Developpez.com

Le Club des Développeurs et IT Pro

MariaDB : Google travaille sur le chiffrement du tablespace

Pour améliorer la sécurité du SGBD

Le 2015-04-12 03:51:30, par Malick, Community Manager
Le manque de clarté dans le développement de MySQL depuis son acquisition par Oracle avait poussé Google à abandonner le SGBD sur l’ensemble de ses systèmes pour adopter MariaDB. Il va sans dire que cela a entraîné la participation de la firme aux améliorations de la solution.

Aujourd’hui, Google fait savoir que ses développeurs sont en train de tester le chiffrement de la tablespace (espace de stockage dans lequel des données composant les bases de données peuvent être enregistrées) de MariaDB serveur 10.1, cela afin de faire face aux attaques par injection de commandes SQL.

Pour rappel, MariaDB est un système de gestion de base de données édité sous licence GPL. Il s'agit d'un fork communautaire de MySQL. L'injection SQL, quant à elle, est une façon d'exploiter une faille de sécurité d'une application interagissant avec une base de données, cela en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.


Les développeurs en charge de la mise en place de ce chiffrement affirment que cela constitue une amélioration majeure pour la sécurité de MariaDB, surtout pour les clients qui conçoivent des PCI et d'autres applications ayant besoin de chiffrement.

L'injection SQL est l'une des techniques les plus fréquemment utilisées par les hackers, et elle figure à la première ou deuxième place du top 10 des différentes méthodes d'attaques établies par l'Open Web Application Security Project (OWASP).

Le code de chiffrement de Google sera intégré au pare-feu du système de gestion de base de données MariaDB et fera ses débuts dans le prochain MariaDB Server 10.1.

L'édition communautaire de Maria Server 10.1 intégrera également une gamme de fonctionnalités ; Il s'agit notamment de Galera Cluster 4.0 et des améliorations au moteur de transaction InnoDB.

Parallèlement, les développeurs de MariaDB ont publié une nouvelle version de MariaDB Enterprise. Cette mise à jour apporte un lot important de nouveautés pour faire de MariaDB un SGBD de choix pour les entreprises. Il s’agit notamment des améliorations de la disponibilité, la mise à l’échelle et la sécurité.

Il faut noter que tout comme Google, des distributions Linux, dont Fedora et OpenSUSE, ont abandonné MySQL pour intégrer par défaut MariaDB.

Source

Et vous ?

Que pensez-vous de cette nouvelle ?
  Discussion forum
23 commentaires
  • tomlev
    Rédacteur/Modérateur
    Je ne pense pas que l'article du Register donne une vision très juste de cette nouveauté... ou alors c'est vraiment très mal expliqué. L'injection SQL est une attaque qui agit au niveau de l'interprétation des commandes SQL, donc je ne vois pas comment le fait de chiffrer le tablespace changera quoi que ce soit...

    EDIT: en cherchant un peu sur Google, je ne vois personne qui fait un lien entre chiffrement du tablespace et injection SQL, à part l'article du Register et d'autres qui le reprennent. Ce billet sur le blog de MariaDB parle du chiffrement du tablespace, mais ne mentionne pas du tout l'injection SQL. Enfin, sur cette page de la Knowledge Base de MariaDB :

    When is encryption no help?

    Encryption provides no additional protection against threats caused by authorized database users. Specifically, SQL injections aren’t prevented.
    Bref... le Register raconte n'importe quoi
    le 14/04/2015 à 20:38
  • psychadelic
    Expert confirmé
    Envoyé par Battant
    Bonjour,

    Pourquoi toute cette discussion qui me semble inutile et hors de propos sur le français plutôt que de discuter techniquement et sérieusement de mariadb ?

    Avec ça je n'ai même pas encore eut la réponse de savoir si mariadb était compatible avec php et si on pouvais l'utiliser en lieu et place de mysql par exemple avec dolibarr et si oui comment faire ? quels package installer

    Je suis très déçus du tournant que prends cette discussion.

    Merci de me renseigner

    Salutations
    Donc, si je te comprends bien, tu considère donc que digresser sur le genre du terme "TableSpace" est moins important que ton détournement du sujet vers tes préoccupations sur Dolibarr ???

