Quanto è importante una password mysql per localhost?

Naviga le tue risposte
7

Possiamo supporre che se un utente malintenzionato avesse accesso a un server Web con mysql in grado di leggere gli script per determinare la password mysql.

Se mysql risponde solo su localhost, ha davvero bisogno di una password complessa?

Certo, se ci fosse un exploit sul server che permettesse a un utente malintenzionato di caricare ed eseguire file PHP, potrebbe causare il caos nel database se non ci fosse una password sicura. Tuttavia potrebbero ancora usare quel file PHP per accedere agli script del server "reale", inviarli al client, quindi leggere la password in questo modo.

Non capisco davvero la necessità di una password mysql se risponde solo a localhost. Perché è importante?

Quando dico "no password" intendo lasciarlo come valore predefinito di "password" che è probabilmente la prima ipotesi per un utente malintenzionato

    
posta Joseph 02.05.2014 - 13:05
fonte

1 risposta

5

Alcuni motivi mi vengono in mente:

In primo luogo, solo perché un account di hosting compromesso può leggere le credenziali di un utente MySQL non significa che possano leggerne un altro. Immagina di essere su un host condiviso e uno dei tuoi coinquilini è compromesso, non vorresti che i brute forzassero la tua password.

In secondo luogo, è possibile utilizzare un numero di utenti diversi con autorizzazioni diverse all'interno dei propri sistemi. Ad esempio, un utente può essere di sola lettura utilizzato per un sito pubblicamente accessibile, mentre la console di amministrazione utilizza un utente con accesso in scrittura. Questo potrebbe impedire l'escalation dei privilegi per gli account archiviati nel database se il sistema accessibile al pubblico viene compromesso, supponendo che non possano forzare la tua altra password MySQL.

Infine, non è raro che MySQL sia accessibile esternamente, quindi strumenti come il workbench MySQL possono essere utilizzati per gestirli e interrogarli. In questo caso ovviamente desideri una password complessa.

    
risposta data 02.05.2014 - 13:14
fonte

Leggi altre domande sui tag

Single point of failure: le richieste del governo degli Stati Uniti per le password possono essere un vettore di attacco? Quanto è sicura la crittografia simmetrica GPG?