Redmine Password Keeper (Хранитель паролей для системы Redmine)

395 views
Skip to first unread message

Seruy

unread,
Jun 11, 2012, 5:25:28 AM6/11/12
to Redmine to russian
Password Keeper - это плагин для системы управления проектами Redmine.

В процессе разработки сайтов, наступает момент, когда этих сайтов
становится много, а всевозможных доступов к ним - еще больше.

Хранить доступы к этому, всему, добру становится практически не
реально, а раздавать доступы, подчиненным, работающим над этими
проектами - вообще полный кошмар.

В процессе работы опробовали много чего, но это много было не очень
удобным. Тем более все было оторвано от единой среды, в которой
варились проекты - Redmine.

Поэтому было принято решение написать свой плагин, который бы
соответствовал отдельным требованиям:

Управление доступами должно осуществляться через Redmine.
Возможность раздавать доступы внутри отдельно взятого проекта.
Давать возможность сотрудникам создавать пароли самостоятельно.
Безопасно хранить доступы.

В итоге получился плагин :) Как он работет - смотрите видео на сайте:
http://thinking-out-loud.net/redmine-password-keeper-xranitel-parolej-dlya-sistemy-redmine/

Шифрование сохраненных паролей: Advanced Encryption Standard
http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Цена плагина: 20 WMZ

Кому интересны детали пишите в комментариях к видео, на сайте
http://thinking-out-loud.net/

Zigzag McQuack

unread,
Jun 11, 2012, 5:55:33 AM6/11/12
to redmi...@googlegroups.com
А чем обусловлен выбор метода шифрования?

11 июня 2012 г., 12:25 пользователь Seruy <sergiy.m...@gmail.com> написал:



--
С уважением,
Павел Ловцевич | zigzag....@gmail.com

Seruy

unread,
Jun 11, 2012, 7:55:05 AM6/11/12
to Redmine to russian
On 11 июн, 12:55, Zigzag McQuack <zigzag.mcqu...@gmail.com> wrote:
> А чем обусловлен выбор метода шифрования?

1. АНБ считает его достаточно надежным для защиты своей инфы : )
2. Он достаточно быстрый.
3. Потенциальный злоумышленник будет долго мучиться, применяя,
единственно возможный метод грубого перебора.

Как-то так...

Zigzag McQuack

unread,
Jun 11, 2012, 8:01:32 AM6/11/12
to redmi...@googlegroups.com
АНБ использует длину ключа в 256 бит, у вас так же?

Какие требования плагина к самому Redmine? 1.4.x? 2.0.x? Какая планируется поддержка?

11 июня 2012 г., 14:55 пользователь Seruy <sergiy.m...@gmail.com> написал:

Seruy

unread,
Jun 11, 2012, 8:13:04 AM6/11/12
to Redmine to russian

On 11 июн, 15:01, Zigzag McQuack <zigzag.mcqu...@gmail.com> wrote:
> АНБ использует длину ключа в 256 бит, у вас так же?

Да, именно :)

> Какие требования плагина к самому Redmine? 1.4.x? 2.0.x?

Сейчас работает без проблем на версии: Redmine 1.0.5.stable (MySQL)

> Какая планируется
> поддержка?
Планирую поддерживать для многих версий.

Zigzag McQuack

unread,
Jun 11, 2012, 8:23:28 AM6/11/12
to redmi...@googlegroups.com
Мне было бы очень интересно приобрести этот плагин, если бы он работал на версии 1.4 с перспективой в ближайшие месяцы обзавестись поддержкой 2.0, когда начнется массовая миграция.

11 июня 2012 г., 15:13 пользователь Seruy <sergiy.m...@gmail.com> написал:

Seruy

unread,
Jun 11, 2012, 8:45:56 AM6/11/12
to Redmine to russian
On 11 июн, 15:23, Zigzag McQuack <zigzag.mcqu...@gmail.com> wrote:
> Мне было бы очень интересно приобрести этот плагин, если бы он работал на
> версии 1.4 с перспективой в ближайшие месяцы обзавестись поддержкой 2.0,
> когда начнется массовая миграция.

Сможем адаптировать под любые версии :) (нужно недели две, для тестов)
но к 1.4 должна подходить и текущая версия плагина.

Zigzag McQuack

unread,
Jun 11, 2012, 8:53:00 AM6/11/12
to redmi...@googlegroups.com
Понятно. Спасибо за разъяснение. Напишу отдельно Вам на почту по поводу приобретения.