    PS:
    Envoyé par milkoseck
    ../
    Google travaille sur le chiffrement du tablespace
    /../
    de tester le chiffrement de la tablespace /..
    le 18/04/2015 à 3:33
  • psychadelic
    Expert confirmé
    c'est heureux...

    ce qui l'est moins , c'est que la majorité des hébergeurs continuent toujours et encore à proposer MySQL par défaut...
    le 12/04/2015 à 16:40
  • abriotde
    Membre chevronné
    Pour les hébergeurs, il proposent officiellement MySQL mais derrière c'est possiblement MariaDB. Le nom MySQL est très connu et donc plus vendeurs. Dans la pratique outre des fonctionnalité nouvelles et de meilleurs performances, il n'y a pas de différences. Pour un client d'un hébergeur la seul question est "Est-ce que mon application conçue pour MysSQL va tourner?" La réponse est "Oui". Nous sommes passé de MySQL à MariaDB et la seul chose que nous ayons remarqué, 'est une baisse de la charge des serveurs. Changé d'Engine SQL est beaucoup plus impactant par exemple.
    le 14/04/2015 à 14:03
  • tomlev
    Rédacteur/Modérateur
    Envoyé par lenono
    Je chipotte, mais on dit un tablespace, pas une...
    D'après qui ? Sûrement pas l'Académie Française, vu que c'est un mot anglais... D'ailleurs en anglais les choses n'ont pas de genre. Donc c'est un choix purement arbitraire. Je dis aussi "un" tablespace, mais je ne pense pas que l'un soit plus correct que l'autre.
    le 15/04/2015 à 20:21
  • yann2
    Membre expérimenté
    Bonjour

    Le chiffrement ne protège pas contre les injections SQL. Les injections SQL sont une vraies menaces mais elles sont aussi très faciles à éviter par des professionnels !

    Bref, tout ça pour dire que la protection contre les injections SQL et le chiffrement sont deux fonctionnalités différentes.
    le 14/04/2015 à 16:18
  • LeBressaud
    Membre confirmé
    Google

    Je vais peut être ouvrir un site de news informatique s'il suffit de maitriser le copier-coller
    le 15/04/2015 à 15:11
  • tomlev
    Rédacteur/Modérateur
    Envoyé par frfancha
    Oui et?? C'est bien ce que je dis aussi: a space => un espace donc masculin! Le mot discuté est tablespace et non table.
    Je pourrais te répondre que le mot discuté est tablespace et non space... et donc que "space" n'est pas plus significatif que "table"...

    Mais bon, je vais m'arrêter là, ce débat étant légèrement hors-sujet
    le 17/04/2015 à 0:36
  • frfancha
    Membre éprouvé
    Envoyé par tomlev
    Je pourrais te répondre que le mot discuté est tablespace et non space... et donc que "space" n'est pas plus significatif que "table"...
    Allons allons, je suis sûr que tu sais très bien qu'en anglais le mot TrucMachin désigne un machin, pas un truc.

    A bedroom c'est a room pas a bed
    A motorcycle c'est a cycle pas a motor
    A rainfall c'est a fall pas a rain
    A greenhouse c'est a house pas a green
    A tablespace c'est a space pas a table
    le 17/04/2015 à 7:36
  • tomlev
    Rédacteur/Modérateur
    Envoyé par Battant
    Pourquoi toute cette discussion qui me semble inutile et hors de propos sur le français plutôt que de discuter techniquement et sérieusement de mariadb ?
    Je ne vois pas en quoi cette petite digression empêcherait une discussion technique sur le sujet... Si quelqu'un veut parler de MariaDB, il peut très bien le faire, mais visiblement ça ne passionne pas les foules.

    Envoyé par Battant
    Avec ça je n'ai même pas encore eut la réponse de savoir si mariadb était compatible avec php et si on pouvais l'utiliser en lieu et place de mysql par exemple avec dolibarr et si oui comment faire ? quels package installer
    On est dans le forum "Actualités", ce n'est pas le bon endroit pour poser ce genre de question. Crée une nouvelle discussion dans le forum MySQL, où tu trouveras des gens qui connaissent bien le sujet.
    le 17/04/2015 à 23:31
  Poster une réponse