Discussion :

[Malick]

MariaDB : Google travaille sur le chiffrement du tablespace
Pour améliorer la sécurité du SGBD

Le manque de clarté dans le développement de MySQL depuis son acquisition par Oracle avait poussé Google à abandonner le SGBD sur l’ensemble de ses systèmes pour adopter MariaDB. Il va sans dire que cela a entraîné la participation de la firme aux améliorations de la solution.

Aujourd’hui, Google fait savoir que ses développeurs sont en train de tester le chiffrement de la tablespace (espace de stockage dans lequel des données composant les bases de données peuvent être enregistrées) de MariaDB serveur 10.1, cela afin de faire face aux attaques par injection de commandes SQL.

Pour rappel, MariaDB est un système de gestion de base de données édité sous licence GPL. Il s'agit d'un fork communautaire de MySQL. L'injection SQL, quant à elle, est une façon d'exploiter une faille de sécurité d'une application interagissant avec une base de données, cela en injectant une requête SQL non prévue par le système et pouvant compromettre sa sécurité.

Les développeurs en charge de la mise en place de ce chiffrement affirment que cela constitue une amélioration majeure pour la sécurité de MariaDB, surtout pour les clients qui conçoivent des PCI et d'autres applications ayant besoin de chiffrement.

L'injection SQL est l'une des techniques les plus fréquemment utilisées par les hackers, et elle figure à la première ou deuxième place du top 10 des différentes méthodes d'attaques établies par l'Open Web Application Security Project (OWASP).

Le code de chiffrement de Google sera intégré au pare-feu du système de gestion de base de données MariaDB et fera ses débuts dans le prochain MariaDB Server 10.1.

L'édition communautaire de Maria Server 10.1 intégrera également une gamme de fonctionnalités ; Il s'agit notamment de Galera Cluster 4.0 et des améliorations au moteur de transaction InnoDB.

Parallèlement, les développeurs de MariaDB ont publié une nouvelle version de MariaDB Enterprise. Cette mise à jour apporte un lot important de nouveautés pour faire de MariaDB un SGBD de choix pour les entreprises. Il s’agit notamment des améliorations de la disponibilité, la mise à l’échelle et la sécurité.

Il faut noter que tout comme Google, des distributions Linux, dont Fedora et OpenSUSE, ont abandonné MySQL pour intégrer par défaut MariaDB.


Source

Et vous ?

Que pensez-vous de cette nouvelle ?

[psychadelic]

c'est heureux...

ce qui l'est moins , c'est que la majorité des hébergeurs continuent toujours et encore à proposer MySQL par défaut...

[abriotde]

Pour les hébergeurs, il proposent officiellement MySQL mais derrière c'est possiblement MariaDB. Le nom MySQL est très connu et donc plus vendeurs. Dans la pratique outre des fonctionnalité nouvelles et de meilleurs performances, il n'y a pas de différences. Pour un client d'un hébergeur la seul question est "Est-ce que mon application conçue pour MysSQL va tourner?" La réponse est "Oui". Nous sommes passé de MySQL à MariaDB et la seul chose que nous ayons remarqué, 'est une baisse de la charge des serveurs. Changé d'Engine SQL est beaucoup plus impactant par exemple.

[yann2]

Bonjour

Le chiffrement ne protège pas contre les injections SQL. Les injections SQL sont une vraies menaces mais elles sont aussi très faciles à éviter par des professionnels !

Bref, tout ça pour dire que la protection contre les injections SQL et le chiffrement sont deux fonctionnalités différentes.

[tomlev]

Je ne pense pas que l'article du Register donne une vision très juste de cette nouveauté... ou alors c'est vraiment très mal expliqué. L'injection SQL est une attaque qui agit au niveau de l'interprétation des commandes SQL, donc je ne vois pas comment le fait de chiffrer le tablespace changera quoi que ce soit...

EDIT: en cherchant un peu sur Google, je ne vois personne qui fait un lien entre chiffrement du tablespace et injection SQL, à part l'article du Register et d'autres qui le reprennent. Ce billet sur le blog de MariaDB parle du chiffrement du tablespace, mais ne mentionne pas du tout l'injection SQL. Enfin, sur cette page de la Knowledge Base de MariaDB :

When is encryption no help?

Encryption provides no additional protection against threats caused by authorized database users. Specifically, SQL injections aren’t prevented.

Bref... le Register raconte n'importe quoi

[Zefling]

Ha, je me disais que c'était bizarre. Je ne voyais pas le rapport. Merci pour le complément d'info.

