'injection SQL est une attaque qui agit au niveau de l'interprétation des commandes SQL, donc je ne vois pas comment le fait de chiffrer le tablespace changera quoi que ce soit...

EDIT: en cherchant un peu sur Google, je ne vois personne qui fait un lien entre chiffrement du tablespace et injection SQL, à part l'article du Register et d'autres qui le reprennent. Ce billet sur le blog de MariaDB parle du chiffrement du tablespace, mais ne mentionne pas du tout l'injection SQL. Enfin, sur cette page de la Knowledge Base de MariaDB :

When is encryption no help?

Encryption provides no additional protection against threats caused by authorized database users. Specifically, SQL injections aren’t prevented.
Bref... le Register raconte n'importe quoi
4  0 
Avatar de psychadelic
Expert confirmé https://www.developpez.com
Le 18/04/2015 à 3:33
Citation Envoyé par Battant Voir le message
Bonjour,

Pourquoi toute cette discussion qui me semble inutile et hors de propos sur le français plutôt que de discuter techniquement et sérieusement de mariadb ?

Avec ça je n'ai même pas encore eut la réponse de savoir si mariadb était compatible avec php et si on pouvais l'utiliser en lieu et place de mysql par exemple avec dolibarr et si oui comment faire ? quels package installer

Je suis très déçus du tournant que prends cette discussion.

Merci de me renseigner

Salutations
Donc, si je te comprends bien, tu considère donc que digresser sur le genre du terme "TableSpace" est moins important que ton détournement du sujet vers tes préoccupations sur Dolibarr ???

PS:
Citation Envoyé par milkoseck Voir le message
../
Google travaille sur le chiffrement du tablespace
/../
de tester le chiffrement de la tablespace /..
3  0 
Avatar de psychadelic
Expert confirmé https://www.developpez.com
Le 12/04/2015 à 16:40
c'est heureux...

ce qui l'est moins , c'est que la majorité des hébergeurs continuent toujours et encore à proposer MySQL par défaut...
2  0 
Avatar de abriotde
Membre expérimenté https://www.developpez.com
Le 14/04/2015 à 14:03
Pour les hébergeurs, il proposent officiellement MySQL mais derrière c'est possiblement MariaDB. Le nom MySQL est très connu et donc plus vendeurs. Dans la pratique outre des fonctionnalité nouvelles et de meilleurs performances, il n'y a pas de différences. Pour un client d'un hébergeur la seul question est "Est-ce que mon application conçue pour MysSQL va tourner?" La réponse est "Oui". Nous sommes passé de MySQL à MariaDB et la seul chose que nous ayons remarqué, 'est une baisse de la charge des serveurs. Changé d'Engine SQL est beaucoup plus impactant par exemple.
2  0 
Avatar de tomlev
Rédacteur/Modérateur https://www.developpez.com
Le 15/04/2015 à 20:21
Citation Envoyé par lenono Voir le message
Je chipotte, mais on dit un tablespace, pas une...
D'après qui ? Sûrement pas l'Académie Française, vu que c'est un mot anglais... D'ailleurs en anglais les choses n'ont pas de genre. Donc c'est un choix purement arbitraire. Je dis aussi "un" tablespace, mais je ne pense pas que l'un soit plus correct que l'autre.
2  0 
Avatar de yann2
Membre expérimenté https://www.developpez.com
Le 14/04/2015 à 16:18
Bonjour

Le chiffrement ne protège pas contre les injections SQL. Les injections SQL sont une vraies menaces mais elles sont aussi très faciles à éviter par des professionnels !

Bref, tout ça pour dire que la protection contre les injections SQL et le chiffrement sont deux fonctionnalités différentes.
1  0 
Avatar de LeBressaud
Membre actif https://www.developpez.com
Le 15/04/2015 à 15:11
Google

Je vais peut être ouvrir un site de news informatique s'il suffit de maitriser le copier-coller
1  0 
Avatar de tomlev
Rédacteur/Modérateur https://www.developpez.com
Le 17/04/2015 à 0:36
Citation Envoyé par frfancha Voir le message
Oui et?? C'est bien ce que je dis aussi: a space => un espace donc masculin! Le mot discuté est tablespace et non table.
Je pourrais te répondre que le mot discuté est tablespace et non space... et donc que "space" n'est pas plus significatif que "table"...

Mais bon, je vais m'arrêter là, ce débat étant légèrement hors-sujet
1  0 
Avatar de frfancha
Membre éclairé https://www.developpez.com
Le 17/04/2015 à 7:36
Citation Envoyé par tomlev Voir le message
Je pourrais te répondre que le mot discuté est tablespace et non space... et donc que "space" n'est pas plus significatif que "table"...
Allons allons, je suis sûr que tu sais très bien qu'en anglais le mot TrucMachin désigne un machin, pas un truc.

A bedroom c'est a room pas a bed
A motorcycle c'est a cycle pas a motor
A rainfall c'est a fall pas a rain
A greenhouse c'est a house pas a green
A tablespace c'est a space pas a table
1  0 
Avatar de tomlev
Rédacteur/Modérateur https://www.developpez.com
Le 17/04/2015 à 23:31
Citation Envoyé par Battant Voir le message
Pourquoi toute cette discussion qui me semble inutile et hors de propos sur le français plutôt que de discuter techniquement et sérieusement de mariadb ?
Je ne vois pas en quoi cette petite digression empêcherait une discussion technique sur le sujet... Si quelqu'un veut parler de MariaDB, il peut très bien le faire, mais visiblement ça ne passionne pas les foules.

Citation Envoyé par Battant Voir le message
Avec ça je n'ai même pas encore eut la réponse de savoir si mariadb était compatible avec php et si on pouvais l'utiliser en lieu et place de mysql par exemple avec dolibarr et si oui comment faire ? quels package installer
On est dans le forum "Actualités", ce n'est pas le bon endroit pour poser ce genre de question. Crée une nouvelle discussion dans le forum MySQL, où tu trouveras des gens qui connaissent bien le sujet.
1  0