Inserisce solo accesso db offre ulteriore sicurezza

Naviga le tue risposte
10

Ci sono preoccupazioni sul fatto che se i nostri nodi web che affrontano il pubblico sono compromessi, un utente malintenzionato avrà accesso a tutti i nostri dati. Accade semplicemente che i dati inseriti dagli utenti esterni debbano essere sempre accessibili dagli utenti interni.

Offre sicurezza aggiuntiva, se diamo solo accesso ai nodi Web e consentiamo solo l'accesso in lettura / scrittura dai nodi interni?

Un'idea correlata sarebbe utilizzare la messaggistica per passare il messaggio di scrittura dal nodo web al nodo interno che gestirà tutte le modifiche del DB.

Il mio istinto mi dice che entrambi potrebbero mitigare la perdita di dati su una violazione del nodo web. C'è qualcosa che sto trascurando?

    
posta user3282193 05.10.2016 - 13:16
fonte

2 risposte

15

La risposta breve è "Sì", offre una sicurezza aggiuntiva in quanto rende più difficile per un utente malintenzionato ottenere le informazioni che questi utenti esterni stanno inserendo.

La risposta lunga è che un utente malintenzionato potrebbe:

  1. usa i nodi web compromessi per dirottare i tuoi utenti esterni verso il suo server o iniettare malware, probabilmente con poca differenza da notare nell'interfaccia web dato che ha accesso alle origini della tua pagina
  2. utilizza i nodi Web compromessi per acquisire dati futuri inseriti da utenti esterni e inoltra questi dati ai suoi server per l'acquisizione, quindi replicando nel tempo parti del tuo database
  3. attraversa il tempo dal nodo web alla rete interna, ad esempio attraverso nuovi buchi di sicurezza trovati nell'interfaccia del database o qualsiasi altra interfaccia che esponi ai nodi web
risposta data 05.10.2016 - 13:28
fonte
7

Assolutamente! Tuttavia, la terminologia sarebbe un utente di solo inserimento. Dovresti comunque utilizzare lo stesso DB.

La maggior parte dei server di database ha un concetto di controllo degli accessi internamente, che è indipendente dal controllo di accesso del sistema operativo.

Fondamentalmente, l'utente solo inserire avrebbe solo INSERT privilegio, e solo per le tabelle particolari in cui dovrebbe essere inserito.

Ciò limiterebbe un po 'l'ambito degli attacchi SQLi.

Vedi: Quali sono i vantaggi della sicurezza in un database utente separato?

    
risposta data 05.10.2016 - 15:15
fonte

Leggi altre domande sui tag

Permettere agli utenti di inserire un sottoinsieme sicuro di HTML Come faccio a scegliere se fidarmi di un particolare sito web?