11 июня 2012 г., 15:45 пользователь Seruy <sergiy.m...@gmail.com> написал:

Zigzag McQuack

unread,
Jun 27, 2012, 11:48:32 AM6/27/12
to redmi...@googlegroups.com
Приобрели плагин. За неделю полет нормальный. Очень удобная штука для централизованного хранения данных доступов и предоставления к ним доступа участников проектов.

Рекомендую!

11 июня 2012 г., 15:53 пользователь Zigzag McQuack <zigzag....@gmail.com> написал:

ilya ilya

unread,
Jun 28, 2012, 12:25:05 AM6/28/12
to redmi...@googlegroups.com
Приветствую!

А не сложно разработчикам вкратце рассказать про принцип хранения паролей?

Спасибо,
Илья

2012/6/11 Seruy <sergiy.m...@gmail.com>:

Seruy

unread,
Jun 28, 2012, 2:45:19 AM6/28/12
to redmi...@googlegroups.com

Приветствую!
Добрый день!
 

А не сложно разработчикам вкратце рассказать про принцип хранения паролей?

В конфиге есть ключ. Его составляете вы на свое усмотрение и он должен состоять только ASCII символов. Этот ключи и будет шифвровать ваши доступы.
Шифровка: 14 cycles of repetition for 256 bit keys.
Более подробно по ссылке в вики.
 

> Шифрование сохраненных паролей: Advanced Encryption Standard
> http://en.wikipedia.org/wiki/Advanced_Encryption_Standard

Все пароли хранятся в той же БД, что и сам Redmine.

Уточните, пожалуйста, что вас еще интересует в принципе хранения паролей? Постараюсь все расссказать ;)

ilya ilya

unread,
Jun 29, 2012, 1:25:19 AM6/29/12
to redmi...@googlegroups.com
Спасибо, я просто хочу понять принцип приватности данных.

То есть данные хранятся в БД - в зашифрованном виде, на основе ключа
прописанного в кофиге - который находится в ./configs/ ?
и дешифруются при отображении.

То есть если получить доступ к БД - то информацию о паролях нельзя
будет использовать.

Соответственно необходимо защитить конфиг файл в котором находится
ключ - от несанкционированного доступа?

Спасибо

2012/6/28 Seruy <sergiy.m...@gmail.com>:

Seruy

unread,
Jun 29, 2012, 3:40:05 AM6/29/12
to redmi...@googlegroups.com
пятница, 29 июня 2012 г., 8:25:19 UTC+3 пользователь ilya написал:
Спасибо, я просто хочу понять принцип приватности данных.

То есть данные хранятся в БД - в зашифрованном виде, на основе ключа
прописанного в кофиге - который находится в ./configs/ ?
и дешифруются при отображении.

Да.
Ключ к паролям лежит в директории плагина:
/redmine/vendor/plugins/redmine_keepass/config
 

То есть если получить доступ к БД - то информацию о паролях нельзя
будет использовать.

Да, без ключа это будет проблематично.  Но в случае получения доступа к БД, вы однозначно потеряете все данные про проекты, задачи, вики, и тд и тп. по информации, которых можно будет определить куда более интересные плюшки чем какие-то пароли.

Фактически дополнительное шифрование паролей сделано для, чуть большего, успокойствия души)

Соответственно необходимо защитить конфиг файл в котором находится
ключ - от несанкционированного доступа?

 Выходит, что так.

ilya ilya

unread,
Jun 29, 2012, 3:49:32 AM6/29/12
to redmi...@googlegroups.com
ок, понял логику.

спасибо за ответ!

2012/6/29 Seruy <sergiy.m...@gmail.com>:

Евгений Мойкин

unread,
Jun 29, 2012, 3:57:14 AM6/29/12
to redmi...@googlegroups.com
Харе мне это слать

29 июня 2012 г., 10:49 пользователь ilya ilya <nem...@gmail.com> написал:



--
С уважением, Евгений!

Skype: webdrafting
Мобильный: (093) 902 - 56 - 96

Alex

unread,
Nov 27, 2015, 7:33:47 AM11/27/15
to Redmine to russian
Здравствуйте!

Подскажите, шифруются ли данные о логинах-паролях при передаче по HTTP, а также на стороне браузера?


понедельник, 11 июня 2012 г., 12:25:28 UTC+3 пользователь Seruy написал:

Евгений Циберный

unread,
Sep 20, 2016, 9:58:16 AM9/20/16
to Redmine to russian
Программа жива? Можно купить? Заранее спасибо

понедельник, 11 июня 2012 г., 15:25:28 UTC+6 пользователь Seruy написал:
Reply all
Reply to author
Forward
0 new messages