Долго читал ветку и вникал - сейчас попробую сформулировать: ключ/пароль в данном случаи это "средство" для доступа к "закрытой" информации - т.е. цель защитить инфу от "чужих", а не сам "пароль". Далее использование какого либо средства "дать пользователю пароль"/"скрипт или бинарник дающий доступ"/"централизованное хранение"/т.д. - это аннулирует все потуги в этом направлении - т.к. основная задача в данном случаи не выполняется - и без разницы будет "знать" пользователь пароль или будет иметь "файлик" который знает этот "пароль" или будет иметь "доступ" к ОП которое имеет этот пароль - смысл тот же самый - пользователь имеет "средство" для доступа к этой инфе, и без разницы знает он этот пароль или не знает. Мне кажется данная проблема должна вообще решаться в другой "плоскости", к которой у пользователя нет доступа. А так - какая разница, знает пользователь 20 символов или имеет на руках бинарник который знает эти символы и т.д., даже если он не может его прочитать - он все равно может его запустить и тем самым получить доступ и т.д. - По сути проблема осталось прежней - если пользователь может "попасть" в "систему" он имеет доступ зная пароль или не зная, и теперь утечка пароля из 20 символов от "зашифрованной инфы" меняется на утечку пароля из 1-8 символов (в среднем) от учетки пользователя.
Имхо - данная проблема должна решаться в принципе по другому, без передачи пользователю чего либо, что будет являться "ключом" к информации.
Тема: Что делать с конфиденциальными данными в bash-скрипте? (Прочитано 5161 раз)