[LeBressaud]

Google

Je vais peut être ouvrir un site de news informatique s'il suffit de maitriser le copier-coller

[lenono]

Je chipotte, mais on dit un tablespace, pas une...

[tomlev]

Je chipotte, mais on dit un tablespace, pas une...

D'après qui ? Sûrement pas l'Académie Française, vu que c'est un mot anglais... D'ailleurs en anglais les choses n'ont pas de genre. Donc c'est un choix purement arbitraire. Je dis aussi "un" tablespace, mais je ne pense pas que l'un soit plus correct que l'autre.

[frfancha]

D'après qui ? Sûrement pas l'Académie Française, vu que c'est un mot anglais... D'ailleurs en anglais les choses n'ont pas de genre. Donc c'est un choix purement arbitraire. Je dis aussi "un" tablespace, mais je ne pense pas que l'un soit plus correct que l'autre.

D'après le fait que si on considère que c'est un mot anglais neutre, alors c'est masculin, et si on considère qu'il faut utiliser le genre de la traduction (a space => un espace masculin) alors c'est également neutre.
L'emploi du féminin dans ce cas est donc complètement farfelu.

[tomlev]

D'après le fait que si on considère que c'est un mot anglais neutre, alors c'est masculin, et si on considère qu'il faut utiliser le genre de la traduction (a space => un espace masculin) alors c'est également neutre.
L'emploi du féminin dans ce cas est donc complètement farfelu.

Oui, mais "a table => une table"... féminin
Cela dit, je suis d'accord que ça fait bizarre de dire "une tablespace"...

[frfancha]

Oui, mais "a table => une table"... féminin

Oui et?? C'est bien ce que je dis aussi: a space => un espace donc masculin! Le mot discuté est tablespace et non table.

[Battant]

Bonjour,

Comment utiliser mariadb au lieu de mysql avec php par exemple pour installer l'erp dolibarr sur linux ou autre OS ?

Merci pour votre réponse

Salutations

[ddoumeche]

Le gain de performance observé vient surtout du changement de génération de moteur, par exemple lorsqu'on passe de Mysql 5.5 à Maria 5.3.

Passez de Maria 5.3 à Mysl 5.7 et vous aurez aussi un grand gain de performance.

Il s'agit essentiellement pour Google de se débarrasser de toute relation avec Oracle.

[psychadelic]

D'ou tire tu tes conclusions sur les performances comparées entre MySQL et MariaDB ???

d'autant que tu compare un MariaDB 5.3, alors que la version 10.1.7 est déjà sortie depuis le 9 sep 2015...

Finally, MariaDB can clearly offer better performance to applications having a similar workload as presented by LinkBench and TPC-C.

source : Performance evaluation of MariaDB 10.1 and MySQL 5.7.4-labs-tplc

[ddoumeche]

Ces deux SGDBR ont le même génome à 99.99%, donc changer de génération de moteur va inévitablement mener à un gain de performance conséquent.

Mysql 5.5 date d'octobre 2010, MariaDB 5.3.5 (la première stable) date de février 2012 donc déja 1 an et demi de différence.
MariaDB 5.3.5 inclut l'optimisation des sous-requêtes, un domaine dans lequel Mysql a toujours été à la traine jusqu'à la 5.6 au moment du backport.

Septembre 2015, c'est donc avant hier. Et ces versions ne sont même pas en GA...

Concernant ce benchmark qui n'est pas forcément représentatif (qui utilise des Fusion-io ioDrive2 Duo à 14,000$ le To ?), j'ai trouvé son pendant sur du
ext4 et les résultats ne sont donc pas aussi "tranchés" :
http://dimitrik.free.fr/blog/archive...server-56.html
(Dimitri KRAVTCHUK est MySQL Performance Engineering leader)

J'ai aussi appris que MariaDB utilisait maintenant le moteur XtraDB par défaut et que le résultat n'était pas tout à fait à la hauteur:
son moteur Innodb est plus performant mais contient des backports de Mysql (à confirmer).
Et que Mysql 5.77 avait repris le lead sur Percona (zut, moi qui misait tout dessus )

Le même auteur aaussi montré que Mysql 5.7 scalait jusqu'à 32 threads.
http://dimitrik.free.fr/blog/archive...-mysql-57.html
Et si on compare avec MariaDB sur des monstres de guerre :
http://dimitrik.free.fr/blog/archive...-mysql-57.html

Que cela ne vous empêche pas de faire vos propres bench, ne serait-ce que pour valider votre configuration